Les attaques de la chaîne d’approvisionnement logicielle augmenteront en 2023, selon un rapport

Les attaques contre les logiciels open source et commerciaux continueront d’augmenter en 2023, selon un nouveau rapport sur la chaîne d’approvisionnement des logiciels publié par un fournisseur de sécurité.

Cependant, les auteurs du rapport pensent également que les mesures de sécurité accrues que les développeurs prennent – en particulier sur les plateformes open source comme Github, NPM, RubyGems et PyPI – pourraient ralentir cette croissance.

Ces conclusions proviennent d’un rapport sur l’état de la sécurité de la chaîne d’approvisionnement publié lundi par ReversingLabs.

Pour combler les lacunes dans la surveillance et la détection des menaces et des attaques de la chaîne d’approvisionnement, les développeurs de logiciels doivent examiner les risques liés à l’open source et mieux coordonner le travail entre les équipes de développement et les centres d’opérations de sécurité (SOC), indique le rapport.

« Près de deux ans après la première diffusion du piratage de SolarWinds, les attaques de la chaîne d’approvisionnement logicielle n’ont montré aucun signe de ralentissement », notent les auteurs.

« Dans le secteur commercial, les attaques utilisant des modules open source malveillants continuent de se multiplier. Les entreprises ont connu une augmentation exponentielle des attaques sur la chaîne d’approvisionnement depuis 2020, et une augmentation plus lente mais toujours régulière en 2022. »

«Le référentiel open source populaire NPM, par exemple, a vu près de 7 000 téléchargements de packages malveillants de janvier à octobre 2022, soit une augmentation de près de 100 fois par rapport aux 75 packages malveillants découverts en 2020 et une augmentation de 40% par rapport à tous les packages découverts en 2021. »

« Le Python Package Index (PyPI) a également été inondé de modules open source corrompus conçus pour exploiter la crypto-monnaie et planter des logiciels malveillants, entre autres. »

Un certain nombre d’organisations de premier plan, dont Samsung et Toyota, se sont retrouvées gênées par des secrets révélés par le biais de référentiels open source maintenus en interne ou par des sous-traitants tiers, ajoute le rapport.

Les plateformes open source et les gouvernements ont réagi, note le rapport. Par exemple, aux États-Unis, de nouvelles directives fédérales visant à renforcer la sécurité de la chaîne d’approvisionnement sont entrées en vigueur. En septembre, un mémorandum du Bureau de la gestion et du budget exigeait que les éditeurs de logiciels attestent de la sécurité des logiciels et des services qu’ils concèdent aux agences exécutives.

En 2023, les éditeurs de logiciels avec des contrats fédéraux américains devront franchir des niveaux plus élevés pour la sécurité des logiciels afin de respecter les nouvelles directives, notamment en devant attester de la sécurité de leur code et, dans certains cas, produire une nomenclature logicielle qui fournit une feuille de route. pour traquer les menaces de la chaîne d’approvisionnement, indique le rapport.

« Étant donné que la menace d’attaques de la chaîne d’approvisionnement va au-delà des éditeurs qui vendent au gouvernement fédéral [américain], toutes les organisations qui développent des logiciels devront prendre des mesures similaires pour garder une longueur d’avance sur ces menaces », indique le rapport.

Pourtant, il y a de grands défis. Le rapport note que l’équipe de sécurité de GitHub a examiné et publié des avis pour près de 9 300 vulnérabilités dans les modules GitHub. Mais plus de 177 000 avis liés aux modules GitHub n’ont pas été examinés, dont beaucoup avec un rang « critique ». Ces avis, qui représentent 95 % du nombre total de vulnérabilités, ne sont pas connectés au service Dependabot de Github, donc aucun avertissement ne sera émis pour eux, note le rapport.

Le rapport souligne également que cette année, ce que l’on appelle les « logiciels de protestation » sont apparus, dans lesquels les responsables d’applications légitimes décident de transformer leur logiciel en arme au service d’une cause plus large. En janvier, par exemple, des applications en aval dépendant des bibliothèques NPM populaires appelées « colors.js » et « faker.js » ont vu leurs applications prises dans une boucle infinie, affichant « LIBERTY LIBERTY LIBERTY » suivi d’une séquence de charabia. L’incident était intentionnel – un acte de protestation du responsable « Squires » pour ce qu’il percevait comme une utilisation non rémunérée de ses bibliothèques par des entreprises à but lucratif.

Le rapport indique que les équipes de développement d’applications peuvent prendre quatre mesures pour lutter contre les risques croissants de la chaîne d’approvisionnement logicielle :

  • Aller au-delà de la gestion des vulnérabilités et de la qualité du code pour englober les menaces croissantes de la chaîne d’approvisionnement telles que les logiciels malveillants, les initiés malveillants et d’autres compromis d’intégration continue qui peuvent entraîner des modifications de code non autorisées.
  • Réunir les ingénieurs logiciels et les ingénieurs de sécurité pour coordonner leurs activités. Les centres d’opérations de sécurité doivent suivre les attaquants lorsqu’ils se déplacent vers la gauche, élargissant leur mandat pour englober la surveillance des menaces de la chaîne d’approvisionnement logicielle dans le cadre de leur surveillance globale des risques.
  • Mettre davantage l’accent sur la recherche et l’élimination des risques liés à l’open source.
  • Investir dans la chasse proactive aux menaces.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Tecsys annonce une nouvelle solution de gestion du commerce électronique 

Tecsys Inc., une entreprise québécoise du domaine de la gestion de la chaîne d'approvisionnement et du commerce omnicanal annonçait il y a quelques jours une nouvelle solution d'exécution du commerce électronique de type « entrepôt dans un entrepôt ».

Microsoft annonce de nouveaux outils de gestion de la chaîne d’approvisionnement

La pandémie a démontré à quel point les perturbations de la chaîne d'approvisionnement font du tort aux industries. Et même aujourd'hui, les efforts pour restaurer complètement la chaîne sont loin d'être terminés. D’ici-là, Microsoft annonce le Supply Chain Platform et le Supply Chain Center pour au moins en faciliter un peu la gestion.

Une gestion des commandes accélérée signée Tecsys

Tecsys Inc., une société montréalaise du domaine des logiciels de gestion de la chaîne d'approvisionnement, offre maintenant un chemin plus rapide vers le commerce unifié grâce à la méthodologie de mise en œuvre rapide d'Omni OMS, un système de gestion des commandes infonuagique.

Des modules NPM malveillants téléchargés des milliers de fois

Encore plus de code Javascript malveillant a été découvert dans des modules disponibles sur le référentiel NPM open source, affirment des chercheurs de ReversingLabs, soulignant la découverte la plus récente de bibliothèques non fiables sur des sites open source.

Un plan pour renforcer la sécurité des applications open source

Sous pression après la découverte de plusieurs vulnérabilités, dont Log4Shell, dans du code source ouvert, les principaux groupes et éditeurs de logiciels open source ont créé un plan en 10 points pour assurer l’amélioration continues de la sécurité des logiciels open source.