![\"Histoire](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock-1363462781-300x157.jpg\" "\\"Contributeur")
<\/p>\n<\/p>\n
Les logiciels libres sont aujourd'hui vitaux pour tout le domaine de l'informatique. Autant dire... pour tous les domaines. La question de leur maintien est progressivement devenue un sujet d'inqui\u00e9tude, \u00e0 tel point que le Congr\u00e8s am\u00e9ricain a pr\u00e9sent\u00e9 un projet de loi en 2023\u00a0: le 'Securing Open Source Software Act<\/em>'. Le trajet de l'Open Source, d'une imprimante au Congr\u00e8s am\u00e9ricain en passant par la compromission de la biblioth\u00e8que XZ, retour sur une histoire fascinante.<\/strong><\/p>\n Dans ce 'Securing Open Source Software Act<\/em><\/a>', le ton est donn\u00e9 d\u00e8s les premi\u00e8res lignes\u00a0: \u00ab\u00a0Les logiciels libres favorisent le d\u00e9veloppement technologique et font partie int\u00e9grante de la cybers\u00e9curit\u00e9 globale<\/em>\u00a0\u00bb\u00a0; \u00ab\u00a0Un \u00e9cosyst\u00e8me de logiciels libres s\u00fbrs, sains, dynamiques et r\u00e9silients est essentiel pour garantir la s\u00e9curit\u00e9 nationale et la vitalit\u00e9 \u00e9conomique des \u00c9tats-Unis<\/em>\u00a0\u00bb\u00a0; \u00ab\u00a0Les logiciels libres font partie des fondements de l'infrastructure num\u00e9rique qui favorise un internet libre et ouvert<\/em>\u00a0\u00bb. \u00ab\u00a0Sans ces logiciels libres, Internet tel qu\u2019on le connait aujourd\u2019hui n\u2019existerait pas, et n\u2019aurait d\u2019ailleurs jamais exist\u00e9\u2026<\/em>\u00a0\u00bb, r\u00e9sume Yvan Vanhullebus<\/strong>, Technical Leader chez Stormshield. Mais m\u00e9langer les termes de logiciels libres et d\u2019Open Source peut irriter plus d\u2019un\u2026<\/p>\n Sans ces logiciels libres, Internet tel qu\u2019on le connait aujourd\u2019hui n\u2019existerait pas, et n\u2019aurait d\u2019ailleurs jamais exist\u00e9\u2026<\/em><\/p>\n <\/p>\n \u00c0 l\u2019origine, c\u2019est le terme de free software<\/em> qui est utilis\u00e9. Un concept n\u00e9 aux \u00c9tats-Unis dans les ann\u00e9es 1980 sous l'impulsion de Richard Stallman. Alors qu\u2019il souhaitait simplement pouvoir imprimer un document, ce fervent d\u00e9fenseur de la culture hacker<\/em><\/a> reste dans l\u2019histoire comme celui qui s\u2019oppose alors \u00e0 la privatisation des logiciels et \u00e0 l\u2019\u00e9mergence d\u2019une l\u00e9gislation toujours plus restrictive pour les utilisateurs. Le Computer Software Copyright Act<\/em> sera par exemple vot\u00e9 en 1980.<\/p>\n C'est dans ce contexte que Richard Stallman fonde en 1985 la Free Software Foundation<\/em>, organisation \u00e0 but non lucratif qui pose les quatre fondements du logiciel libre\u00a0: la libert\u00e9 d'ex\u00e9cuter le programme pour tous les usages\u00a0; la libert\u00e9 d'\u00e9tudier le fonctionnement d'un programme et de l'adapter \u00e0 ses besoins\u00a0; la libert\u00e9 de redistribuer des copies\u00a0; et la libert\u00e9 d'am\u00e9liorer le programme et de publier ces am\u00e9liorations pour en faire profiter toute la communaut\u00e9. Face aux possibles interpr\u00e9tations du terme \u00ab\u00a0free\u00a0\u00bb, le m\u00eame Richard Stallman y r\u00e9pond dans sa biographie autoris\u00e9e\u00a0: \u00ab\u00a0Don\u2019t think free as in