Ne blâmez pas les logiciels open source pour des pratiques de sécurité médiocres

La semaine dernière, Equifax, l'une des plus grandes agences de crédit américaines, a été frappée par un cyberattaque qui a pu compromettre les données personnelles de près de 143 millions personnes, y compris le nom, l'adresse, les numéros de sécurité sociale, les dates de naissance et plus encore. L'information confisquée révèle tout ce qui est nécessaire pour voler l'identité de quelqu'un ou pour prendre un prêt au nom de quelqu'un d'autre. Considérant que la population actuelle des États-Unis est de 321 millions, ce cyberattaque est maintenant considéré comme l'une des brèches les plus importantes et les plus envahissantes de l'histoire américaine.

C'est Equifax qui est à blâmer, pas Open-source

Comme Equifax a commencé à examiner comment la brèche s'est produite, de nombreux rapports et théories non corroborées ont fait surface pour tenter de repérer la vulnérabilité. Une telle théorie ciblait Apache Struts comme le logiciel responsable de la brèche. Étant donné qu'Apache Struts est un Framework Open source utilisé pour développer des applications Java, cela a donné lieu à des simulacres d'open-source injustifiés.

Hier, Equifax a confirmé que la faille de sécurité était due à une vulnérabilité de Struts Apache. Cependant, voici ce qui est important; ce n'est pas parce qu'Apache Struts est open-source ou parce que Open-source est moins sécurisé. Equifax a été piraté parce que l'entreprise n'a pas réussi à patcher une faille bien connue des Struts Apache qui a été divulgué mois plus tôt en mars. L'exécution d'une ancienne version non sécurisée du logiciel — open-source ou propriétaire — peut et compromettra la sécurité de n'importe quel site. C'est Equifax qui est à blâmer, pas Open-source.

Rester informé

Recevez le meilleur contenu sur le futur du marketing, les changements dans le secteur et les avis de nos experts.

L'importance de maintenir les logiciels à jour

La violation d'Equifax est un bon rappel des raisons pour lesquelles les organisations doivent rester vigilantes quant à l'entretien et à la mise à jour de leurs logiciels, surtout lorsque des failles de sécurité ont été divulguées. Dans un monde idéal, le logiciel se met à jour dès qu'un correctif de sécurité est publié. WordPress, par exemple, offre des mises à jour automatiques dans un effort pour promouvoir une meilleure sécurité, et de rationaliser l'expérience de mise à jour globale. Il serait intéressant de considérer les mises à jour automatiques de sécurité pour Drupal (juste pour les versions de patch, pas pour les versions mineures ou majeures).

En l'absence de mises à jour automatiques, j'encourage les utilisateurs à travailler avec des entreprises de FQA qui gardent non seulement votre infrastructure sécurisée, mais aussi votre code d'application Drupal. Trop d'organisations sous-estiment l'effort et l'expertise qu'il faut pour le faire eux-mêmes.

Chez Acquia, nous fournissons aux clients un correctif de sécurité automatique de l'infrastructure et du code Drupal. Nous surveillons les sites de nos clients pour les tentatives d'intrusion, les attaques DDoS et autres activités suspectes. Si vous préférez faire le correctif de sécurité vous-même, nous offrons une intégration continue ou des outils de livraison continue qui vous permettent d'obtenir des correctifs de sécurité en production en quelques minutes plutôt que des semaines ou des mois. Nous sommes fiers d'aider nos clients à maintenir leurs sites à jour avec les derniers correctifs et mises à niveau; C'est bon pour nos clients et aide à dissiper le mythe que les logiciels open-source est plus sensible aux brèches de sécurité.

Dries Buytaert, chairman and chief technology officer, Acquia

Dries Buytaert

Président, CTO Acquia, Inc.

Dries Buytaert est développeur open source et responsable des technologies. Il est à la fois le fondateur et le chef de projet de Drupal, une plateforme open source dédiée à la création de sites web et d'expériences digitales. Buytaert est également cofondateur et directeur de la technologie d’Acquia, société technologique financée par le capital-risque. Acquia fournit à de nombreuses grandes organisations une plateforme ouverte, basée sur le cloud, qui aide ces dernières à développer, livrer et optimiser leurs expériences digitales. Identifié Young Global Leader par le Forum économique mondial, il est titulaire d’un doctorat en science et ingénierie informatique de l'université de Gand, et d'une licence en science informatique de l'université d'Anvers. Il a été nommé CTO de l'année par le Massachusetts Technology Leadership Council, Entrepreneur de l’année en Nouvelle-Angleterre par Ernst & Young et Jeune Innovateur par la MIT Technology Review. Il écrit souvent des articles de blogs sur Drupal, l'open source, les startups, l'entreprise et l'avenir sous le nom dri.es.