VAR & ESN Avis d’expert Par Christian Hindre, directeur commercial Europe de Flexera L’OFFRE LIBRE FRAGILISÉE PAR SON PASSÉ OPEN SOURCE Le recours au logiciel libre n’est valable seulement si des versions récentes et sécurisées sont en circulation, ce qui est loin d’être le cas. Cette situation demeure mésestimée par la chaîne de valeur. en 2014 ont exploité la faille Heartbleed au sein Depuis six ans, Christian Hindre de la bibliothèque OpenSSL. Et Community dirige les équipes France et Europe Health Systems, la deuxième plus grande chaîne du sud de l’éditeur Flexera, spécialiste Le rapport de 2018 sur les fuites de données, de cliniques privées aux États-Unis, a confirmé de l’achat, de la vente, de la gestion publié par le Bureau des droits civils du Ministèreque quatre millions de dossiers médicaux avaient et de la sécurisation des logiciels. de la santé et des services sociaux américains été dérobés dans l’une de ses bases de données. Auparavant, il exerce plusieurs postes mérite qu’on s’y arrête : au 21 août 2018, Pire : la fuite dont JPMorgan Chase a été victime de management chez Oracle, CA 229 fuites ont affecté 6,1 millions d’individus. en 2014 comprenait les données de 370 millions (ex-Computer Associates) et VMware. Des constats attestés par l’outil de signalement de comptes, 76 millions de foyers et 7 millions Sérieux, calme et précis, Christian en ligne HIPAA Breach Reporting Tool, que d’entreprises. Or, les serveurs web open source Hindre se distingue par sa pédagogie les spécialistes de la cybersécurité appellent tels qu’Apache utilisent cette bibliothèque. C’était et son didactisme. Ce diplômé d’ESCP plaisamment le Wall of Shame. Il faut dire que déjà le cas de 66 % des 958 millions de sites actifs le développement de logiciels est plus ouvert quesur Internet en 2014, selon l’enquête sur les Europe et du Collège d’Europe jamais. Trop ? En tout cas, avec l’utilisation massiveserveurs web publiée en avril 2014 par Netcraft. est vice-président de G9+ (interclub de logiciels open source (OSS) pour accélérer numérique) et de l’Ivy Club. le lancement de nouvelles offres, les systèmes Des chiffres inquiétants pour… et produits des entreprises sont exposés en raisonle chiffrement des nombreuses failles de sécurité. Sauf, bien sûr,L’édition 2018 de cette même enquête donne certaines entreprises retrouvent ainsi des versions si les développeurs et fournisseurs ne se fondentun pourcentage de 60 % sur six milliards de sites d’OpenSSL exposées à cette faille dans du code que les versions les plus sûres. On peut en douter.actifs. Or, l’OpenSSL est utilisé pour protéger client. Les entreprises seraient donc bien inspirées Ces moutures héritent donc de vulnérabilités des serveurs de messagerie (protocoles SMTP, de se poser les questions suivantes : vieilles de plusieurs années, voire de plusieurs POP et IMAP), des serveurs de messagerie • Notre équipe de développement ou nos décennies. Des failles souvent faciles à corriger,instantanée (protocole XMPP), des réseaux fournisseurs laisseraient-ils ouvertes des failles mais difficiles à repérer. Conséquence : sans privés virtuels (VPN utilisant le protocole SSL), de sécurité dues à des processus mal gérés ? un bon suivi des composants open source mais aussi des équipements réseaux, ainsi que • Quel serait le risque pour la réputation de notre utilisés et de leur localisation, il sera impossiblel’essentiel des logiciels côté client enfouis organisation, ou l’impact sur notre activité, aux organisations de régler ces problèmes, ou dans les systèmes de santé. Une vulnérabilité : si notre produit venait à être commercialisé de découvrir et corriger de nouvelles vulnérabilitésplus d’un milliard d’instances potentielles ou à entrer en production avec l’une de ces affectant des composants autrefois sécurisés. à ce jour ! Et ce n’est pas près de s’arrêter. vulnérabilités ? Par exemple, de nombreuses attaques survenues Quatre ans après la publication du correctif, • Sommes-nous capables de déterminer rapidement si nous utilisons des composants exposés à une fragilité donnée ? Et surtout, sommes-nous en mesure de réagir ? 229 Il ne s’agit pas ici de remettre en cause la pertinencede l’open source en général. Mais d’alertertous les protagonistes de la chaîne de valeur sur le fait que nous sommes entrés dans l’ère C’est le nombre de fuites des applications distribuées. Avec, tout autour, qui ont affecté 6,1 millions d’individus, des individus et des informations numériques de janvier à fin août 2018. répartis sur des réseaux professionnels extrêmement complexes. Le logiciel libre doit (Source : ministère de la santé et des services sociaux américains) donc être réservé aux applications parfaitement sécurisées. Sinon, il est préférable de s’en remettre à l’offre classique d’éditeurs éprouvés. 140 E.D.I N°83 | novembre 2018