Alors que 2021 touchait à sa fin, de nombreuses équipes informatiques ont eu une mauvaise surprise juste avant de se diriger vers leurs vacances de fin d’année.
La vulnérabilité Log4Shell qui a touché d’innombrables serveurs à travers le monde nécessiterait une correction urgente, de sorte que les experts ont gelé leur congé et sont revenus pour trouver où placer le pansement.
Un an plus tard, beaucoup essaient toujours de s’assurer que la vulnérabilité, qui affecte les applications d’entreprise Java utilisées dans une grande partie de l’infrastructure informatique moderne d’aujourd’hui, ne se cache pas quelque part dans leurs systèmes, prête à créer une autre surprise cette saison des fêtes.
Le problème est de trouver le bon endroit pour appliquer un correctif ou corriger la faille. Selon certains calculs, plus de 35 000 packages Java, soit 8 % dans le référentiel Maven Central, ont été impactés par le problème Log4Shell.
Au-delà de Java, regardez les nombreux éléments de code tiers que les systèmes informatiques modernes utilisent aujourd’hui et il est facile d’imaginer à quel type de maux de tête les équipes informatiques sont confrontées aujourd’hui. Il y a tout simplement trop de choses à passer au crible pour trouver une solution, et vous ne pouvez pas réparer ce que vous ne pouvez pas voir.
Aujourd’hui, on estime que 40 % à 80 % des lignes de code des logiciels proviennent de tiers tels que des bibliothèques, des composants et des kits de développement logiciel (SDK). Ainsi, sans surprise, d’ici 2025, 45 % des organisations dans le monde auront subi des attaques sur leurs chaînes d’approvisionnement en logiciels, soit une multiplication par trois par rapport à 2021, selon le cabinet d’études Gartner.
Plus d’automatisation, visibilité nécessaire
Aujourd’hui, il existe une industrie conçue pour les cyberattaques, avec des spécialistes du Dark Web prêts à assumer des rôles spécifiques dans une attaque de ransomware, de l’élaboration du message de phishing à la collecte de la rançon. Si les méchants ont déjà développé une chaîne d’approvisionnement aussi élaborée et des logiciels malveillants transformés en outils criminels, les entreprises doivent sûrement améliorer leur jeu pour leur propre chaîne d’approvisionnement en logiciels.
Ce dont ils ont besoin, ce sont des outils qui offrent une automatisation accrue et offrent une visibilité sur leurs systèmes informatiques qu’ils n’avaient pas auparavant. Cela signifie être en mesure de trouver plus facilement les vulnérabilités dans leur chaîne d’approvisionnement logicielle au lieu de les rechercher manuellement.
Qu’est-ce qu’un outil de détection de vulnérabilité devrait aider à faire ? Il y a tellement de composants dans une chaîne d’approvisionnement logicielle, alors limitons-nous au logiciel Java en particulier et énumérons les fonctionnalités à rechercher :
- Détection en cours : Évaluez en continu l’exposition au niveau de l’application aux vulnérabilités en production sans avoir besoin de code source. Comparez le code exécuté avec une base de données CVE spécifique à Java.
- Éliminer les faux positifs : Surveillez le code exécuté par le runtime Java (JVM) et générez des résultats précis que les outils traditionnels ne découvrent pas.
- Performances transparentes : Évitez une baisse des performances avec des agents supplémentaires qui ajoutent des frais généraux au système de production. Trouvez une solution qui s’exécute sans agent.
- Vérifications approfondies : Assurez-vous que l’outil fonctionne sur toutes les versions du logiciel Java trouvées sur vos systèmes, pour éviter de manquer des failles.
- Traçabilité historique : Ayez un historique des composants et du code utilisés afin que les efforts médico-légaux puissent être plus concentrés pour vérifier si le code vulnérable a conduit à un exploit.
Faire face à un environnement complexe
En fin de compte, les entreprises ont besoin d’une meilleure observabilité et d’une automatisation accrue dans un environnement informatique de plus en plus complexe. Faire les choses manuellement n’est plus possible. Les logiciels exécutés quotidiennement en production doivent être surveillés de près et observés de manière très granulaire, car les acteurs malveillants cherchent de plus en plus à pénétrer plus profondément dans la chaîne d’approvisionnement des logiciels pour accéder aux systèmes des victimes.
Outre le problème Log4Shell, qui a été décrit par le Département de la sécurité intérieure des États-Unis comme l’une des vulnérabilités logicielles les plus graves de l’histoire, les cyber-attaquants ont trouvé de nouvelles façons de pénétrer les chaînes d’approvisionnement logicielles. Ils sont également beaucoup plus effrontés dans la façon dont ils organisent des attaques.
Plus tôt cette année, les utilisateurs d’une application de messagerie chinoise, MiMi, ont reçu une fausse version enrichie d’un code malveillant qui pourrait permettre à un attaquant de prendre le contrôle du logiciel à distance. Cela signifiait qu’ils pouvaient espionner ce dont les utilisateurs discutaient.
Ce qui a rendu cela remarquable, c’est que les attaquants ont réussi à prendre le contrôle des serveurs qui livraient l’application aux utilisateurs. Ils ont ajouté du code à l’application, supprimé la version réelle et incité les victimes à télécharger et à installer l’application sans le savoir.
Bien qu’il ne s’agisse pas d’un problème basé sur Java, cela a montré à quel point les vulnérabilités de la chaîne d’approvisionnement logicielle sont devenues graves ces dernières années et à quel point il était difficile d’endiguer la marée contre de telles attaques.
Il y a aussi la question de la confiance. Une grande partie des services numériques d’aujourd’hui dépendent d’une multitude de fournisseurs de logiciels tiers, des référentiels open source (où les attaquants peuvent également planter du code malveillant) aux applications packagées qui sont installées sur les appareils d’une entreprise.
Dans ce contexte, les entreprises doivent adopter une manière plus intelligente de s’assurer que leurs efforts numériques ne déraillent pas. Il est également important qu’ils ne s’enlisent pas dans des mesures de sécurité trop lourdes et qui nuisent à l’expérience client.
Ils doivent rechercher des solutions rationalisées capables de détecter automatiquement les menaces sans ralentir les performances, développant ainsi l’agilité nécessaire sur un marché concurrentiel.
