L’Open Source Security (OpenSSF) et l’OpenJS Foundations veulent sensibiliser les développeurs et les porteurs de projets open source face aux risques grandissants de prise de contrôle par ce que l’on appelle l’ingénierie sociale. Explications.
La récente tentative de porte dérobée XZ Utils, dont nous vous parlions dans cet article, pourrait ne pas être un incident isolé, comme en témoigne une tentative de prise de contrôle similaire (et crédible), interceptée par la Fondation OpenJS, qui héberge des projets JavaScript.
D’où l’appel des fondations Open Source Security (OpenSSF) et OpenJS à tous les mainteneurs de projets open source : il faut être extrêmement vigilant face aux tentatives de prise de contrôle par ingénierie sociale.
Le problème et les enjeux
Le Conseil transversal des projets de la Fondation OpenJS a reçu une série suspecte d’e-mails, portant des noms différents et des e-mails associés à GitHub se chevauchant. Ces e-mails exhortaient OpenJS à prendre des mesures pour mettre à jour l’un de ses projets JavaScript populaires afin de « corriger toutes les vulnérabilités critiques« , sans citer de détails. L’équipe d’OpenJS a également identifié un schéma suspect similaire dans deux autres projets JavaScript qui ne sont pas hébergés par sa Fondation, et a immédiatement signalé les problèmes de sécurité potentiels.
Les Fondations estiment qu’il faut impérativement, quel que soit le projet open source concerné, apprendre à reconnaître les premiers schémas de menace émergents et pouvoir prendre des mesures pour protéger les projets open source.
Ces attaques par ingénierie sociale exploitent le sens du devoir que les mainteneurs ont envers leur projet et leur communauté afin de les manipuler.
« Les projets open source accueillent toujours les contributions de quiconque, où qu’il soit, mais accorder à une personne un accès administratif au code source comme mainteneur nécessite un niveau de confiance acquis plus élevé et n’est pas accordé comme une « solution rapide » à un problème quelconque. »
Les recommandations
Ce type d’attaques s’avère, reconnaissent les Fondations, difficile à détecter. Alors, que faire ?
Voici quelques-unes des recommandations formulées :
- Adopter (et réviser, si besoin) les meilleures pratiques de sécurité de l’industrie telles que les guides OpenSSF.
- Utiliser une authentification forte. Activer l’authentification à deux facteurs (2FA) ou l’authentification multifactorielle (MFA). Utiliser un gestionnaire de mots de passe sécurisé.
- Conserver vos codes de récupération dans un endroit sûr, de préférence hors ligne.
- Adopter une politique de sécurité comprenant un processus de « divulgation coordonnée » pour les rapports.
- Utiliser les meilleures pratiques pour fusionner un nouveau code.
- Activer les protections de branche et les commits signés.
- Limiter les droits de publication npm.
- Connaître ses committers et mainteneurs, et faire une « check-up » périodique.
- Consulter les guides (en anglais) suivants :
Pour en savoir plus, rendez-vous sur cette page.
