Sécurité

L’open source, indispensable à une entreprise résiliente

Share this post:

Par leur transparence, les logiciels Open Source garantissent une sécurité en toute confiance. Leur utilisation implique de s’appuyer sur la connaissance humaine et les compétences acquises assurent leur pérennité.

 

D’un point de vue philosophique, Open Source et Closed Source sont antagonistes. Faire appel à des logiciels propriétaires signifie acquérir un service, pour une utilisation la plus simple possible, mais sans forcément en comprendre le fonctionnement. Opter pour le logiciel libre implique de s’appuyer sur la connaissance humaine. De fait, les compétences qui sont nécessaires pour mettre en œuvre une application Open Source sont plus importantes que pour un logiciel dont le code est propriétaire. Acquérir ces compétences a un coût, mais le retour sur investissement constitue une plus-value significative en termes de qualité de service, de débogage et de pérennité des logiciels.

 

Renforcer la confiance dans les logiciels de sécurité

L’impact est d’autant plus important pour les outils liés à la sécurité. L’open source autorise la consultation de code, afin d’y détecter d’éventuelles portes dérobées. Un bon moyen de s’assurer qu’un logiciel respecte le principe de Kerckhoffs[1] et donc qu’aucun mécanisme n’est caché. De fait, il est désormais admis que la sécurité par l’obscurité est un modèle qui ne résiste pas au temps. L’Open Source est souvent au cœur du succès des implémentations des protocoles de sécurité. Par exemple, le protocole SSH[2] était à l’origine fermé. Dans les années 90, une version dérivée a été développée, OpenSSH. La réussite a été telle que, outre le fait qu’il offre d’excellentes performances techniques, OpenSSH est désormais supporté par toutes les distributions et systèmes d’exploitation. C’est l’outil OpenSSH, parce qu’il était en Open Source, qui a apporté l’usage – plus que le protocole SSH d’origine.

 

Des implémentations variées

Le système des forks[3] constitue en lui-même un autre avantage de l’Open Source. Toujours en matière de sécurité, la bibliothèque scientifique de calcul cryptographique OpenSSL est une des implémentations du protocole de communication TLS (Transport Layer Security) les plus employées et les plus performantes sur le marché. Mais il en existe d’autres implémentations, telle BoringSSL, poussée par Google. Ces forks sont nés du constat qu’OpenSSL couvre trop de cas d’usages et devient par conséquent complexe à maintenir. Dans le domaine de la sécurité, les forks permettent ainsi de réduire le nombre de lignes de code, rendant l’application plus sûre et facile à auditer. C’est aussi un moyen d’obtenir une réponse parfaitement adaptée à un problème métier, avec le moins de code possible et une moindre dépendance vis-à-vis des tiers.

Par sa diversification, ses multiples possibilités d’intégration, l’Open Source apporte une résilience. En France, l’expérience de l’Afnic[4] est une bonne illustration. L’agence s’est vu confier une mission stratégique : si elle était amenée à subir une panne, qu’elle soit matérielle ou résultant d’une attaque, ce sont tous les noms de domaine en .fr qui seraient impactés. L’Afnic a diversifié les machines physiques mais aussi les logiciels supportant le protocole DNS, avec plusieurs implémentations différentes de ces serveurs DNS exploitées conjointement. En cas de faille de sécurité, il est très facile à l’Afnic d’arrêter certaines machines sans pour autant que le service de résolution de noms de domaines .fr ne soit interrompu.

 

Les fournisseurs de cloud en première ligne

La généralisation du cloud n’est pas sans poser de problèmes vis-à-vis des fournisseurs. Les prestataires de cloud public offrent peu ou prou les mêmes services, mais de manière différente, rendant ces services non interopérables entre eux. Ce sont des difficultés auxquelles les acteurs de l’Open Source tentent de répondre avec par exemple la bibliothèque d’outils Libvirt. Il n’en reste pas moins qu’historiquement la virtualisation n’a pas été standardisée, à part au niveau du jeu d’instructions des processeurs. Avec l’arrivée de la « containerisation », les fournisseurs empruntent un chemin différent. Open Containers est un consortium auquel participent les principaux fournisseurs de services cloud, qui publie une norme Open Source pour héberger des containers dans le cloud. En réalité, les providers se sont rendu compte que s’ils se mettaient en concurrence, l’adoption de la containerisation serait plus lente. Avec Open Containers, quand une entreprise trouvera une faille, l’ensemble de l’écosystème en sera informé. Une initiative qui garantit donc une certaine forme de résilience par l’ouverture.

 

 

[1] Règle de cryptographie stipulant que la sécurité d’un système ne doit reposer que sur le secret de la clé.

[2] Secure SHell, protocole de communication sécurisé.

[3] Nouveau logiciel créé à partir du code source d’un logiciel existant lorsque les droits accordés par les auteurs le permettent. Pour cette raison, les forks se produisent plus facilement dans le domaine des logiciels libres.

[4] Registre français qui gère tous les noms de domaine en .fr

Cybersecurity Consultant

More Sécurité stories
20 juillet 2020

Cybersécurité : # Protège ton IT

  La crise sanitaire actuelle fait écho au risque majeur que font peser les cyberattaques sur nos entreprises et nos économies. Un danger croissant, mais souvent sous-évalué par les professionnels. Le premier virus informatique a été créé le 3 novembre 1983 par Fred Cohen, un étudiant de l’University of Southern California (USC). Non pas pour […]

Continue reading

30 juin 2020

Think Digital Event Experience 2020, ce qu’il ne fallait pas manquer sur IBM Security

La sécurité s’invite en force sur l’IBM Think Digital Event Experience. L’un des thèmes récurrents était le télétravail, qui a connu un bond pendant la crise du Covid-19. Le renforcement de l’identification des personnes et équipements, et la prise en compte des infrastructures multicloud hybrides ont également fait l’objet de plusieurs débats.   Crise du […]

Continue reading

22 juin 2020

Les organisations à l’affût des attaques par rebond

  En ne visant pas directement les systèmes d’information (SI) des entreprises, les attaquants contournent leurs protections et ne laissent que peu de traces dans les systèmes des sociétés visées. Cette méthode est connue sous le nom d’attaques par rebond. La France et l’Europe sont en pointe sur le sujet. Le Cybersecurity Act, en définissant […]

Continue reading