La DARPA s'inquiète de la fiabilité du code open source, il fonctionne sur tous les ordinateurs de la planète et assure le fonctionnement des infrastructures critiques,

Selon Dave Aitel de la NSA

Alors que la DARPA, bras de recherche de l'armée américaine, s'inquiète de la fiabilité du code open source, et dit vouloir comprendre l’écosystème technologique le plus important de la planète, certains analystes trouvent exagéré de dire que, le code open source fonctionne sur tous les ordinateurs de la planète et assure le fonctionnement des infrastructures critiques.

« Attendez une minute, littéralement tout ce que nous faisons est sous-tendu par Linux », déclare Dave Aitel, chercheur en cybersécurité et ancien scientifique en sécurité informatique de la NSA. « C’est maintenant que les gens le réalisent », soutient-il. « Il n'est pas exagéré de dire que le monde entier est construit sur le noyau Linux, même si la plupart des gens n'en ont jamais entendu parler. »


Selon un nouveau rapport de la société de sécurité des développeurs Snyk et de la Fondation Linux, 41 % des entreprises n'ont pas une grande confiance dans la sécurité de leurs logiciels open source, leur utilisation généralisée entraînant des risques importants. Une grande partie de la civilisation moderne dépend aujourd'hui d'un corpus toujours plus vaste du code open source, car il permet d'économiser de l'argent, d'attirer des talents et de faciliter de nombreuses tâches.

« Les développeurs de logiciels ont aujourd'hui leurs propres chaînes d'approvisionnement. Au lieu d'assembler des pièces de voiture, ils assemblent du code en patchant ensemble des composants open source existants avec leur code unique. Si cette situation entraîne une augmentation de la productivité et de l'innovation, elle a également créé des problèmes de sécurité importants », explique Matt Jarvis, directeur des relations avec les développeurs chez Snyk.

Le noyau Linux est l'un des tout premiers programmes qui se chargent lorsque la plupart des ordinateurs sont allumés. Il permet au matériel de la machine d'interagir avec le logiciel, régit l'utilisation des ressources et constitue la base du système d'exploitation. Il s'agit de la brique de base de la quasi-totalité du cloud computing, de pratiquement tous les superordinateurs, de l'ensemble de l'internet des objets, de milliards de smartphones, etc.

Mais le noyau est également open source, ce qui signifie que tout le monde peut écrire, lire et utiliser son code. Et cela inquiète sérieusement certains experts en cybersécurité. Sa nature open source signifie que le noyau Linux - ainsi qu'une foule d'autres logiciels critiques open source - est exposé à des manipulations hostiles d'une manière que nous comprenons encore à peine.


S’il est vrai que c'est une technologie essentielle à notre société, il n’en est pas moins vrai que, au vu de ce qui précède, ne pas comprendre la sécurité du noyau signifie que nous ne pouvons pas sécuriser les infrastructures critiques. Aujourd'hui, la DARPA veut comprendre la collision du code et de la communauté qui fait fonctionner ces projets open source, afin de mieux comprendre les risques auxquels ils sont confrontés.

L'objectif est de pouvoir reconnaître efficacement les acteurs malveillants et les empêcher de perturber ou de corrompre un code open source d'une importance cruciale avant qu'il ne soit trop tard. Le programme SocialCyber de la DARPA est un projet de plusieurs millions de dollars, d'une durée de 18 mois, qui associera la sociologie aux récentes avancées technologiques en matière d'intelligence artificielle pour cartographier, comprendre et protéger la grande communauté de logiciels libres et le code qu'elles créent.

Ce projet est différent de la plupart des recherches antérieures, car il combine l'analyse automatisée du code et des dimensions sociales des logiciels libres.

Fonctionnement du programme SocialCyber

La DARPA a passé un contrat avec de multiples équipes de ce qu'elle appelle des « exécutants », notamment de petits ateliers de recherche en cybersécurité dotés de compétences techniques approfondies. L'un de ces exécutants est Margin Research, basé à New York, qui a constitué une équipe de chercheurs très respectés pour cette tâche. Margin Research se concentre sur le noyau Linux en partie parce qu'il est si grand et si critique que réussir ici, à cette échelle, signifie qu’il est possible de réussir partout ailleurs.

L'objectif est d'analyser à la fois le code et la communauté afin de visualiser et de comprendre enfin l'ensemble de l'écosystème. Le travail de Margin permet de déterminer qui travaille sur quelles parties spécifiques des projets de logiciels libres. Par exemple, Huawei est actuellement le plus grand contributeur au noyau Linux. Un autre contributeur travaille pour Positive Technologies, une entreprise russe de cybersécurité qui, comme Huawei, a été sanctionnée par le gouvernement américain, explique Aitel. Margin a également cartographié du code écrit par des employés de la NSA, dont beaucoup participent à différents projets open source.

