Selon un rapport récent, Linux et les autres logiciels ouverts deviennent de plus en plus les cibles de logiciels malveillants. Ce rapport nous rappelle l'importance d'élaborer soigneusement les modalités des licences de logiciels ouverts et de penser aux risques qui en découlent tant pour les développeurs de logiciels que pour les utilisateurs, notamment en matière de cybersécurité. L'augmentation du nombre de cyberattaques devrait être une source importante de préoccupation pour la plupart des organisations. La compréhension du processus d'obtention de licences pour les logiciels ouverts et l'élaboration de politiques adéquates sur les codes sources ouverts sont deux éléments importants d'une solution globale de gestion des risques de cyberattaques pour toute organisation.
La nature des logiciels ouverts
L'attrait envers les logiciels ouverts est évident : il existe de nombreux logiciels ouverts gratuits et utiles dont l'utilisation est largement répandue, ce qui permet aux développeurs d'économiser du temps et de l'argent. Il est également fréquent pour les développeurs d'obtenir des codes qui ont été perfectionnés et validés par une importante communauté de programmeurs. Conséquemment, ces logiciels ouverts sont omniprésents dans les centres de données, les bureaux et même les poches des gens et constituent une composante significative des logiciels les plus populaires, notamment les systèmes d'exploitation, les plateformes, les applications, les outils et les services à base de logiciels.
Comprendre les risques associés aux logiciels ouverts
Bien qu'ils offrent des avantages évidents, les logiciels ouverts présentent cependant plusieurs défis et préoccupations pour les organisations qui les utilisent. Par exemple, les enjeux entourant leur propriété intellectuelle constituent, depuis longtemps, une source de préoccupations pour les développeurs de logiciels exclusifs, plus particulièrement au niveau des modalités de licences de logiciels ouverts « viraux » (tels que la licence publique générale GNU). Ces derniers exigent, dans certains cas, que soit divulgué publiquement le code source du logiciel exclusif élaboré par le développeur à l'interne, permettant ainsi au public d'avoir un aperçu direct sur le fonctionnement du logiciel et de créer facilement de nouveaux logiciels concurrents. Cette incertitude au niveau de la divulgation des logiciels exclusifs développés à l'interne peut réduire de façon importante la valeur de la propriété intellectuelle d'une organisation. Lorsqu'elles sont bien formulées, les politiques sur les logiciels ouverts peuvent bien gérer ce risque en établissant une approche normalisée relativement à leur utilisation au sein d'une organisation. Or, pour élaborer une politique efficace, il faut bien comprendre comment et pourquoi un virus pourrait être déclenché en vertu des diverses licences de logiciels ouverts.
Comprendre et atténuer les risques que posent les logiciels ouverts en matière de sécurité
Toutefois, pour une organisation, sa compréhension des licences pour logiciels ouverts et les politiques qui les encadrent ne devraient pas se limiter uniquement aux droits de propriété intellectuelle. Au fur et à mesure que l'utilisation des logiciels ouverts a augmenté, les cas de vulnérabilité aux cyberattaques sont devenus plus fréquents et ces logiciels sont devenus des cibles de piratage. Un exemple notoire est la faille Heartbleed de 2014 qui a touché les archives d'OpenSSL Ce logiciel est utilisé pour sécuriser les communications sur plusieurs réseaux, notamment Internet où on le retrouve de manière omniprésente dans la structure même de ce réseau. C'est pourquoi de nombreux sites Web et services en ligne populaires ainsi que des éléments d'infrastructure, comme les routeurs, ont été touchés par la faille Heartbleed. Plus récemment, l'atteinte à la sécurité des données d'Equifax a commencé avec une faille dans Apache Struts, un cadre d'application web permettant la création de logiciels ouverts.
Pour aborder les risques en matière de cybersécurité relativement aux logiciels ouverts, les organisations doivent comprendre d'autres aspects clés de l'octroi de licences de ces logiciels, particulièrement en ce qui a trait à la garantie et aux stipulations d'exclusion de garantie. Par exemple, selon les licences les plus fréquemment utilisées pour les logiciels ouverts, ces logiciels sont offerts « tels quels » et « sans garantie ». Il est donc peu probable que le développeur dispose d'un recours en cas de vulnérabilité au niveau de la sécurité d'un logiciel ouvert lorsque celui-ci est couvert par de telles stipulations. Si le développeur intègre un logiciel ouvert à ses logiciels exclusifs développés à l'interne et qu'il accorde une licence à ses clients leur permettant d'utiliser ces logiciels combinés, il peut, dans l'entente conclue avec le client, vouloir dénier l'existence de toute garantie relative au logiciel ouvert intégré. Il pourrait prévoir notamment que le logiciel ouvert est régi par les modalités de sa licence originale et qu'il n'est pas assujetti aux modalités s'appliquant aux composantes exclusives du développeur, et ce malgré le fait que ces dernières composantes sont intégrées au logiciel ouvert. Lorsque cette disposition est bien rédigée, le client pourrait, sous réserve des autres modalités de l'entente conclue avec le développeur, se trouver sans recours advenant une faille de sécurité touchant les composants du logiciel ouvert du développeur.
Les développeurs doivent donc s'assurer que les ententes qu'ils concluent avec les clients reflètent convenablement la responsabilité du développeur pour toute faille relative aux logiciels ouverts intégrés. Les clients, quant à eux, voudront savoir si les logiciels obtenus de développeurs contiennent des logiciels ouverts ainsi que les modalités qui encadrent ceux-ci. Le client pourrait souhaiter négocier cet aspect avec le développeur ou penser à d'autres manières d'aborder les risques de sécurité que représentent ces logiciels.
En outre, assurer la sécurité requiert un effort continu : les logiciels et les services doivent être adaptés constamment afin de pallier aux nouvelles menaces ainsi qu'aux nouvelles vulnérabilités au fur et à mesure qu'elles sont découvertes. Il est également important de prendre en considération le risque potentiel d'atteinte à la sécurité des logiciels ouverts abandonnés, négligés ou même largement utilisés, mais peu supportés, tels que OpenSSL à l'époque de la faille Heartbleed. En outre, les correctifs pour les logiciels ouverts engendrent des problèmes de surveillance et de mise à jour, ce qui peut s'avérer préoccupant pour le développeur et/ou le client, tout dépendamment de l'étendue de la responsabilité de ce premier dans l'entente conclue avec le client en lien avec les logiciels qu'il fournit comportant des logiciels ouverts.
Élaborer une politique sur les logiciels ouverts qui est claire et qui est fondée sur une solide compréhension des licences de logiciels ouverts peut normaliser l'utilisation de ce type de logiciel au sein d'une organisation de façon à bien cerner et à atténuer efficacement les risques qui y sont associés (notamment les risques d'atteinte à la sécurité), tout en mettant à profit les avantages de ces logiciels.
