Attention à la vulnérabilité de certaines bibliothèques open source

Plus de 70 % des applications qui utilisent des bibliothèques open source ont été déclarées vulnérable selon Veracode, après avoir testé plus de 85 000 applications. La cause principale de ce chiffre exorbitant est le fait que la majorité des développeurs voient dans ces bibliothèques une occasion de faciliter le travail et la livraison des applications. C’est aussi une ressource inépuisable comme une imbrication pour monter des applications. Désérialisation, failles XSS… la vulnérabilité de ces bibliothèques open source a directement un impact sur la sécurité et la fiabilité de l’application.

L’utilisation de l’open source : une monnaie courante

L’utilisation des bibliothèques open source est une pratique habituelle dans le domaine du développement d’application. En effet, faire appel à cette pratique permet aux développeurs de gagner beaucoup de temps. Ces bibliothèques vont fournir des options de base à l’application comme des « menus » ou « barres de défilement » par exemple. Une imbrication de quelques codes préprogrammée peut déjà monter les bases de l’application. Ainsi, ces bibliothèques ont donc un accès direct aux racines mêmes de l’application. Cette pratique est aussi mise en avant dans la création de sites web sur des CMS gratuits comme WordPress.

Une vulnérabilité de l’application

Bien qu’on ne puisse obtenir une application brute sans personnalisation avec les codes obtenus sur les bibliothèques open source, le développeur n’aura plus qu’à écrire quelques lignes de codes pour pouvoir personnaliser l’application. Pourtant, c’est à partir des codes de ces bibliothèques que les pirates informatiques créent une faille. De plus, l’ajout d’autres fonctionnalités et l’innovation ne peuvent se faire sans passer par des bibliothèques open source. Cheval de Troie, codes out-To-date… les cybercriminels peuvent avoir accès directement à l’application afin de tirer des données confidentielles.

Des failles qui peuvent avoir des conséquences importantes

L’exposition à des risques de piratage ou autres attaques de cybercriminalité est la conséquence directe de ses failles. Les smartphones, par exemple, contiennent toutes les données personnelles et professionnelles de son utilisateur et l’accès de l’application à ses données peut avoir de lourdes conséquences. Le piratage peut aussi être un cas critique pour les entreprises, car l’application a des accès aux données sensibles.

On peut aussi citer le risque de bug au niveau de l’application. Ce cas peut arriver quand les codes ne sont pas à jour. Pour certaines entreprises, un bug de leurs applications peut avoir un impact sur leurs productions et finances.

Des solutions sont proposées

Deux solutions s’offrent aux développeurs et aux entreprises pour lutter contre les piratages.

Premièrement, l’utilisation des dernières versions des codes. Les codes à jour présentent plus de difficulté d’accès au piratage par rapport aux codes out-To-date. Une mise à jour de ces codes via l’application peut aussi être une option afin de protéger l’application.

Deuxièmement, l’inventaire des ressources utilisées pour le développement doit toujours être effectué. Plus les ressources sont bien surveillées, plus on peut prévenir les cas de piratage. L’inventaire doit se faire depuis les composants des logiciels tiers et de leur dépendance open source.

1 comments

  1. Ping : Attention à la vulnérabilité de certaines bibliothèques open source – @Sekurigi – Jhc Info
Commentaires clos.