free beer; think free as in free speech<\/em>\u00a0\u00bb. Il est alors bien question de libert\u00e9, et non de gratuit\u00e9. Mais cette approche \u00e9thique<\/a> du concept est loin de faire l'unanimit\u00e9 au sein de la communaut\u00e9\u00a0: pour mettre fin \u00e0 cette ambigu\u00eft\u00e9 linguistique, la scientifique am\u00e9ricaine Christine Peterson, alors directrice ex\u00e9cutive du Foresight Institute, invente le terme d\u2019Open Source en 1998. Une \u00e9volution lexicale n\u00e9cessaire, qu\u2019elle d\u00e9taille dans un long r\u00e9cit passionnant<\/a>. Aux c\u00f4t\u00e9s de noms comme Eric Raymond et Bruce Perens, elle participe alors \u00e0 la cr\u00e9ation de l\u2019Open Source Initiative (OSI) la m\u00eame ann\u00e9e. La terminologie originelle de free software<\/em> est alors laiss\u00e9e de c\u00f4t\u00e9, au profit de celle d'Open Source software<\/em>.<\/p>\n Don\u2019t think free as in free beer; think free as in free speech.<\/em><\/p>\n En France, il est possible de retrouver plusieurs termes traduits qui s\u2019opposent au logiciel propri\u00e9taire. Si le \u00ab\u00a0logiciel libre de droit<\/a>\u00a0\u00bb n\u2019a pas d\u2019essence d\u2019un point de vue juridique, il faut privil\u00e9gier les termes de \u00ab\u00a0logiciel libre\u00a0\u00bb et de \u00ab\u00a0logiciel Open Source\u00a0\u00bb. Question d\u00e9finition, le logiciel libre renvoie \u00e0 la possibilit\u00e9 de l\u2019utiliser, de l\u2019\u00e9tudier, de le modifier ou encore de le dupliquer tandis que le terme logiciel Open Source renvoie \u00e0 une optique de d\u00e9veloppement en r\u00e9utilisant toute ou partie du code source. <\/strong>Les projets Open Source sont g\u00e9n\u00e9ralement supervis\u00e9s par un ou plusieurs mainteneurs, mais encouragent les contributions externes comme l'ajout de nouvelles fonctionnalit\u00e9s, la remont\u00e9e de bugs (et leur correction) ou l\u2019am\u00e9lioration de la s\u00e9curit\u00e9. Dit autrement, l\u2019Open Source est un mouvement de d\u00e9veloppement logiciel collaboratif.<\/p>\n <\/p>\n Afin de garantir que les logiciels restent ouverts et libres, il \u00e9tait important de d\u00e9finir un cadre l\u00e9gal. Plusieurs licences d\u2019utilisation vont ainsi voir le jour. La plus connue est la GNU GPL (General Public License<\/em>), dont la premi\u00e8re version a \u00e9t\u00e9 cr\u00e9\u00e9e en 1989 sous l\u2019impulsion des quatre fondements imagin\u00e9s par Richard Stallman dans le but de fixer les conditions l\u00e9gales de distribution de logiciels libres du projet GNU<\/a>. D'autres licences suivront comme Apache 2.0, MIT, BSD ou encore Creative Common, int\u00e9grant des niveaux de permission et de r\u00e9utilisation du code qui leur sont propres.<\/p>\n C\u2019est le d\u00e9veloppement de ces licences qui permettra l\u2019\u00e9mergence de nombreux projets comme le lancement du noyau Linux en 1991 ou encore la mise sous licence Open Source de Netscape Navigator en 1998 (qui a servi de base pour cr\u00e9er la suite Mozilla). En 2001, Wikip\u00e9dia<\/a> deviendra l\u2019un des projets embl\u00e9matiques du mouvement Open Source, avec pour objectif d\u2019utiliser l\u2019intelligence collective pour cr\u00e9er la plus grande source de connaissance d\u2019internet. Par la suite, le