La Maison Blanche souhaite que les organisations gouvernementales et du secteur privé mobilisent leurs efforts et leurs ressources pour sécuriser les logiciels open source et sa chaîne d’approvisionnement après que les vulnérabilités de Log4J ont exposé les infrastructures critiques aux attaques des acteurs de la menace.
Des discussions sur ce sujet ont eu lieu lors du sommet sur la sécurité des logiciels open source convoqué jeudi par l’administration Biden.
Les participants se sont concentrés sur trois sujets : prévenir les failles de sécurité et les vulnérabilités dans les logiciels open source, améliorer le processus de détection des failles de sécurité et de les corriger, et réduire le temps nécessaire pour fournir et déployer des correctifs.
« La plupart des principaux progiciels incluent des logiciels open source – y compris des logiciels utilisés par la communauté de la sécurité nationale », une lecture de la réunion sur la sécurité des logiciels lit.
« Les logiciels open source apportent une valeur unique et présentent des défis de sécurité uniques, en raison de leur étendue d’utilisation et du nombre de bénévoles responsables de sa maintenance continue de la sécurité. »
Lors du sommet, Google a proposé la création d’une nouvelle organisation qui agirait comme un marché pour la maintenance open source qui mettrait en relation des bénévoles des entreprises participantes avec des projets critiques qui ont le plus besoin de soutien.
Pendant trop longtemps, la communauté des logiciels s’est confortée dans l’hypothèse selon laquelle les logiciels open source sont généralement sécurisés en raison de leur transparence et de l’hypothèse que « de nombreux yeux » surveillaient pour détecter et résoudre les problèmes. Mais en fait, alors que certains projets ont beaucoup d’yeux sur eux, d’autres en ont peu ou pas du tout. Le recours croissant à l’open source signifie qu’il est temps que l’industrie et le gouvernement se réunissent pour établir des normes de base en matière de sécurité, de maintenance, de provenance et de test, afin de garantir que l’infrastructure nationale et d’autres systèmes importants puissent s’appuyer sur des projets open source. Ces normes doivent être élaborées dans le cadre d’un processus collaboratif, en mettant l’accent sur des mises à jour fréquentes, des tests continus et une intégrité vérifiée. — Kent Walker, président des affaires mondiales et directeur juridique de Google et Alphabet
Ce sommet de la Maison Blanche fait suite à des attaques récentes et en cours ciblant des vulnérabilités de sécurité critiques dans la bibliothèque de journalisation open-source et omniprésente basée sur Java Apache Log4j qui a exposé les particuliers et les entreprises à des attaques d’exécution de code à distance.
La réunion a été suivie par Anne Neuberger, conseillère adjointe à la sécurité nationale, et Chris Inglis, directeur national de la cybersécurité.
Ils ont été rejoints par des responsables de plusieurs agences fédérales, dont le ministère de la Défense, le ministère du Commerce, le ministère de l’Énergie et le ministère de la Sécurité intérieure, ainsi que des représentants de la Cybersecurity and Infrastructure Security Agency (CISA), du National Institut des normes et de la technologie et National Science Foundation.
Les organisations du secteur privé qui ont rejoint la réunion sont, par ordre alphabétique : Akamai, Amazon, Apache Software Foundation, Apple, Cloudflare, Facebook/Meta, GitHub, Google, IBM, la Linux Foundation, l’Open Source Security Foundation, Microsoft, Oracle, RedHat, VMWare.
Le président Biden a précédemment fait de la sécurité des logiciels une priorité nationale après avoir publié un décret exécutif visant à renforcer les défenses américaines en matière de cybersécurité en mai 2021.
Le décret exécutif de Biden sur la cybersécurité est intervenu après l’attaque de la chaîne d’approvisionnement de SolarWinds en décembre.
Il demande au gouvernement américain de renforcer la sécurité de la chaîne d’approvisionnement en développant des directives, des outils et des meilleures pratiques pour auditer et s’assurer que les acteurs malveillants ne se mêlent pas des logiciels critiques.
Le même décret stipule également que seules les entreprises qui utilisent des pratiques de cycle de vie de développement de logiciels sécurisés peuvent vendre leurs produits au gouvernement fédéral, tirant parti du pouvoir d’achat du gouvernement pour apporter des améliorations à la chaîne d’approvisionnement des logiciels.