Après la découverte de la faille Log4j, l’usage intensif des librairies open-source est de nouveau sous les projecteurs. Trellix lance une alerte sur une vulnérabilité dans le module tarfile de Python, une bibliothèque de codes open-source utilisée pour lire et écrire des fichiers archivés en .tar. La vulnérabilité consiste dans la possibilité d’écrire, modifier le contenu des fichiers archivé, au lieu de simplement les ouvrir.
Le plus fort de l’histoire est que cette faille a été découverte il y a 21 ans dans une librairie GNU (CVE de 2001), que l’on retrouve 6 ans plus tard, en librairie Python, en aout 2007, référencée dans les National Vulnerability Data ! RedHat avait publié à l’époque un patch pour sa plateforme.
Le langage Python étant devenu très répandu (deuxième plus populaire après Java), très utilisé dans les scripts notamment, cette vulnérabilité « expose potentiellement plus de 350 000 dépôts open source qui l’utilisent dans leurs projets », prévient Satnam Narang, ingénieur-chercheur senior chez l’éditeur Tenable.
« Alors que les retombées de la découverte de Log4Shell dans la bibliothèque Log4j remontent à près d’un an, les chercheurs continuent d’identifier des faiblesses dans la « chaîne d’approvisionnement », ce qui souligne le besoin continu de ressources supplémentaires pour aider à identifier et à traiter les vulnérabilités dans certaines des bibliothèques et des logiciels les plus courants utilisés aujourd’hui par les organisations », commente le chercheur.
Bernard Montel, directeur technique EMEA et Security Strategist de Tenable, nous explique : « Python est très utilisé dans les applications, les plateformes. Par rapport à une vulnérabilité classique dans une application, que l’on répare par un patch quand on l’a identifiée, un « effet domino » se produit quand la vulnérabilité est présente dans une librairie de développement. Le code sera embarqué partout, ce qui crée un effet d’échelle. ».
Le responsable pointe la faiblesse du modèle open-source sur le plan de la cybersécurité : « On pense que l’existence d’une grande communauté de développeurs permettra de fixer les problèmes. Mais il n’y a pas de responsable, personne ne prend le leadership pour trouver le patch. On ne peut pas se tourner vers un éditeur pour lui demander de régler le problème. »
La communauté open-source a pris conscience et se mobilise au travers de l’initiative du Alpha-Omega Project, annoncé en février 2022 et soutenu par … Google et Microsoft
Jean Kaminsky
