Sécurité

L’open source, indispensable à une entreprise résiliente

Share this post:

Par leur transparence, les logiciels Open Source garantissent une sécurité en toute confiance. Leur utilisation implique de s’appuyer sur la connaissance humaine et les compétences acquises assurent leur pérennité.

 

D’un point de vue philosophique, Open Source et Closed Source sont antagonistes. Faire appel à des logiciels propriétaires signifie acquérir un service, pour une utilisation la plus simple possible, mais sans forcément en comprendre le fonctionnement. Opter pour le logiciel libre implique de s’appuyer sur la connaissance humaine. De fait, les compétences qui sont nécessaires pour mettre en œuvre une application Open Source sont plus importantes que pour un logiciel dont le code est propriétaire. Acquérir ces compétences a un coût, mais le retour sur investissement constitue une plus-value significative en termes de qualité de service, de débogage et de pérennité des logiciels.

 

Renforcer la confiance dans les logiciels de sécurité

L’impact est d’autant plus important pour les outils liés à la sécurité. L’open source autorise la consultation de code, afin d’y détecter d’éventuelles portes dérobées. Un bon moyen de s’assurer qu’un logiciel respecte le principe de Kerckhoffs[1] et donc qu’aucun mécanisme n’est caché. De fait, il est désormais admis que la sécurité par l’obscurité est un modèle qui ne résiste pas au temps. L’Open Source est souvent au cœur du succès des implémentations des protocoles de sécurité. Par exemple, le protocole SSH[2] était à l’origine fermé. Dans les années 90, une version dérivée a été développée, OpenSSH. La réussite a été telle que, outre le fait qu’il offre d’excellentes performances techniques, OpenSSH est désormais supporté par toutes les distributions et systèmes d’exploitation. C’est l’outil OpenSSH, parce qu’il était en Open Source, qui a apporté l’usage – plus que le protocole SSH d’origine.

 

Des implémentations variées

Le système des forks[3] constitue en lui-même un autre avantage de l’Open Source. Toujours en matière de sécurité, la bibliothèque scientifique de calcul cryptographique OpenSSL est une des implémentations du protocole de communication TLS (Transport Layer Security) les plus employées et les plus performantes sur le marché. Mais il en existe d’autres implémentations, telle BoringSSL, poussée par Google. Ces forks sont nés du constat qu’OpenSSL couvre trop de cas d’usages et devient par conséquent complexe à maintenir. Dans le domaine de la sécurité, les forks permettent ainsi de réduire le nombre de lignes de code, rendant l’application plus sûre et facile à auditer. C’est aussi un moyen d’obtenir une réponse parfaitement adaptée à un problème métier, avec le moins de code possible et une moindre dépendance vis-à-vis des tiers.

Par sa diversification, ses multiples possibilités d’intégration, l’Open Source apporte une résilience. En France, l’expérience de l’Afnic[4] est une bonne illustration. L’agence s’est vu confier une mission stratégique : si elle était amenée à subir une panne, qu’elle soit matérielle ou résultant d’une attaque, ce sont tous les noms de domaine en .fr qui seraient impactés. L’Afnic a diversifié les machines physiques mais aussi les logiciels supportant le protocole DNS, avec plusieurs implémentations différentes de ces serveurs DNS exploitées conjointement. En cas de faille de sécurité, il est très facile à l’Afnic d’arrêter certaines machines sans pour autant que le service de résolution de noms de domaines .fr ne soit interrompu.

 

Les fournisseurs de cloud en première ligne

La généralisation du cloud n’est pas sans poser de problèmes vis-à-vis des fournisseurs. Les prestataires de cloud public offrent peu ou prou les mêmes services, mais de manière différente, rendant ces services non interopérables entre eux. Ce sont des difficultés auxquelles les acteurs de l’Open Source tentent de répondre avec par exemple la bibliothèque d’outils Libvirt. Il n’en reste pas moins qu’historiquement la virtualisation n’a pas été standardisée, à part au niveau du jeu d’instructions des processeurs. Avec l’arrivée de la « containerisation », les fournisseurs empruntent un chemin différent. Open Containers est un consortium auquel participent les principaux fournisseurs de services cloud, qui publie une norme Open Source pour héberger des containers dans le cloud. En réalité, les providers se sont rendu compte que s’ils se mettaient en concurrence, l’adoption de la containerisation serait plus lente. Avec Open Containers, quand une entreprise trouvera une faille, l’ensemble de l’écosystème en sera informé. Une initiative qui garantit donc une certaine forme de résilience par l’ouverture.

 

 

[1] Règle de cryptographie stipulant que la sécurité d’un système ne doit reposer que sur le secret de la clé.

[2] Secure SHell, protocole de communication sécurisé.

[3] Nouveau logiciel créé à partir du code source d’un logiciel existant lorsque les droits accordés par les auteurs le permettent. Pour cette raison, les forks se produisent plus facilement dans le domaine des logiciels libres.

[4] Registre français qui gère tous les noms de domaine en .fr

Cybersecurity Consultant

More Sécurité stories
19 novembre 2019

DevSecOps : place à la sécurité en livraison continue

Le DevOps est apparu en 2011, avec le développement agile, quand il s’agissait de développer le plus vite possible, en rapprochant développeurs et opérationnels. Le Secure by Design existe depuis plus longtemps, depuis la fin du siècle dernier en fait, dans l’avionique et les systèmes embarqués : impossible de programmer une carte électronique qui commande […]

Continue reading

19 novembre 2019

Les Assises de la Sécurité 2019 : « Replacer l’humain au coeur de la cyber »

Dans quelques mois, le FIC célèbrera le Nouvel An cyber à Lille, avec ses nouvelles tendances qu’on peut déjà toucher du doigt avec le thème de l’édition 2020 : « Replacer l’humain au coeur de la cyber ». Mais nous n’y sommes pas encore. Octobre est le mois Européen de la cybersécurité. Octobre, c’est aussi l’occasion de […]

Continue reading