Menu
La sécurité des logiciels libre et open source est souvent garantie pour la possibilité, pour quiconque, de jeter un œil sous le capot. Ce qui n’empêche pas d’y introduire des portes dérobées qui passent inaperçues durant longtemps, selon cette étude.
Au cours des années 1980 et au début des années 2000, des éditeurs comme Microsoft considéraient les logiciels open source comme une menace existentielle pour leur activité, avant de les adopter dans les années 2010.
Aujourd’hui, les Big Tech font de plus en plus de promotion pour des partenariats public-privé et pour la sécurité des logiciels open source. En 2022, la Maison Blanche a organisé un sommet sur la sécurité, probablement en raison de l’exploitation généralisée des vulnérabilités des logiciels open source.
Récemment, la CISA annoncé la publication d’une feuille de route de sécurité pour les logiciels open source, reconnaissant ainsi l’importance de ceux-ci dans l’écosystème technologique et son engagement à les sécuriser.
L’Open Source dépend davantage de nombreux bénévoles pour résoudre les problèmes lorsqu’ils surviennent. Cependant, les programmes de bug bounty proposés par Google et Huntr sont un moyen de gagner de l’argent en trouvant et en corrigeant les vulnérabilités des logiciels open source.
La réalité des logiciels actuels se situe, à vrai dire, entre les deux – car de nombreux projets fermés s’appuient souvent sur des tas de logiciels « échafaudages » open source pour s’occuper des bases avant d’y ajouter leur sauce secrète, explique ici l’éditeur ESET, qiu manie l’open source sans en faire une religion. C’est ce que font certains projets logiciels populaires de préservation de la confidentialité, tels que Proton et Signal. Ils ont une solide réputation pour garder les choses privées et sécurisées.
Les logiciels propriétaires ne sont pas plus sécurisés que les logiciels open source. L’important, c’est le processus du développement des logiciels et les solutions de vulnérabilité qui sont mises en œuvre. Les organisations doivent se concentrer sur la fiabilité de ces solutions et la rapidité avec laquelle elles peuvent être déployées, et non pas sur le type de licence. L’importance réside dans la réactivité de l’organisation hôte à l’égard de la communauté de sécurité au sens large.
Dans le monde hybride des logiciels, presque toujours un mélange de logiciels open source et fermés, le test décisif : l’entreprise ou l’organisation est-elle ouverte aux suggestions et aux contributions et réinvestit-elle dans la communauté de la sécurité ? Ainsi, même si une sécurité parfaite reste difficile à atteindre, des équipes importantes, jouissant d’une bonne réputation, peuvent être d’une grande aide.
