Selon une récente étude de Sonatype, une plateforme d’analyse de la composition des logiciels, les cyberattaques « nouvelle génération » contre les logiciels open source, augmentent de manière exponentielle. Une augmentation de 650% pour 2021, par rapport à l’année précédente.

Au cours de l’année 2021, dans le cadre de son septième rapport annuel intitulé « State of the Software Supply Chain », Sonatype a étudié les données de 100 000 logiciels utilisés par des développeurs du monde entier. La plateforme s’est également intéressée aux écosystèmes Java, JavaScript, Python et Net, a indiqué SiecleDigital. Ce rapport annuel a permis de mettre en lumière, la vulnérabilité des logiciels. On apprend aussi que dans l’écosystème open source, 29% des logiciels sont au moins d’une vulnérabilité de sécurité connue.

Selon les experts de Sonatype, les hackers sont plus susceptibles d’exploiter des bases de code « populaires », pour maximiser les dégâts à travers les logiciels. A cet effet, Matt Howard, vice-président exécutif de Sonatype, a précisé que : « nous savons maintenant que les projets populaires contiennent un nombre disproportionné de vulnérabilités. Cette dure réalité met en évidence une opportunité pour les leaders de l’ingénierie d’adopter une automatisation intelligente afin qu’ils puissent aider les développeurs à garder leurs bibliothèques à jour, avec des versions optimales », selon notre source.

“Infliger le maximum de domages”

Les résultats les plus intéressants de l’étude sont ceux liés à la nature évolutive des attaques de logiciels : le rapport de Sonatype montre que les hackers gagnent du temps en adoptant des techniques qui vont plus en amont vers les origines du code open source. Il s’agit là des cyberattaques de « nouvelle génération ». Elles offrent aux pirates de plus grandes possibilités de distribuer des logiciels malveillants tout au long de la chaîne d’approvisionnement des logiciels afin d’infliger un maximum de dommages.

Les bases de code open source contiennent une myriade de vulnérabilités, a précisé SiecleDigital. En 2021, les hackers ont changé de tactiques contre les logiciels en créant de nouvelles vulnérabilités, en amont, impactant ainsi l’ensemble de la chaîne d’approvisionnement logicielle.

Sonatype a déclaré avoir découvert un nouveau type d’attaque, cette année, dénommé la « confusion de dépendance » qui consiste à tromper les scripts d’installation des logiciels open source. Concrètement, les hackers réussissent à tromper la vigilance des développeurs en les incitant à télécharger des programmes malveillants qui imitent le nom d’un programme légitime sur un registre public.

Lucien DAKISSAGA