lancement d'Android par Google en 2008 et la cr\u00e9ation de GitHub<\/a> la m\u00eame ann\u00e9e t\u00e9moignent de l'int\u00e9gration croissante de l'Open Source dans les technologies grand public et les infrastructures de d\u00e9veloppement logiciel. <\/strong>Le point d\u2019orgue de cette adoption, au moins de fa\u00e7ade, arrivera en 2014 par le discours de Satya Nadella, PDG Microsoft, au travers de la d\u00e9claration \u00ab Microsoft aime Linux \u00bb. Dans la communaut\u00e9 Open Source, nombreux se rappellent toutefois des propos de son pr\u00e9d\u00e9cesseur Steve Ballmer<\/a> lorsqu\u2019il avait qualifi\u00e9 ce m\u00eame Linux de \u00ab cancer qui se fixe, au sens de la propri\u00e9t\u00e9 intellectuelle, \u00e0 tout ce qu\u2019il touche<\/em>\u00a0\u00bb.<\/p>\n D\u2019un point de vue business, l\u2019Open Source est un mod\u00e8le \u00e9conomique particulier. Car si un projet est Open Source, il est possible d\u2019en cr\u00e9er des variantes qui \u00e9chappent au contr\u00f4le de l\u2019entreprise\u00a0; le mod\u00e8le \u00e9conomique tournant essentiellement autour des services ou encore de la maintenance (tout sauf des licences). L\u2019int\u00e9r\u00eat financier des entreprises est alors plut\u00f4t d\u2019adopter des briques ou des applications en Open Source, \u00e0 condition de bien conna\u00eetre les contraintes de chaque licence comme le souligne David Gueluy<\/strong>, R&D Manager et Technical Advisor chez Stormshield\u00a0: \u00ab\u00a0la licence GPL est connue pour exiger la redistribution des modifications apport\u00e9es au code source. Cette obligation a conduit \u00e0 des situations juridiques complexes pour certains \u00e9diteurs, confront\u00e9s \u00e0 des demandes de publication de l\u2019ensemble de leur code source \u2013 m\u00eame si c\u2019est seulement un tout petit bout de code GPL qui a \u00e9t\u00e9 int\u00e9gr\u00e9 dans un tr\u00e8s gros programme\u2026<\/em>\u00a0\u00bb. \u00c0 l'oppos\u00e9, des licences comme BSD, MIT ou Apache offrent plus de flexibilit\u00e9, permettant aux entreprises de modifier et d'utiliser le code sans obligation de partager les changements. Un attrait des entreprises pour l\u2019utilisation et le d\u00e9veloppement de projets Open Source qui se confirme dans les statistiques de Microsoft<\/a> o\u00f9 60% des images h\u00e9berg\u00e9es sur le cloud Azure seraient bas\u00e9s sur le noyau Linux ou sur des logiciels libres. \u00ab\u00a0\u00c7a me fait toujours sourire de lire r\u00e9guli\u00e8rement que l\u2019on fait de plus en plus appel \u00e0 de l\u2019Open Source ou encore que l\u2019Open Source prend une place pr\u00e9pond\u00e9rante \u00e0 tel ou tel endroit<\/em>, s\u2019amuse Yvan Vanhullebus. Est-ce que c\u2019est vraiment une tendance du moment ou bien est-ce que c\u2019est simplement que l\u2019on s\u2019en aper\u00e7oit seulement maintenant\u00a0?<\/em>\u00a0\u00bb Car l\u2019adoption de l\u2019Open Source est un ph\u00e9nom\u00e8ne qui embrase tous les secteurs, jusque dans la conception et d\u00e9veloppement des produits de cybers\u00e9curit\u00e9.<\/strong><\/p>\n \u00c7a me fait toujours sourire de lire r\u00e9guli\u00e8rement que l\u2019on fait de plus en plus appel \u00e0 de l\u2019Open Source ou encore que l\u2019Open Source prend une place pr\u00e9pond\u00e9rante. Est-ce que c\u2019est vraiment une tendance du moment ou bien est-ce que c\u2019est simplement que l\u2019on s\u2019en aper\u00e7oit seulement maintenant\u00a0?