Linux, Android, Mozilla et leurs partenaires se mobilisent pour sécuriser l’écosystème open source. La communauté ne veut pas être accusée de tous les maux et reste consciente que son modèle est devenu une clé de voûte pour l’ensemble du numérique. Une sensibilisation et une vigilance maximales sont donc devenues essentielles. Et la mobilisation contre les failles s’organise autour de budget à plusieurs millions de dollars.

open-source-securite_une

Smartphones et tablettes Android ou iOS, app mobile, montres, ordinateurs, box, TV, maison connectés, voiture autonome, réseaux professionnels et sensibles, … aucun pan de l’ère numérique n’est épargné par les menaces sur la sécurité. Vulnérabilités et attaques, plus ou moins sévères sont découvertes presque chaque jour. Bon nombre d’entre-elles sont fondées sur des infrastructures ou développements logiciels open source.

L’open source, victime de son succès ?

L’open source est devenu un standard, un moteur de la transformation numérique et « ces technologies sont la colonne vertébrale des entreprises » affirmait déjà en 2014, le président de l’Open World Forum. On loue dans ce modèle sa capacité d’innovation, de réduction du time-to-market ou sa vision ‘’out-of-the-box’’. Côté sécurité, la réactivité des contributeurs est efficace, lors de détection de faille ou de piratage. Pour les acteurs majeurs de l’open source, améliorer la sécurité dès l’amont est devenu une priorité. Et ils mettent les moyens.

linuxThe Linux Core Infrastructure Initiative (CII)

En mars 2014, le monde découvrait Heartbleed, une vulnérabilité introduite par inadvertance dans le système de cryptographie OpenSLL. Elle permettait de collecter des données sensibles, des mots de passe, sur plusieurs centaines de milliers de serveurs dits sécurisés et sans que l’auteur puisse être identifié. Elle aurait pu être d’une gravité sans précédent.

La Linux Core Infrastructure Initiative est née de cet électrochoc. Coordonnée par Linux, cette organisation vise à soutenir et financer des projets autour de la sécurité en ralliant à sa cause un maximum de géants des technologies numériques. Et ils ont répondu présents en investissant des millions de dollars. Dans les rangs de la CII, on trouve Amazon, Cisco, Qualcomm, VMWare, Dell, Google, Facebook, Microsoft, Intel, Huawei, etc.

Audits, correctifs, diffusion de bonnes pratiques, appels à la responsabilisation : les experts des membres de la CII jouent sur tous les tableaux pour informer la communauté et fiabiliser dès leur conception tous les projets open source. Première manifestation visible de son travail, la CII a reconnu plusieurs solutions open source respectant les bonnes pratiques et la qualité de codage en accordant un ‘’badge’’.

Parallèlement à ses validations, la CII a engagé plusieurs programmes pour la vérification de système, l’éducation aux bonnes pratiques et le développement d’outils d’analyse.

androidLa chasse aux bugs est ouverte sur Android

Le système d’exploitation mobile de Google est régulièrement dans le collimateur question sécurité. Il est aussi l’OS dominant. Il équipe de 52 à 89% des terminaux mobiles dans le monde selon les indicateurs Kantar.

Le programme Android Security Rewards a été lancé en 2015, en même temps que la progression très remarquée de l’OS sur le marché. Il récompense les développeurs détectant des failles avec des primes variant de 330 à 8 000 dollars selon la gravité du bug. 550 000 dollars avaient été distribués entre 82 contributeurs un an après le lancement du programme selon Google. Les Android Security Rewards complètent un dispositif similaire, Google Vulnerability Rewards, initié en 2014 pour mieux sécuriser google.com, YouTube et la plate-forme Blogger.

mozillaLe SOS de Mozilla

En 2014, juste après le séisme Heartbleed, Mozilla avait promis des récompenses jusqu’à 10 000 dollars aux dénicheurs de faille sur Firefox. Depuis, Mozilla a structuré son action en faveur de l’open source. D’abord en 2015, avec MOSS (Mozilla Open Source Support), un programme de soutien aux projets open source contribuant à « la bonne santé d’Internet ».

Cette année, l’organisation a décidé de consacrer un fonds de 500 000 dollars pour un nouveau programme SOS (Secure Open Source). Il est entièrement axé sur la sécurité avec le financement d’audit, de correctifs et de vérification de projets sensibles, un peu à la manière de la Linux CII mais complémentaire, précise Mozilla sur son Wiki, car SOS est orienté sur des projets concrets et avec un impact à court terme.

Sources : L’Usine Digitale, Next Impact, Linux CII, Journal du Geek, 01.net, Google, Mozilla MOSS, L’informaticien, Mozilla SOS