La DARPA (Agence pour les projets de recherche avancée de défense) du Département de la Défense des États-Unis a lancé un concours de deux ans visant à développer un programme alimenté par l’intelligence artificielle capable de scanner des millions de lignes de code open source, d’identifier les failles de sécurité et de les corriger sans intervention humaine. Cette initiative est l’un des signes les plus clairs que le gouvernement considère les vulnérabilités des logiciels open source comme l’un des plus grands risques en matière de sécurité, et qu’il considère l’intelligence artificielle comme essentielle pour y remédier.La mission du hackathon : écrire un programme capable d'analyser des millions de lignes de code open-source, d'identifier les failles de sécurité et de les corriger, le tout sans intervention humaine. En cas de succès, les participants gagneraient des millions de dollars dans le cadre d'un concours de deux ans parrainé par la DARPA, l'Agence pour les projets de recherche avancée de la défense.
Dans le cadre du concours de cette année, les équipes utilisent leurs programmes améliorés par l'IA pour analyser et améliorer des millions de lignes de code réel.
Shellphish est l'une des sept équipes qui ont rédigé des documents décrivant suffisamment bien leur approche pour obtenir un financement d'un million de dollars pour les étapes qui culmineront lors des demi-finales en août à Def Con, qui ont attiré 40 participants. Le vainqueur recevra 2 millions de dollars supplémentaires en 2025.
Selon les termes du concours de la DARPA, tous les finalistes doivent publier leurs programmes en open source, de sorte que les fournisseurs de logiciels et les consommateurs puissent les utiliser.
Le défi de la sécurité des logiciels open source
Les programmes libres, tels que le système d'exploitation Linux, permettent de tout faire fonctionner, des sites web aux centrales électriques. Le code n'est pas intrinsèquement plus mauvais que celui des programmes propriétaires d'entreprises telles que Microsoft et Oracle, mais il n'y a pas assez d'ingénieurs qualifiés chargés de le tester.
En conséquence, le code libre mal entretenu a été à l'origine de certaines des violations de cybersécurité les plus coûteuses de tous les temps, y compris le désastre d'Equifax en 2017 qui a exposé les informations personnelles de la moitié des Américains. L'incident, qui a donné lieu au plus important règlement de violation de données jamais conclu, a coûté à l'entreprise plus d'un milliard de dollars en améliorations et en pénalités.
Faille dans Apache Struts
En effet, Equifax a pointé du doigt une faille dans Apache Struts (un framework libre servant au développement d'applications web Java EE) qui aurait été utilisée. À l'époque, STRUTS était un système largement utilisé : environ 65 % des sociétés figurant dans la liste Fortune 100 parmi lesquelles Lockheed Martin, Citigroup, Vodafone, Virgin Atlantic, Reader's Digest, Office Depot et Showtime.
Bien sûr, Apache Struts s'est empressé de réagir :
Log4j
En 2013, un utilisateur a proposé d'ajouter du code à Log4j, et la petite équipe de la Fondation Apache chargée de la maintenance de Log4j l'a approuvé. En novembre 2021, un ingénieur chinois a constaté que la section ajoutée contenait un énorme défaut de conception qui permettrait de prendre le contrôle du système, et il a signalé le problème au groupe Apache.
Alors qu'Apache travaillait sur un correctif pour résoudre le problème, un chercheur non identifié a découvert les changements en cours et a développé un outil malveillant pour prendre le contrôle des ordinateurs utilisant Log4j. Apache a publié le correctif à la hâte, déclenchant une course entre des milliers de défenseurs et ceux qui tentaient d'exploiter la faille avant qu'elle ne soit corrigée.
De nombreuses instances de Log4j n'ont toujours pas été corrigées. Fin juillet, la National Security Agency et d'autres organismes ont averti que des espions nord-coréens continuaient à s'introduire dans des serveurs web américains utilisant d'anciennes versions.
Le comité d'examen de la cybersécurité de la Maison Blanche a conclu que seuls un meilleur codage et des audits approfondis auraient pu empêcher la diffusion de la faille Log4j, et que les efforts en matière de logiciels libres comme ceux d'Apache « nécessiteraient un soutien financier et une expertise soutenus ».
L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) du ministère de la sécurité intérieure a réagi en accordant de petites subventions à des start-up et en incitant les entreprises à...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.