<\/em><\/p>\n <\/p>\n Comme tout, l\u2019Open Source poss\u00e8de ses partisans et ses d\u00e9tracteurs. Chez les d\u00e9tracteurs de l\u2019Open Source, plusieurs sujets font d\u00e9bat. Le premier d\u00e9bat, qui remonte maintenant \u00e0 une trentaine d\u2019ann\u00e9es, tenait \u00e0 la question de savoir si l\u2019approche-m\u00eame de l\u2019Open Source pouvait\u2026 fonctionner. \u00ab\u00a0D\u00e8s les d\u00e9buts et les premiers projets, on a su r\u00e9pondre \u00e0 cette question et trancher ce d\u00e9bat assez vite<\/em>, raconte Yvan Vanhullebus. Ce qui a amen\u00e9 au deuxi\u00e8me d\u00e9bat dans la foul\u00e9e\u00a0: celui qui voulait que l\u2019utilisation des outils Open Source ne soit r\u00e9serv\u00e9e qu\u2019\u00e0 des geeks chevelus \u00e0 lunettes\u2026<\/em>\u00a0\u00bb Un deuxi\u00e8me d\u00e9bat qui persiste encore en fonction des milieux et des secteurs, mais qui s\u2019est nettement calm\u00e9 avec le rapprochement entre Open Source et UX. Enfin, le troisi\u00e8me d\u00e9bat tient plus sp\u00e9cifiquement \u00e0 l\u2019univers de la cyber\u00a0: est-ce qu\u2019un produit de cybers\u00e9curit\u00e9 qui fait appel \u00e0 des briques Open Source peut \u00eatre fiable\u00a0?<\/strong> En ligne de mire, la crainte qu'un cyber-criminel d\u00e9couvre une faille et la garde dans l'intention de l'exploiter, \u00e0 l\u2019image des vuln\u00e9rabilit\u00e9s comme Heartbleed du projet OpenSSL d\u00e9couverte en 2012 ou Log4J<\/a>, d\u00e9couverte en 2021. Un autre argument avanc\u00e9 par les d\u00e9tracteurs de l\u2019Open Source renvoie \u00e0 la possibilit\u00e9 pour des acteurs malveillants\u00a0de contribuer \u00e0 un projet Open Source, en introduisant des faiblesses qui pourraient s\u2019apparenter \u00e0 de simples bugs... Dans un rapport de 2020<\/a>, GitHub avan\u00e7ait que 17% des bugs logiciels pr\u00e9sents sur la plateforme avaient \u00e9t\u00e9 plac\u00e9s intentionnellement dans le code par des acteurs malveillants. La compromission de la biblioth\u00e8que XZ<\/a>, brique de base utilis\u00e9e dans l\u2019environnement Linux, vient participer \u00e0 ces statistiques quelques ann\u00e9es plus tard. Fin mars 2024, un employ\u00e9<\/a> de Microsoft lance une alerte \u00e0 la communaut\u00e9 Open Source apr\u00e8s \u00eatre tomb\u00e9 sur une anomalie dans des packages XZ. R\u00e9f\u00e9renc\u00e9e depuis sous la CVE-2024-3094<\/a>, cette attaque par \u00e9tapes m\u00e9lange des techniques d'ing\u00e9nierie sociale et une pr\u00e9paration sur le long terme (entre plusieurs mois et plusieurs ann\u00e9es), pour ins\u00e9rer progressivement et discr\u00e8tement une backdoor. Une Supply Chain Attack<\/em> potentielle d\u2019envergure, d\u00e9jou\u00e9e juste \u00e0 temps\u2026<\/p>\n Mais l'Open Source poss\u00e8de aussi (et surtout) ses partisans. Ils expliquent, eux, que l\u2019Open Source am\u00e9liore la s\u00e9curit\u00e9 gr\u00e2ce \u00e0 sa transparence et \u00e0 la collaboration communautaire.