ClickCease Les chiffres dangereux des attaques contre la chaîne d'approvisionnement

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Les chiffres dangereux des attaques contre la chaîne d'approvisionnement

Joao Correia

23 octobre 2023 - Évangéliste technique

Les attaques contre la chaîne d'approvisionnement ont connu une hausse vertigineuse ces dernières années, devenant une menace redoutable dans le paysage cybernétique. Alors que les entreprises dépendent de plus en plus de logiciels tiers et de composants open-source, les attaques de la chaîne d'approvisionnement sont devenues un vecteur viable et insidieux permettant aux adversaires d'exploiter les vulnérabilités des logiciels largement utilisés et d'affecter simultanément de nombreuses organisations.

 

Une menace grandissante : Croissance et implications

 

La montée en puissance des attaques contre la chaîne d'approvisionnement en logiciels n'est pas seulement hypothétique, elle est étayée par des statistiques alarmantes. Entre 2019 et 2022, les attaques contre la chaîne d'approvisionnement en logiciels ont connu une hausse vertigineuse de 742 %L'année 2023 est sur le point d'établir un nouveau record.

 

La dépendance à l'égard de logiciels tiers et de composants à code source ouvert, bien que cruciale pour l'agilité opérationnelle et la réduction des délais de développement, présente des risques importants. En raison de cette dépendance à l'égard du code externe, par de multiples entreprises et pour différentes applications, une attaque sur une bibliothèque de base peut rapidement s'étendre à des milliers de piles logicielles vulnérables, comme l'illustre la récente vulnérabilité de WebP.

 

Le risque inhérent aux logiciels tiers

 

L'utilisation massive de logiciels tiers ouvre une boîte de pandore de risques et de défis. Notamment, selon Gartner, 60 % des organisations travaillent avec plus de 1 000 tiersintroduisant ainsi de nombreux points d'entrée potentiels pour les adversaires.

 

Des cas comme celui de JP Morgan Chase, qui a exposé les noms d'utilisateur et les mots de passe de millions de comptes en raison d'une vulnérabilité dans le site web d'un vendeur tiers, soulignent les risques tangibles et les vastes répercussions de ces attaques.

 

L'infamie de Log4j

 

La vulnérabilité de Log4j, ou Log4Shell, illustre comment une seule vulnérabilité dans une bibliothèque open-source largement utilisée peut se transformer en une crise mondiale de cybersécurité. Cette vulnérabilité n'était pas seulement présente dans les dépendances directes, mais aussi dans quelque 17 000 paquets Java hébergés sur le dépôt Maven Central, en tant que dépendance directe ou transitive. Malgré des efforts considérables de correction, de nombreux cas ne sont toujours pas corrigés, ce qui représente un risque permanent pour les organisations du monde entier.

 

La complexité des réseaux de dépendance

 

Les dépendances dans les chaînes d'approvisionnement en logiciels introduisent des couches supplémentaires de complexité et de risque. Les vulnérabilités transitives héritées de ces dépendances ont atteint des niveaux sans précédent, affectant deux tiers des bibliothèques à code source ouvert.

 

L'incident Log4Shell a mis en évidence l'importance de la visibilité et de la connaissance de ces chaînes d'approvisionnement complexes, car le manque de compréhension de leurs origines et de leurs dépendances peut gravement entraver les efforts de lutte contre les vulnérabilités.

 

L'escalade des nombres et des techniques

 

Selon un rapport de Sonatypele nombre d'attaques documentées contre la chaîne d'approvisionnement impliquant des composants tiers malveillants a augmenté de 633 % en l'espace d'un an, pour atteindre plus de 88 000 cas connus. Les techniques d'attaque se sont diversifiées, avec la confusion des dépendances, le typosquatting, le brandjacking, l'injection de codes malveillants et même le protestware, qui posent de nouveaux défis et de nouvelles considérations aux professionnels de la cybersécurité.

 

L'énigme de la dépendance

 

Les attaques par confusion de dépendances ont particulièrement gagné en importance depuis leur divulgation en février 2021. Cette technique exploite le comportement des clients de gestion de paquets, en les incitant à utiliser des paquets malveillants avec des numéros de version plus élevés provenant de dépôts publics au lieu de paquets légitimes dans des dépôts internes. Cela souligne la nécessité pour les organisations d'enregistrer les noms de leurs paquets privés dans les dépôts publics ou d'utiliser des préfixes distincts pour atténuer ces risques.

 

Renforcer les défenses contre les attaques de la chaîne d'approvisionnement

 

L'identification et l'atténuation des vulnérabilités sont au cœur d'une stratégie de défense solide contre les attaques de la chaîne d'approvisionnement. Il n'est pas réaliste de s'attendre à ce que chaque dépendance soit vérifiée à chaque mise à jour, et à ce que chaque dépendance soit vérifiée, de manière transitoire, tout au long de la chaîne. 

 

Il n'y a pas assez de ressources disponibles pour effectuer cette tâche en continu, comme cela serait nécessaire pour assurer une défense adéquate. Et même dans ce cas, tout comme nous voyons les applications fournir continuellement des correctifs pour la correction des bogues, il serait facile de manquer des problèmes qui pourraient conduire à des problèmes de sécurité.

 

Une alternative consiste à s'appuyer sur des référentiels de confiance pour vos dépendances qui effectuent cette vérification pour vous. Des services comme SecureChain for Javade TuxCare, offrent précisément cela - une source de dépendances curée, mise à jour et fiable pour vos bibliothèques Java, réduisant le risque de tirer des dépendances boguées ou compromises de sources publiques ou non fiables.

 

Les chiffres dangereux des attaques contre la chaîne d'approvisionnement donnent une image inquiétante du paysage des cybermenaces. La diversification et la sophistication des techniques d'attaque imposent un changement de paradigme : il faut passer de la simple prévention à des stratégies proactives de détection et d'atténuation. Les organisations doivent adopter une approche holistique, informée et adaptative pour naviguer dans ce réseau complexe de vulnérabilités et de dépendances, en protégeant leurs actifs numériques et leur intégrité opérationnelle contre la vague croissante d'attaques de la chaîne d'approvisionnement.

Résumé
Les chiffres dangereux des attaques contre la chaîne d'approvisionnement
Nom de l'article
Les chiffres dangereux des attaques contre la chaîne d'approvisionnement
Description
En savoir plus sur les attaques de la chaîne d'approvisionnement qui sont devenues un vecteur viable et insidieux permettant aux adversaires d'exploiter les vulnérabilités.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information