Selon une récente étude de Sonatype, une plateforme d'analyse de la composition des logiciels, les cyberattaques « nouvelle génération » contre les logiciels open source, augmentent de manière exponentielle. Une augmentation de 650% est annoncée pour 2021, par rapport à l'année précédente.

Les logiciels sont attaqués de plus en plus en amont

Au cours de l'année 2021, Sonatype a étudié les données de 100 000 logiciels utilisés par des développeurs du monde entier. La plateforme s'est également intéressée aux écosystèmes Java, JavaScript, Python et .Net. Cette étude est le septième rapport annuel de l'entreprise intitulé « State of the Software Supply Chain ». Il met en lumière les vulnérabilités des logiciels. On apprend notamment que dans l'écosystème open source, 29% des logiciels contiennent au moins une vulnérabilité de sécurité connue.

Les chercheurs de Sonatype ont une explication à cela. Ils estiment que les hackers sont plus susceptibles d'exploiter des bases de code « populaires », pour maximiser les dégâts à travers les logiciels. Matt Howard, vice-président exécutif de Sonatype, précise que : « nous savons maintenant que les projets populaires contiennent un nombre disproportionné de vulnérabilités. Cette dure réalité met en évidence une opportunité pour les leaders de l'ingénierie d'adopter une automatisation intelligente afin qu'ils puissent aider les développeurs à garder leurs bibliothèques à jour, avec des versions optimales ».

Des vulnérabilités de plus en plus sournoises

Les résultats les plus intéressants de l'étude sont ceux liés à la nature évolutive des attaques de logiciels : le rapport de Sonatype montre que les hackers gagnent du temps en adoptant des techniques qui vont plus en amont vers les origines du code open source. Il s'agit là des cyberattaques de « nouvelle génération ». Elles offrent aux pirates de plus grandes possibilités de distribuer des logiciels malveillants tout au long de la chaîne d'approvisionnement des logiciels afin d'infliger un maximum de dommages.

Ce n'est un secret pour personne : les bases de code open source contiennent une myriade de vulnérabilités. En 2021, les hackers ne peuvent plus compter sur les vulnérabilités « connues » comme avant. Ils sont contraints de créer de nouvelles vulnérabilités, en amont, impactant ainsi l'ensemble de la chaîne d'approvisionnement logicielle.

Cette année, Sonatype a identifié un nouveau type d'attaque : la « confusion de dépendance ». Une technique qui consiste à tromper les scripts d'installation des logiciels open source. Concrètement, les hackers réussissent à tromper la vigilance des développeurs en les incitant à télécharger des programmes malveillants qui imitent le nom d'un programme légitime sur un registre public.