Les attaques contre les logiciels open source et commerciaux continueront d’augmenter en 2023, selon un nouveau rapport du fournisseur de sécurité sur la chaîne d’approvisionnement des logiciels.

Cependant, les auteurs du rapport pensent également que les mesures de sécurité accrues que les développeurs prennent – en particulier sur les plateformes open source comme Github, NPM, RubyGems et PyPI – pourraient ralentir cette croissance.

La conclusion vient dans un rapport sur l’état de la sécurité de la chaîne d’approvisionnement publié lundi par ReversingLabs. (Enregistrement requis)

Pour combler les lacunes dans la surveillance et la détection des menaces et des attaques de la chaîne d’approvisionnement, les développeurs de logiciels doivent examiner les risques liés à l’open source et mieux coordonner le travail entre les équipes de développement et les centres d’opérations de sécurité (SOC), indique le rapport.

“Près de deux ans après l’annonce de la première propagation du piratage de SolarWinds, la chaîne d’approvisionnement des logiciels
les attaques n’ont montré aucun signe de ralentissement », notent les auteurs.

« Dans le secteur commercial, les attaques qui exploitent des modules open source malveillants se poursuivent
multiplier. Les entreprises ont vu une augmentation exponentielle des attaques de la chaîne d’approvisionnement depuis 2020,
et une augmentation plus lente mais toujours régulière en 2022.

«Le référentiel open source populaire NPM, par exemple, a vu près de 7 000 téléchargements de packages malveillants de janvier à octobre 2022, soit une augmentation de près de 100 fois par rapport aux 75 packages malveillants découverts en 2020 et une augmentation de 40% par rapport à tous les packages découverts en 2021. .

“Le Python Package Index (PyPI) a également été inondé de modules open source entachés
conçu pour exploiter la crypto-monnaie et planter des logiciels malveillants, entre autres.

Un certain nombre d’organisations de premier plan, dont Samsung et Toyota, se sont retrouvées gênées par des secrets révélés par le biais de référentiels open source maintenus en interne ou par des sous-traitants tiers, ajoute le rapport.

Les plateformes open source et les gouvernements ont réagi, note le rapport. Par exemple, aux États-Unis, de nouvelles directives fédérales visant à renforcer la sécurité de la chaîne d’approvisionnement sont entrées en vigueur. Cela comprenait un guide pratique pour les fournisseurs de logiciels du gouvernement fédéral publié par le groupe de travail sur la chaîne d’approvisionnement en logiciels du cadre de sécurité durable (ESF). En septembre, un mémorandum du Bureau de la gestion et du budget exigeait que les éditeurs de logiciels attestent de la sécurité des logiciels et des services qu’ils concèdent aux agences exécutives.

En 2023, les éditeurs de logiciels avec des contrats fédéraux américains devront franchir des barres plus élevées
pour que la sécurité des logiciels respecte les nouvelles directives, y compris l’obligation d’attester de la sécurité
de leur code et – dans certains cas – produire une nomenclature logicielle qui fournit une feuille de route pour traquer les menaces de la chaîne d’approvisionnement, indique le rapport.

“Étant donné que la menace d’attaques de la chaîne d’approvisionnement va au-delà des éditeurs qui vendent au [U.S.] gouvernement fédéral, toutes les organisations qui développent des logiciels devront prendre des mesures similaires pour garder une longueur d’avance sur ces menaces », indique le rapport.

Pourtant, il y a de grands défis. Le rapport note que l’équipe de sécurité de GitHub a examiné et publié des avis pour près de 9 300 vulnérabilités dans les modules GitHub dans toutes les langues. Mais plus de 177 000 avis liés aux modules GitHub n’ont pas été examinés, dont beaucoup avec des notes “critiques”. Ces avis, qui constituent 95% du nombre total de vulnérabilités, ne sont pas connectés au service Dependabot de Github, donc aucun avertissement ne sera émis pour eux, note le rapport.

Le rapport souligne également que cette année, ce que l’on appelle les “logiciels de protestation” sont apparus, dans lesquels les responsables d’applications légitimes décident de transformer leur logiciel en arme au service d’une cause plus large. En janvier, par exemple, les applications en aval dépendant du
les bibliothèques NPM populaires appelées « colors.js » et « faker.js » ont trouvé leurs applications prises dans
une boucle infinie, affichant ‘LIBERTY ‘LIBERTY LIBERTY’ suivi d’une séquence de charabia non-ASCII. L’incident était intentionnel – un acte de protestation du responsable “Squires” pour ce qu’il percevait comme une utilisation non rémunérée de ses bibliothèques par des entreprises à but lucratif.

Le rapport indique que les équipes de développement d’applications peuvent prendre quatre mesures pour lutter contre les risques croissants de la chaîne d’approvisionnement logicielle :

–aller au-delà de la concentration sur la gestion des vulnérabilités et la qualité du code pour englober la croissance
les menaces de la chaîne d’approvisionnement telles que les logiciels malveillants, les initiés malveillants et d’autres compromis d’intégration continue pouvant entraîner des modifications de code non autorisées ;

–réunir les ingénieurs de version et les ingénieurs de sécurité pour coordonner leurs
Activités. Les centres d’opérations de sécurité doivent suivre les attaquants lorsqu’ils se déplacent vers la gauche, élargissant leur mandat pour englober la surveillance des menaces de la chaîne d’approvisionnement logicielle dans le cadre de leur surveillance globale des risques ;

–mettre davantage l’accent sur la recherche et la fermeture des risques liés à l’open source ;

–investir dans la chasse proactive aux menaces.

Leave a Reply