« Ce sujet me fait frémir », dit d'Antoine à propos de la quête pour mieux comprendre le mouvement open-source, « parce que, honnêtement, même les choses les plus simples semblent si nouvelles pour tant de personnes importantes. Le gouvernement vient tout juste de se rendre compte que nos infrastructures critiques utilisent un code qui pourrait être littéralement écrit par des entités sanctionnées. En ce moment même. »

Ce type de recherche vise également à trouver le sous-investissement - c'est-à-dire les logiciels critiques exécutés entièrement par un ou deux volontaires. SocialCyber s'attaquera également à d'autres projets open source, comme Python qui est « utilisé dans un grand nombre de projets d'intelligence artificielle et d'apprentissage automatique », note le rapport. « L'espoir est qu'une meilleure compréhension permettra de prévenir plus facilement une future catastrophe, qu'elle soit causée par une activité malveillante ou non. »

Le département de la Défense des États-Unis abrégé par DoD a des dépendances critiques vis-à-vis des logiciels libres tout au long de sa chaîne d'approvisionnement, y compris les systèmes d'exploitation, les systèmes de virtualisation et les hyperviseurs, ainsi que les chaînes d'outils pour le développement de logiciels. L'utilisation de logiciels libres par le ministère de la Défense permet de réduire les coûts, d'améliorer la maintenabilité et d'attirer des développeurs talentueux, mais elle crée également une surface d'attaque sans précédent, dans laquelle de nombreux éléments et chemins logiciels fiables sont exposés à des manipulations hostiles. Les manipulateurs peuvent tirer parti de l'ensemble des mécanismes sociaux et des incitations qui rendent l'écosystème sociotechnique du logiciel libre si précieux.

L'armée américaine veut comprendre le logiciel le plus important de la planète

« L'écosystème des logiciels libres est l'une des plus grandes entreprises de l'histoire de l'humanité », explique Sergey Bratus, responsable du programme DARPA à l'origine du projet. « Il est passé du statut d'enthousiaste à celui d'entreprise mondiale, formant la base de l'infrastructure mondiale, de l'Internet lui-même, des industries critiques et des systèmes essentiels à la mission, un peu partout », ajoute-t-il. « Les systèmes qui font fonctionner notre industrie, les réseaux électriques, la navigation, les transports ».

Cependant, il existe de nombreux Menaces sur l'open source. En effet, si le mouvement open source a donné naissance à un écosystème colossal dont nous dépendons tous, nous ne le comprenons pas entièrement, affirment des experts comme Aitel. Il existe d'innombrables projets logiciels, des millions de lignes de code, de nombreuses listes de diffusion et de nombreux forums, ainsi qu'un océan de contributeurs dont l'identité et la motivation sont souvent obscures, ce qui rend difficile de les tenir pour responsable.

Cela peut être dangereux. Par exemple, des pirates ont discrètement inséré du code malveillant dans des projets de logiciels libres à de nombreuses reprises ces dernières années. Des portes dérobées peuvent longtemps échapper à la détection et, dans le pire des cas, des projets entiers ont été confiés à des acteurs malveillants qui profitent de la confiance que les gens placent dans les communautés et dans le code des logiciels libres. Parfois, les réseaux sociaux dont dépendent ces projets sont perturbés ou même pris en charge. Le suivi de tout cela a été principalement - mais pas entièrement - un effort manuel, ce qui signifie qu'il n'est pas à la hauteur de la taille astronomique du problème.

Selon Bratus, nous avons besoin de l'apprentissage automatique pour digérer et comprendre l'univers en expansion du code. Ce qui implique des astuces utiles comme la découverte automatique de vulnérabilités ainsi que des outils pour comprendre la communauté des personnes qui écrivent, corrigent, mettent en œuvre et influencent ce code. L'objectif ultime est de détecter et de contrer toute campagne malveillante visant à soumettre du code défectueux, à lancer des opérations d'influence, à saboter le développement, voire à prendre le contrôle de projets open source.

Pour ce faire, les chercheurs utiliseront des outils tels que l'analyse des sentiments pour analyser les interactions sociales au sein des communautés open source telle que la liste de diffusion du noyau Linux, ce qui devrait permettre d'identifier qui est positif ou constructif et qui est négatif et destructeur. Les chercheurs veulent savoir quels types d'événements et de comportements peuvent perturber ou nuire aux communautés de logiciels libres, quels membres sont dignes de confiance et s'il existe des groupes particuliers qui justifient une vigilance accrue. Ces réponses sont nécessairement subjectives. Mais à l'heure actuelle, il existe peu de moyens de les trouver.

Les experts s'inquiètent du fait que les angles morts des personnes qui gèrent les logiciels libres rendent l'ensemble de l'édifice propice aux manipulations et aux attaques potentielles. Pour Bratus, la principale menace est la perspective de voir un « code non fiable » gérer les infrastructures critiques. Une situation qui pourrait réserver des fâcheuses surprises.

L'opportunité SocialCyber de l'AIE vise à explorer les capacités à détecter et à contrer les opérations cybersociales qui peuvent cibler les communautés de développeurs de logiciels libres. SocialCyber cherche à explorer des méthodes hybrides qui combinent des analyses du code source, des artefacts de communication liés au développement et des activités multimodales de médias sociaux liées au développement de logiciels libres afin de protéger l'intégrité de l'infrastructure de logiciels libres essentielle au DoD.

Source : DARPA

Et vous ?

Quel est votre avis sur le sujet ?

Ne serait-il pas exagéré de dire que les ordinateurs du monde entier sont construits sur le noyau Linux ?

Voir aussi :

41 % des entreprises n'ont pas une grande confiance dans la sécurité de leurs logiciels open source, leur utilisation généralisée entraînant des risques importants

La Maison Blanche, la Fondation Linux, OpenSSF et 37 entreprises technologiques ont annoncé un plan de sécurité des logiciels Open Source en 10 points, et un financement de 150 millions de dollars

Les vulnérabilités Open Source constituent des menaces pour la sécurité : 85 % des bases de code utilisent des composants dépassés, et 88 % des composants qui ne sont pas de la dernière version

Les développeurs Open source consacreraient moins de 3 % de leur temps à la sécurité, selon une nouvelle enquête de l'Open Source Security Foundation (OpenSSF) et du Laboratory for Innovation Science