MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
L’étude conduite durant six mois a montré que les cyber assaillants se sont concentrés sur trois vecteurs de compromission principaux : les vulnérabilités et l’empoisonnement open source, les pipelines CI/CD compromis et l’intégrité du code.
Aqua Security, pure player de la sécurité cloud native, annonce aujourd’hui les résultats d’une étude conduite par les experts d’Argon Security, un pionnier de la sécurité de la Supply Chain logicielle récemment acquis par la société.
Conduite pendant 6 mois et basée sur l’analyse de l’environnement de sécurité des clients internationaux Argon, l’étude révèle que les attaques sur la chaîne d’approvisionnement logicielle ont augmenté de plus de 300% en 2021 par rapport à l’année précédente.
Selon le rapport Software Supply Chain Security Review 2021, les cyber assaillants se sont concentrés principalement sur les vulnérabilités et l’empoisonnement Open source ainsi que l’intégrité du code exploitant les processus de la chaîne d’approvisionnement logicielle et la confiance des fournisseurs, pour injecter des malwares et des portes dérobées. Les chercheurs Argon ont constaté également que le niveau de sécurité dans les environnements de développement restait faible : chaque entreprise évaluée présentait des vulnérabilités et des erreurs de configuration de manière significative l’exposant à des attaques sur son pipeline de développement logiciel.
« Le développement exponentiel des attaques au cours de l’année écoulée et l’impact démultiplié de chacune soulignent l’énorme défi auquel les responsables de la sécurité applicative sont confrontés aujourd’hui », déclare Eran Orzel, Directeur des Ventes et de la Relation Client d’Argon. « Malheureusement, la plupart des organisations n’ont pas les ressources, le budget et les connaissances nécessaires en interne pour faire face aux menaces ciblant la chaîne d’approvisionnement. Ajoutez à cela la nécessité pour les équipes AppSec de coopérer avec les équipes de développement et DevOps, et vous comprendrez la complexité d’un tel défi. »
Pour améliorer la sécurité de la chaîne d’approvisionnement logicielle, trois principaux domaines de risque doivent être appréhendés :
1. Les librairies open source vulnérables : si les codes open source sont de plus en plus utilisés dans les projets de développement, les nombreuses bibliothèques sur lesquelles s’appuient les développeurs présentent des vulnérabilités. Le processus de mise à niveau vers une version plus sécurisée nécessite des efforts de la part des équipes tant de développement que DevOps. Il n’est donc pas surprenant qu’il s’agisse là de l’un des principaux vecteurs de compromission de la chaîne d’approvisionnement. Deux attaques sont les plus courantes :
L’exploitation des vulnérabilités existantes pour obtenir l’accès à l’application et exécuter l’attaque. (Exemple : les récentes cyberattaques Log4j)
L’Empoisonnement ou Dissémination de code malveillant dans les librairies open source et les librairies privées pour inciter les développeurs, ou les outils de pipeline automatisés à les incorporer dans le cadre du processus de conception logiciel. (Exemple : l’empoisonnement us-parser-js )
2. Outils du pipeline compromis : les cyber assaillants utilisent l’élévation de privilèges, les erreurs de configuration et les vulnérabilités dans l’infrastructure du pipeline CI/CD (par exemple, les systèmes de gestion des codes source, les agents de build, les registres et les dépendances) pour accéder à l’infrastructure IT critique, aux processus de développement, au code source et aux applications. Un pipeline CI/CD compromis expose le code source, au cœur de l’infrastructure de développement et des processus. Il permet aux pirates de modifier le code ou d’injecter du code malveillant pendant le processus de conception du logiciel et d’altérer ainsi l’application (par exemple SolarWinds). Ce type de violation est difficile à identifier et peut causer beaucoup de dommages avant d’être détecté et résolu. Les pirates utilisent également des registres compromis pour télécharger des mauvais artefacts en lieu et place d’artefacts légitimes. En outre, des dizaines de dépendances externes connectées au pipeline peuvent être utilisées pour y accéder et lancer des attaques (comme l’outil de développement Codecov).
3. Intégrité du code et des artefacts : le téléchargement de code compromis dans les référentiels de code source est l’un des principaux risques identifié dans le rapport Argon, impactant directement la posture de sécurité de l’entreprise. Parmi les autres problèmes, on peut citer les données sensibles dans le code (secrets), la qualité et la sécurité du code, les enjeux autour de l’infrastructure as code, les vulnérabilités des images de conteneur et les erreurs de configuration. Dans de nombreux cas, le nombre de problèmes découverts était très étendu nécessitant des missions de nettoyage dédiées pour réduire l’exposition de l’entreprise.
« Le processus de la chaîne d’approvisionnement logicielle constitue un élément central du cycle de vie du développement applicatif moderne. Le laisser ouvert aux menaces réduit considérablement la posture de sécurité des entreprises, exposant les données sensibles et ouvrant des portes supplémentaires au sein de l’application au moment de son exécution », poursuit Eran Orzel. « Dans de nombreux cas, les équipes de sécurité n’ont aucune visibilité jusqu’à ce qu’il soit trop tard, car la plupart des organisations ne disposent pas de capacités préventives au sein de leurs outils et processus CI/CD. »
Pour lutter contre ce problème, les équipes de sécurité doivent renforcer la collaboration avec les équipes DevOps et automatiser la sécurité dans les processus de développement.