<\/strong> La raison est que l'acc\u00e8s au code source permet de d\u00e9tecter plus ais\u00e9ment les vuln\u00e9rabilit\u00e9s et ainsi de les corriger au plus vite, comparativement \u00e0 une approche \"bo\u00eete noire\" o\u00f9 la visibilit\u00e9 est limit\u00e9e. David Gueluy abonde en ce sens\u00a0: \u00ab\u00a0ce qui est remarquable dans l\u2019aspect de la s\u00e9curit\u00e9 des projets Open Source, c'est cette id\u00e9e que vous pouvez v\u00e9rifier par vous-m\u00eame\u00a0; qu'il n'y a rien d'anormal dans le code, pas de porte d\u00e9rob\u00e9e, ou du moins, si vous trouvez quelque chose, il est possible de le corriger soi-m\u00eame<\/em>\u00a0\u00bb.<\/p>\n Ce qui est remarquable dans l\u2019aspect de la s\u00e9curit\u00e9 des projets Open Source, c'est cette id\u00e9e que vous pouvez v\u00e9rifier par vous-m\u00eame ; qu'il n'y a rien d'anormal dans le code, pas de porte d\u00e9rob\u00e9e, ou du moins, si vous trouvez quelque chose, il est possible de le corriger soi-m\u00eame.<\/em><\/p>\n Et c'est bien le cas avec Heartbleed, Log4J et la compromission XZ\u00a0: la r\u00e9activit\u00e9 et la collaboration de la communaut\u00e9 Open Source ont \u00e9t\u00e9 d\u00e9terminantes pour les r\u00e9soudre. \u00c0 noter que malgr\u00e9 le bruit fait autour de la compromission XZ, il est important de pr\u00e9ciser qu\u2019il ne s'agit ni d'un ph\u00e9nom\u00e8ne nouveau, ni sp\u00e9cifique au monde de l'Open Source. Fin 2020, le malware Sunburst<\/a> avait \u00e9t\u00e9 introduit dans la cha\u00eene de d\u00e9veloppement du logiciel Orion de l\u2019entreprise SolarWinds. Au total, plus de 18 000 entreprises et institutions dans le monde auraient \u00e9t\u00e9 concern\u00e9es par cette attaque. Un \u00e9pisode qui illustre bien que m\u00eame les solutions qui ne sont pas Open Source restent sensibles aux vuln\u00e9rabilit\u00e9s.<\/strong><\/p>\n Cette approche de l'Open Source est \u00e9galement soutenue par des entit\u00e9s publiques telles que France Num<\/a> et l'ANSSI<\/a>. L\u2019agence fran\u00e7aise est impliqu\u00e9e dans de nombreux projets Open Source, que ce soit par les contributions de ses agents ou la publication de plusieurs outils. Cet investissement \u00ab\u00a0r\u00e9pond \u00e0 un r\u00e9el enjeu de s\u00e9curit\u00e9 et de souverainet\u00e9, pour prot\u00e9ger les biens communs et investir dans des technologies et des solutions d\u2019avenir<\/em>\u00a0\u00bb.<\/strong> Et contribue ainsi activement au d\u00e9veloppement de logiciels libres comme Linux, la distribution Debian ou encore le logiciel Suricata. Car les projets Open Source dans la cybers\u00e9curit\u00e9 ne manquent pas. David Gueluy mentionne Vault, \u00ab\u00a0une des solutions de HashiCorp, soci\u00e9t\u00e9 fond\u00e9e sur les principes-m\u00eames de l\u2019Open Source, qui permet le stockage s\u00e9curis\u00e9 de secrets<\/em>\u00a0\u00bb, KeePass (gestionnaire de mots de passe), TheHive (Plateforme de r\u00e9ponse \u00e0 incidents), Metasploit Framework (outil de test d\u2019intrusion) ou encore MISP (plateforme de partage de renseignements sur la menace cyber), qui montrent l'impact de l'Open Source dans le d\u00e9veloppement de solutions de cybers\u00e9curit\u00e9 robustes.