Le développement de logiciels ignore toujours la sécurité. Cela doit changer rapidement | ZDNet
Si un événement a démontré à quel point les organisations et les infrastructures du monde entier sont vulnérables aux vulnérabilités logicielles, c’est bien Log4j.
La vulnérabilité critique du jour zéro dans la bibliothèque de journalisation Java Apache Log4j a permis aux attaquants d’exécuter du code à distance pour accéder aux appareils et aux réseaux. Et parce que le logiciel open source était intégré dans une vaste gamme d’applications, de services et d’outils logiciels d’entreprise, il avait le potentiel d’une perturbation généralisée et à long terme.
Pas étonnant que la directrice de l’agence américaine de cybersécurité et d’infrastructure CISA Jen Easterly ait décrit la vulnérabilité comme « l’une des plus graves que j’ai vues de toute ma carrière, sinon la plus grave ».
Des correctifs de sécurité ont été rapidement développés et les organisations ont rapidement décidé de les appliquer, bien que la nature omniprésente du code open source de Log4j signifie qu’il y aura des logiciels et des applications qui ne recevront pas la mise à jour, surtout si personne ne se rend compte que Log4j faisait partie du développement. traiter.
Log4j n’est qu’un exemple parmi d’autres de graves vulnérabilités de sécurité découvertes dans des logiciels utilisés depuis des années et il est survenu 20 ans après que le patron de Microsoft, Bill Gates, a publié son mémo Trustworthy Computing, qui exhortait les développeurs de Microsoft à produire des logiciels plus sécurisés après divers des bogues et des failles de sécurité ont été découverts dans ses systèmes d’exploitation et ses produits.
« En fin de compte, notre logiciel devrait être si fondamentalement sécurisé que les clients ne s’en soucient même pas », a écrit Gates.
Deux décennies plus tard, et bien que Microsoft Windows soit généralement considéré comme un système d’exploitation assez sécurisé, lorsqu’il est utilisé correctement et que des mises à jour de sécurité sont appliquées, même Microsoft ne peut pas échapper aux vulnérabilités critiques du code. Et plus largement, il y a encore beaucoup trop de logiciels non sécurisés.
Les logiciels ont toujours été livrés avec des bogues, mais les logiciels et les services sont devenus de plus en plus importants dans notre vie quotidienne, rendant l’impact potentiel des vulnérabilités de sécurité encore plus dommageable.
À bien des égards, le développement de logiciels n’a pas évolué pour faire face à cette nouvelle réalité : les produits sont toujours déployés, uniquement pour les vulnérabilités – parfois majeures – à découvrir beaucoup plus tard. Et lorsqu’il s’agit d’un composant quelque peu obscur comme Log4j, les organisations peuvent même ne pas être certaines si elles sont affectées ou non.
« Intrinsèquement, la façon dont nous développons des logiciels se prête tout simplement aux bogues et aux défauts », déclare Rob Juncker, CTO et responsable des équipes de développement de logiciels chez Code42, une société de sécurité logicielle.
« Le rythme de travail accéléré dans lequel nous vivons contredit les meilleures pratiques de la plupart des équipes de sécurité ».
La cybersécurité veut sécuriser les logiciels, un processus qui nécessite des investissements, du personnel et du temps. Cela va souvent à l’encontre des exigences des entreprises qui créent des logiciels : elles veulent s’assurer que le code est fonctionnel et le publier dès que possible, surtout si de nouveaux produits ou fonctionnalités en dépendent.
VOIR:Une stratégie gagnante pour la cybersécurité(rapport spécial ZDNet)
L’état de la sécurité est extrêmement inégal dans l’industrie, avec une assez bonne sécurité chez certains des meilleurs fournisseurs, mais la grande majorité – même ceux qui sont très bien financés – manquent d’investissements de sécurité de base, déclare Katie Moussouris, PDG de Luta Security .
« Malheureusement, nous avons constaté un sous-investissement dans la cybersécurité au cours des 20 à 30 dernières années », dit-elle.
Ce que les entreprises doivent faire, c’est s’assurer que la cybersécurité est intégrée dès le départ et constitue les éléments constitutifs d’un programme de développement logiciel à chaque étape du processus – de cette façon, tous les risques et risques potentiels peuvent être pris en compte et traités avant ils deviennent des problèmes sur toute la ligne.
« Si vous pensez à la façon dont les logiciels sont créés, déployés et maintenus, c’est toute une chaîne d’approvisionnement. Et cela commence lorsque vous concevez des logiciels ou que vous pensez à de nouvelles fonctionnalités », déclare Jonathan Knudsen, stratège principal en sécurité chez Synopsys. , une société de sécurité logicielle.
« Dans la phase de conception, vous devez penser à la sécurité, vous devez faire de la modélisation des menaces ou des évaluations des risques architecturaux, donc avant d’écrire un code, vous pensez simplement à la façon dont il va fonctionner et à ce qu’il va faire – – et comment il pourrait être attaqué », a-t-il ajouté.
VOIR:Cybersécurité : passons au tactique(rapport spécial ZDNet)
Les patrons peuvent être réticents à consacrer du temps et des ressources supplémentaires à s’assurer que le code est livré en toute sécurité, mais à long terme, cela devrait être l’approche la plus efficace, à la fois en termes de coût et de réputation.
Il est plus sûr de s’assurer que le code est sécurisé avant qu’il ne soit diffusé, plutôt que de devoir fournir une mise à jour critique ultérieurement, qui pourrait même ne pas être appliquée par les utilisateurs.
Le problème est que de nombreuses organisations sont tellement habituées à un modèle de développement où la vitesse est essentielle, et les risques pour elles de produire un code médiocre sont considérés comme relativement faibles.
Cela pourrait signifier qu’une intervention plus pratique est nécessaire pour encourager le code sécurisé – et pénaliser ceux qui ignorent délibérément les problèmes de sécurité.
« Dans d’autres industries où nous avons une dépendance aussi critique, nous avons réglementé ces industries, mais les logiciels sont restés largement non réglementés, il n’y a donc pas de lois sur la responsabilité des logiciels », explique Moussouris.
Il y a eu un certain mouvement dans ce domaine : par exemple, le gouvernement britannique a proposé une législation qui obligera les fabricants d’appareils Internet des objets à suivre un ensemble de règles de sécurité logicielle avant que les produits puissent être vendus.
Cependant, le gouvernement évolue à un rythme plus lent que l’industrie et même si les règles sont appliquées, il existe déjà de nombreux logiciels IoT qui ne répondraient pas aux exigences.
Mais à mesure que les organisations et les individus deviennent plus conscients des problèmes de cybersécurité, il se peut que le marché oblige les organisations à prendre les logiciels plus au sérieux, laissant les développeurs de logiciels qui ne pensent pas à la sécurité laissés pour compte.
« Globalement, nous sommes de plus en plus conscients de la sécurité des logiciels, et je pense donc que cela va se traduire par des acheteurs qui poseront des questions plus difficiles à leurs constructeurs », déclare Knudsen.
Il est donc vital pour les développeurs de logiciels, leurs clients et même la société dans son ensemble que la sécurité logicielle soit prise au sérieux. Peut-être que « agir rapidement et résoudre les problèmes » pourrait être une nouvelle devise à laquelle aspirer les développeurs.