Black Hat : il est probable que davantage de bugs à l'échelle d'Internet se cachent

Pendant quelques jours en avril, le monde entier a semblé prendre la sécurité Internet très au sérieux. Une faille critique, baptisée Heartbleed, a été trouvée dans un logiciel utilisé par des centaines de milliers de sites Web, et le bogue ainsi que son logo sont devenus une star des médias.





Mais fin juin, un peu plus de deux mois plus tard, les efforts visant à corriger les serveurs Internet vulnérables contre Heartbleed semblaient au point mort, avec plus de 300 000 encore sur Internet. OpenSSL , le projet open source dans le logiciel duquel le bogue a été trouvé, manque toujours des ressources dont il a besoin pour protéger son code. De plus, de nouvelles recherches suggèrent que les circonstances qui ont transformé Heartbleed en un problème à si grande échelle sont courantes.

Kymberlee Prix de la société de sécurité Synack et Jake Kouns, PDG de l'association Fondation de sécurité ouverte , a présenté jeudi les résultats d'une enquête sur l'utilisation et la sécurité des bibliothèques open source. Ils ont mis en évidence plusieurs bibliothèques open source extrêmement largement utilisées mais dont la sécurité est inégale. Une faille dans l'une de ces bibliothèques pourrait avoir un impact similaire au bogue d'avril qui a fait les gros titres. Cela pourrait absolument se reproduire avec n'importe quelle bibliothèque tierce, a déclaré Price Examen de la technologie du MIT à la conférence Black Hat la semaine dernière.

Ce qui est vraiment révélateur, c'est que certains programmes ou produits sur le marché peuvent contenir des centaines de ces bibliothèques, a déclaré Kouns. Tout le monde est désormais exposé à ce risque systémique.



L'une des bibliothèques identifiées par Price et Kouns comme un problème potentiel est la source de Heartbleed, OpenSSL. Plusieurs autres failles ont été découvertes dans OpenSSL depuis Heartbleed, dont certaines peuvent être plus dangereuses que le bogue Heartbleed, a déclaré Kouns.

On peut s'attendre à plus. Malgré le coup de pouce publicitaire de Heartbleed, OpenSSL n'a toujours pas assez d'argent pour faire face à de tels problèmes. Après l'incident, le projet a effectué un examen et a estimé qu'il avait besoin de six développeurs à temps plein pour maintenir correctement le logiciel. L'argent promis par IBM, HP, Google et d'autres grandes entreprises technologiques à la suite du bogue a suffi à payer pour seulement deux développeurs à temps plein. Même quelque chose que les mères des gens leur posaient à table ne reçoit pas le soutien dont il a besoin, a déclaré Price.

Une autre bibliothèque potentiellement problématique est Type libre , qui est utilisé pour afficher les polices et est inclus dans plus d'un milliard d'appareils fabriqués par des sociétés telles qu'Apple, Google et Sony. Kouns et Price ont compté plus de 50 vulnérabilités trouvées dans FreeType au cours des sept dernières années. L'un a formé la base d'une attaque appelée Jailbreakme qui a permis de prendre le contrôle à distance des iPhones (voir Vous avez un iPhone ? Il y a une application pour pirater ça ).



Les autres bibliothèques open source signalées par la paire incluent LibPNG, utilisé dans des centaines d'appareils et de logiciels courants comme moyen d'afficher des images, et FFMpeg, sur lequel Apple, Google, Microsoft et Sony s'appuient pour lire des vidéos.

La plupart des bibliothèques largement utilisées sont mises à jour plusieurs fois par an avec des correctifs de sécurité, explique Price. Mais il n'est pas facile pour les ingénieurs logiciels de garder une trace de toutes ces mises à jour ou même des versions des bibliothèques utilisées par leur entreprise. Et peu d'entreprises appliquent chaque mise à jour de chaque bibliothèque en temps opportun, a déclaré Price. Le plus souvent, les entreprises ne mettent à niveau les bibliothèques que lorsqu'elles publient une nouvelle version de leur propre produit. Si vous ne mettez à jour qu'avec chacune de vos versions, vous manquez probablement des vulnérabilités majeures, a-t-elle déclaré.

Certains experts estiment que les éditeurs de logiciels devraient être tenus légalement responsables des problèmes de sécurité de leurs produits. Une option discutée parmi les dirigeants de Black Hat était de savoir si les investisseurs devraient avoir le pouvoir de demander des audits tiers du code d'une entreprise, étendant un processus qui fait déjà partie intégrante de la diligence raisonnable pour les fusions et acquisitions, a déclaré Price.



Dan Geer, directeur de la sécurité de l'information pour le fonds d'investissement de la CIA In-Q-Tel , a fait une suggestion plus radicale dans son discours d'ouverture de Black Hat mercredi. Il a appelé à une législation qui rendrait les sociétés de logiciels responsables si des problèmes de sécurité dans leurs produits causaient des dommages.

Les deux seuls produits non couverts par la responsabilité du fait des produits sont la religion et les logiciels, et les logiciels ne devraient pas échapper plus longtemps, a déclaré Geer. Il a suggéré que les sociétés de logiciels soient responsables de tout dommage survenant en raison de défauts dans leur logiciel, mais que les sociétés qui ont rendu leur code source complet disponible pour inspection ne seraient tenues de rembourser que si des dommages se produisent.

Cette proposition rencontrerait une forte opposition de la part de l'industrie du logiciel et il est peu probable qu'elle gagne du terrain. Price a déclaré que la solution la plus pratique, bien que partielle, pour le moment consiste à sensibiliser aux risques liés aux bibliothèques tierces et à créer des outils permettant d'être facilement informé des dernières failles et de mettre à jour les packages. Nous ne pouvons pas éliminer ce risque, nous devons donc le gérer, a-t-elle déclaré.



cacher