Les attaques de la chaîne d’approvisionnement logicielle augmenteront en 2023, selon un rapport

Les attaques contre les logiciels open source et commerciaux continueront d’augmenter en 2023, selon un nouveau rapport sur la chaîne d’approvisionnement des logiciels publié par un fournisseur de sécurité.

Cependant, les auteurs du rapport pensent également que les mesures de sécurité accrues que les développeurs prennent – en particulier sur les plateformes open source comme Github, NPM, RubyGems et PyPI – pourraient ralentir cette croissance.

Ces conclusions proviennent d’un rapport sur l’état de la sécurité de la chaîne d’approvisionnement publié lundi par ReversingLabs.

Pour combler les lacunes dans la surveillance et la détection des menaces et des attaques de la chaîne d’approvisionnement, les développeurs de logiciels doivent examiner les risques liés à l’open source et mieux coordonner le travail entre les équipes de développement et les centres d’opérations de sécurité (SOC), indique le rapport.

« Près de deux ans après la première diffusion du piratage de SolarWinds, les attaques de la chaîne d’approvisionnement logicielle n’ont montré aucun signe de ralentissement », notent les auteurs.

« Dans le secteur commercial, les attaques utilisant des modules open source malveillants continuent de se multiplier. Les entreprises ont connu une augmentation exponentielle des attaques sur la chaîne d’approvisionnement depuis 2020, et une augmentation plus lente mais toujours régulière en 2022. »

«Le référentiel open source populaire NPM, par exemple, a vu près de 7 000 téléchargements de packages malveillants de janvier à octobre 2022, soit une augmentation de près de 100 fois par rapport aux 75 packages malveillants découverts en 2020 et une augmentation de 40% par rapport à tous les packages découverts en 2021. »

« Le Python Package Index (PyPI) a également été inondé de modules open source corrompus conçus pour exploiter la crypto-monnaie et planter des logiciels malveillants, entre autres. »

Un certain nombre d’organisations de premier plan, dont Samsung et Toyota, se sont retrouvées gênées par des secrets révélés par le biais de référentiels open source maintenus en interne ou par des sous-traitants tiers, ajoute le rapport.

Les plateformes open source et les gouvernements ont réagi, note le rapport. Par exemple, aux États-Unis, de nouvelles directives fédérales visant à renforcer la sécurité de la chaîne d’approvisionnement sont entrées en vigueur. En septembre, un mémorandum du Bureau de la gestion et du budget exigeait que les éditeurs de logiciels attestent de la sécurité des logiciels et des services qu’ils concèdent aux agences exécutives.

En 2023, les éditeurs de logiciels avec des contrats fédéraux américains devront franchir des niveaux plus élevés pour la sécurité des logiciels afin de respecter les nouvelles directives, notamment en devant attester de la sécurité de leur code et, dans certains cas, produire une nomenclature logicielle qui fournit une feuille de route. pour traquer les menaces de la chaîne d’approvisionnement, indique le rapport.

« Étant donné que la menace d’attaques de la chaîne d’approvisionnement va au-delà des éditeurs qui vendent au gouvernement fédéral [américain], toutes les organisations qui développent des logiciels devront prendre des mesures similaires pour garder une longueur d’avance sur ces menaces », indique le rapport.

Pourtant, il y a de grands défis. Le rapport note que l’équipe de sécurité de GitHub a examiné et publié des avis pour près de 9 300 vulnérabilités dans les modules GitHub. Mais plus de 177 000 avis liés aux modules GitHub n’ont pas été examinés, dont beaucoup avec un rang « critique ». Ces avis, qui représentent 95 % du nombre total de vulnérabilités, ne sont pas connectés au service Dependabot de Github, donc aucun avertissement ne sera émis pour eux, note le rapport.

Le rapport souligne également que cette année, ce que l’on appelle les « logiciels de protestation » sont apparus, dans lesquels les responsables d’applications légitimes décident de transformer leur logiciel en arme au service d’une cause plus large. En janvier, par exemple, des applications en aval dépendant des bibliothèques NPM populaires appelées « colors.js » et « faker.js » ont vu leurs applications prises dans une boucle infinie, affichant « LIBERTY LIBERTY LIBERTY » suivi d’une séquence de charabia. L’incident était intentionnel – un acte de protestation du responsable « Squires » pour ce qu’il percevait comme une utilisation non rémunérée de ses bibliothèques par des entreprises à but lucratif.

Le rapport indique que les équipes de développement d’applications peuvent prendre quatre mesures pour lutter contre les risques croissants de la chaîne d’approvisionnement logicielle :

  • Aller au-delà de la gestion des vulnérabilités et de la qualité du code pour englober les menaces croissantes de la chaîne d’approvisionnement telles que les logiciels malveillants, les initiés malveillants et d’autres compromis d’intégration continue qui peuvent entraîner des modifications de code non autorisées.
  • Réunir les ingénieurs logiciels et les ingénieurs de sécurité pour coordonner leurs activités. Les centres d’opérations de sécurité doivent suivre les attaquants lorsqu’ils se déplacent vers la gauche, élargissant leur mandat pour englober la surveillance des menaces de la chaîne d’approvisionnement logicielle dans le cadre de leur surveillance globale des risques.
  • Mettre davantage l’accent sur la recherche et l’élimination des risques liés à l’open source.
  • Investir dans la chasse proactive aux menaces.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected].

Articles connexes

CargoM lance son outil d’espace d’entreposage

CargoM - Grappe métropolitaine de logistique et transport de Montréal, un organisme qui rassemble les acteurs de la logistique et du transport de marchandises du Grand Montréal, lance une version bonifiée, avec interface web, de son outil d'espace d'entreposage.

CIQ, SUSE et Oracle unissent leurs forces pour défier les nouvelles restrictions de Red Hat

CIQ, SUSE et Oracle se sont associés pour créer l'Open Enterprise Linux Association (OpenELA), une association professionnelle qui fournira un code source compatible avec Red Hat Enterprise Linux (RHEL).

Une décision de Red Hat vient bouleverser le monde open-source de Linux

Les guerres politiques de Linux font rage depuis un mois maintenant, et selon le camp auquel vous appartenez, la décision de Red Hat de restreindre la distribution du code source pour Red Hat Enterprise Linux (RHEL) est soit une décision commerciale qui devait se produire, soit un crime.

GSoft devient Workleap dans la foulée d’un investissement de 125 millions de dollars de la CDPQ

GSoft, une entreprise montréalaise qui offre des logiciels destinés au domaine des ressources humaines, annonce un repositionnement de sa marque et devient Workleap. Selon la société, le changement reflète davantage ce que l'entreprise est devenue après plus de 17 ans d'opération, et sert à appuyer sa stratégie de croissance ambitieuse de « devenir une plateforme de premier plan dans l'univers de l'expérience employé ».

Tecsys annonce une nouvelle solution de gestion du commerce électronique 

Tecsys Inc., une entreprise québécoise du domaine de la gestion de la chaîne d'approvisionnement et du commerce omnicanal annonçait il y a quelques jours une nouvelle solution d'exécution du commerce électronique de type « entrepôt dans un entrepôt ».

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.