ClickCease Attaques contre la chaîne d'approvisionnement - Perception du risque et réalité

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Attaques contre la chaîne d'approvisionnement - Perception du risque et réalité

Joao Correia

31 octobre 2023 - Évangéliste technique

Les attaques contre la chaîne d'approvisionnement se sont multipliées ces dernières années, devenant progressivement une menace redoutable dans le paysage de la cybersécurité. Pourtant, malgré leur prévalence croissante, il semble y avoir une déconnexion entre la perception et la réalité de leurs dommages potentiels. Un nombre stupéfiant de développeurs font preuve d'une mentalité "pas dans mon jardin", pensant que leurs bases de code sont sûres et impénétrables. Cependant, les données réelles racontent une histoire contrastée, révélant qu'un grand nombre de logiciels sont vulnérables en raison de failles provenant de dépendances.

 

La toile invisible des dépendances

 

Lorsque les développeurs intègrent une bibliothèque dans leur code, il est rare qu'ils se rendent compte de la chaîne de dépendances qui s'entrelace discrètement avec leur logiciel. Une seule bibliothèque peut entraîner une myriade d'autres dépendances, chacune portant son propre lot de vulnérabilités.

 

Selon Sonatypealors que seulement 10 % de plus de 12 000 bibliothèques présentaient une vulnérabilité dans leur propre code, ce chiffre monte en flèche à 62 % si l'on tient compte des vulnérabilités transitives provenant des dépendances. Ce scénario, souvent sous-estimé ou négligé, expose les logiciels à une multiplicité de menaces invisibles, ce qui en fait une cible idéale pour les attaques de la chaîne d'approvisionnement.

 

Un mirage de sécurité

 

Paradoxalement, alors que les menaces se multiplient, une grande partie des développeurs pensent que leurs applications n'utilisent pas de bibliothèques vulnérables. L'enquête de Sonatype a révélé que 68 % des développeurs étaient convaincus que leurs applications n'utilisaient pas de bibliothèques vulnérables connues. Toutefois, une analyse de 55 000 applications d'entreprise a montré que 68 % d'entre elles présentaient effectivement des vulnérabilités connues.

 

Cette disparité flagrante entre la perception et la réalité soulève une question essentielle : pourquoi les développeurs ne voient-ils pas les risques qui se cachent dans leur code ?

 

L'illusion du "ça ne m'arrivera pas

 

Cette disparité est souvent alimentée par un biais implicite, où les développeurs, et même les responsables informatiques, perçoivent leur code et leurs pratiques comme étant au-dessus de la moyenne. Le syndrome du "ça ne m'arrivera pas" prend racine, perpétuant un cycle de sous-estimation des risques et d'excès de confiance dans les pratiques internes. 

 

En outre, la complexité de la gestion et du suivi du vaste réseau de dépendances, de mises à jour et de vulnérabilités devient une tâche décourageante. Chaque application Java contenant en moyenne 148 dépendances (20 de plus que l'année précédente) et se mettant à jour 10 fois par an, les développeurs doivent gérer les informations relatives à près de 1 500 changements de dépendances par an et par application.

 

Le péril de la négligence

 

Dans ce contexte, la menace que représentent les logiciels libres malveillants ne cesse de croître. Un nombre impressionnant de 88 000 paquets malveillants à code source ouvert (et leurs versions) ont été découverts en une seule année. découverts en une seule annéece qui indique une prolifération des risques pour les systèmes des entreprises en raison de vulnérabilités intentionnelles ou non. Cette recrudescence des activités malveillantes témoigne de l'utilisation accrue des logiciels libres par les équipes de développement qui cherchent à accélérer la mise sur le marché, souvent au détriment d'un contrôle approfondi de la sécurité.

 

Changer le paradigme : Atténuer les risques invisibles

 

L'atténuation de ces risques implique un changement de paradigme dans l'approche des développeurs et des organisations en matière de développement et de sécurité des logiciels :

 

  • Reconnaître l'invisible: Les développeurs et les organisations doivent d'abord reconnaître les menaces potentielles qui se cachent dans les dépendances des bibliothèques qu'ils utilisent.

 

  • Gérer les dépendances de manière transparente: L'utilisation d'outils et de pratiques garantissant la visibilité et la gestion des dépendances permet aux développeurs d'avoir une vision claire de toutes les bibliothèques intégrées et de leurs dépendances respectives.

 

  • Priorité à la sécurité: La sélection des composants doit donner la priorité à la sécurité, même si cela implique d'opter pour un projet moins populaire présentant moins de vulnérabilités et un arbre de dépendances plus petit.

 

  • Adopter des mesures de sécurité proactives: Il est judicieux de privilégier une source fiable pour vos dépendances plutôt que des dépôts populaires mais non vérifiés. Des services comme SecureChain pour Java de TuxCare de TuxCare offrent précisément cette fonctionnalité.

 

  • Contrôler et mettre à jour en permanence: La surveillance continue des dépendances pour détecter les vulnérabilités et la mise à jour régulière des bibliothèques contribueront à protéger les logiciels contre les menaces potentielles.

 

Alors que le paysage des menaces continue d'évoluer, la reconnaissance des risques invisibles et l'intégration de pratiques de sécurité robustes dans le cycle de développement deviennent une préoccupation inévitable. L'excès de confiance et la sous-estimation induisent une forme de cécité sélective qui protège les attaquants juste assez longtemps pour nuire activement aux logiciels de production, et devraient être activement évités pour protéger les logiciels contre les menaces croissantes des attaques de la chaîne d'approvisionnement. 

 

Les développeurs et les organisations doivent naviguer dans le réseau complexe des dépendances avec un œil vigilant, en veillant à ce que leur code reste sécurisé au milieu des dangers cachés qui les guettent.

Résumé
Attaques contre la chaîne d'approvisionnement - Perception du risque et réalité
Nom de l'article
Attaques contre la chaîne d'approvisionnement - Perception du risque et réalité
Description
Découvrez dans cet article la déconnexion entre la perception des attaques de la chaîne d'approvisionnement et la réalité de leurs dommages potentiels.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information