<\/strong> OpenSSL, class\u00e9 dans le top 10 par l\u2019Open Source Security Index<\/a>, est par exemple l'un des projets majeurs pour la s\u00e9curisation des communications, utilis\u00e9 aussi bien dans des produits commerciaux que dans des solutions Open Source. \u00ab\u00a0L'int\u00e9r\u00eat d'OpenSSL pour les entreprises est d'avoir acc\u00e8s \u00e0 une librairie crypto d\u00e9j\u00e0 \u00e9prouv\u00e9e et largement valid\u00e9e par la communaut\u00e9, elles n'ont donc pas besoin de repartir de z\u00e9ro<\/em>\u00a0\u00bb, explique David Gueluy. Et c\u2019est bien l\u00e0 tout le c\u0153ur du sujet\u00a0: cr\u00e9er un nouveau produit qui ne serait bas\u00e9 sur aucune technologie Open Source serait illusoire, hormis produit de niche, tant cela n\u00e9cessiterait des investissements cons\u00e9quents pour (re)d\u00e9velopper des briques d\u00e9j\u00e0 disponibles qui ont mis des ann\u00e9es \u00e0 se construire. Et c'est apr\u00e8s avoir int\u00e9gr\u00e9 cet \u00e9tat de fait qu'il est possible de mettre en place un cercle vertueux, en s\u2019assurant d\u2019auditer les versions des briques Open Source pour la d\u00e9couverte de potentielles vuln\u00e9rabilit\u00e9s, en publiant rapidement des correctifs lors de la d\u00e9couverte de ces potentielles vuln\u00e9rabilit\u00e9s, et en contribuant aux projets (correctifs, fonctionnalit\u00e9s, financement...).<\/p>\n <\/p>\n Ainsi l'Open Source, avec son approche de transparence et de collaboration, s'av\u00e8re \u00eatre un moteur pour l'innovation dans le domaine de la cybers\u00e9curit\u00e9. Attention toutefois au nouveau d\u00e9fi r\u00e9glementaire que pose la loi europ\u00e9enne sur la cyber-r\u00e9silience (Cyber Resilience Act<\/a>, CRA) qui doit entrer en vigueur en 2024. Une r\u00e8glementation qui vise \u00e0 obliger les d\u00e9veloppeurs \u00e0 un engagement de responsabilit\u00e9 en cas de d\u00e9faut de s\u00e9curit\u00e9 dans le code \u2013 n\u00e9cessaire pour lutter contre l\u2019approche en bo\u00eete noire mais qui ne satisfait pas encore compl\u00e8tement la communaut\u00e9<\/a>\u2026 \u00c0 suivre.<\/p>\n","protected":false},"excerpt":{"rendered":" Les logiciels libres sont aujourd’hui vitaux pour tout le domaine de l’informatique. Autant dire… pour tous les domaines. La question de leur maintien est progressivement devenue un sujet d’inqui\u00e9tude, \u00e0 tel point que le Congr\u00e8s am\u00e9ricain a pr\u00e9sent\u00e9 un projet de loi en 2023\u00a0: le…<\/p>\n","protected":false},"author":52,"featured_media":506424,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1608],"tags":[4368],"business_size":[],"industry":[],"help_mefind":[],"features":[],"type_security":[],"maintenance":[],"offer":[],"administration_tools":[],"cloud_offers":[],"listing_product":[],"class_list":["post-506429","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-paroles-experts","tag-la-cybersecurite-par-stormshield"],"acf":[],"yoast_head":"\nYvan Vanhullebus<\/strong>, Technical Leader Stormshield<\/pre>\n<\/blockquote>\n
Les origines de l\u2019Open Source<\/h2>\n
Richard Stallman<\/strong>, programmeur et militant du logiciel libre<\/pre>\n<\/blockquote>\n
L'Open Source\u00a0: une \u00e9volution vers la collaboration communautaire<\/h2>\n
Yvan Vanhullebus<\/strong>, Technical Leader Stormshield<\/pre>\n<\/blockquote>\n
L'importance de l'ouverture s\u00e9curis\u00e9e des \u00e9cosyst\u00e8mes<\/h2>\n
David Gueluy<\/strong>, R&D Manager et Technical Advisor chez Stormshield<\/pre>\n<\/blockquote>\n