Lutter contre les attaques sur la chaîne d'approvisionnement des logiciels

Les fonctionnalités de détection des menaces et d’inventaire des logiciels (SBOM), développées par ReversingLabs, ont été intégrées à DigiCert^® Software Trust Manager pour permettre aux entreprises de détecter les menaces et les vulnérabilités de leurs logiciels, avant de les signer en toute sécurité.

Une nouvelle pandémie ?

Les attaques contre la chaîne d'approvisionnement logicielle se multiplient. Des entreprises technologiques telles que MSI, Intel, Microsoft, CircleCI et 3CX en ont été récemment victimes, s’ajoutant à liste d’entreprises SolarWinds, Asus, Codecov, Docker Hub et A.P. Moller-Maersk, ... Personne n'est à l'abri.

Un récent rapport de Gartner indique que 45 % des entreprises dans le monde subiront des attaques sur la chaîne d'approvisionnement logicielles d'ici 2025. Une autre étude révèle qu'il y a eu une augmentation de 742 % (et ce n'est pas une faute de frappe !) de ces attaques au cours des trois dernières années.

Les attaques sur la chaîne d'approvisionnement des logiciels sont multiples. Certaines ciblent des clés de signature de code non protégées puis les vendent sur le dark web ou les utilisent pour signer des malwares. D'autres exploitent les vulnérabilités du cycle de développement des logiciels d'une entreprise pour intégrer furtivement des malwares directement dans le logiciel. Enfin d'autres attaques peuvent se produire lorsqu'une entreprise intègre des logiciels tiers infestés de malwares, à son insu, (tels que des logiciels libres) dans son offre de produits.

Même si les techniques d'attaque varient, leur impact sur les entreprises ciblées ne change pas. Elles peuvent causer des dommages irrémédiables, perte de confiance des clients, impact sur la réputation, diminution du chiffre d’affaires et/ou une fuite de données clients confidentielles ou de data de l'entreprise elle-même.

Une course au traitement

À l'instar d'un virus résistant aux traitements et sans cesse en mutation, cette pandémie nécessite une approche multidimensionnelle pour trouver un remède préventif. Les gouvernements et les associations professionnelles ont proposé un certain nombre de recommandations.

Ainsi, en 2021, le gouvernement américain a publié le décret N°14028 "Improving the Nation's Cybersecurity" (Améliorer la cybersécurité de la nation), qui a donné lieu à la rédaction d'un guide sur la sécurité de la chaîne d'approvisionnement des logiciels (Software Supply Chain Security Guidance) par le National Institute of Standards and Technology (NIST). Le ministère américain de la défense a également réagi en publiant un guide des pratiques recommandées pour les développeurs (Securing the Software Supply Chain Recommended Practices Guide for Developers). De son côté, l'Office of Management and Budget des États-Unis a publié le mémorandum M-22-18 qui « exige que chaque agence fédérale fournisse des protections de sécurité pour les informations collectées ou conservées par ou au nom d'une agence ». Cela a impacté les fournisseurs de logiciels du gouvernement américain qui doivent attester de la sécurité des logiciels et des services fournis.

Les États-Unis ne sont pas les seuls à. L'Union européenne et ses pays membres mais également le Royaume-Uni, le Japon et d'autres pays proposent des orientations similaires.

Un arsenal de remèdes

Entre-temps, divers traitements ont été mis au point pour contrer les attaques sur la chaîne d'approvisionnement des logiciels. Ils contribuent tous à la détection et la prévention des attaques, mais il est rare qu'un seul suffise. Les tests de sécurité dynamique des applications (DAST), les tests statiques de sécurité des applications (SAST), l'analyse de la composition des logiciels, la signature sécurisée du code et les SBOM ne sont que quelques exemples des traitements existants.

Dans certains cas, les entreprises adoptent une approche mixte. Par exemple, dans la même organisation, deux équipes peuvent s'appuyer sur des techniques différentes. Ce manque de coordination à l'échelle de l'entreprise peut la rendre vulnérable aux attaques, voire donner un faux sentiment de sécurité aux responsables de la sécurité.

Prenons l'exemple de la signature de code. Il s'agit d'une technique de sécurité mise à la disposition des entreprises depuis plus de 30 ans. Elle fonctionnait bien jusqu'à ce que les cybercriminels découvrent qu'ils pouvaient simplement voler les clés privées de signature de code. Les entreprises ont réagi en déplaçant les clés de signature de code vers un stockage sécurisé, comme le module de sécurité matériel (HSM). Mais les attaquants ont contourné cet obstacle en utilisant d'autres méthodes, comme l'hameçonnage, pour obtenir les informations d'identification permettant d’accéder aux clés privées. Désormais, les entreprises doivent non seulement stocker leurs clés privées en toute sécurité, mais également mettre en œuvre un processus de signature de code sécurisé qui inclut la sécurité des clés, un accès et un contrôle basés sur les rôles, une définition centralisée de la politique et des systèmes de journalisation des activités de signature de code.

À l'instar d'un virus mutant qui nécessite d’utiliser plusieurs traitements évolutifs au fil du temps, l'industrie du logiciel doit faire de même pour lutter contre les attaques de la chaîne d'approvisionnement logicielles.

Signer en connaissance de cause

DigiCert Software Trust Manager est une solution de signature de code sécurisée et renforcée, qui permet aux clients de DigiCert de gérer de manière centralisée la signature de code dans toute l’entreprise, quels que soient l’emplacement de l'équipe logicielle, le langage de programmation, la plateforme utilisée ou le type de logiciel développé par l'équipe (cloud-native, dispositif embarqué, applications mobiles, etc.). Elle a réussi, dans le passé, à stopper plusieurs vulnérabilités du processus de signature de code utilisées par les attaquants en particulier via une politique de signature de code plus sûre dans l'ensemble de l'entreprise. Cependant, lorsqu'on signe un logiciel, on suppose que ce dernier est dépourvu de bug, de logiciels malveillants et autres vulnérabilités, qu'il n'a pas été modifié et que l'équipe qui le gère connait parfaitement ses composants (ce qu’exige d’ailleurs la nouvelle réglementation concernant le SBOM). Nos clients nous ont révélé à quel point la détection des menaces logicielles est importante pour eux et pourquoi son intégration dans leurs workflows est essentielle. En outre, ils affirment qu'elle doit être facilement accessible à un grand nombre d'équipes logicielles différentes développant un large éventail d'applications logicielles et qu'elle ne doit pas impacter leur productivité (ralentissement des pipelines CI/CD). Les équipes de sécurité souhaitent également disposer d'un environnement unique dans lequel elles peuvent mettre en place une politique de sécurité à l'échelle de l'entreprise (processus de signature de code, analyses binaires approfondies afin de détecter les menaces et les vulnérabilités, création de SBOM conformes aux exigences réglementaires émergentes).

ReversingLabs alimente la détection des menaces de DigiCert Software Trust Manager

Aujourd'hui, DigiCert est fier d'annoncer sa collaboration avec ReversingLabs, un leader dans la sécurité de la chaîne d'approvisionnement des logiciels. Ce partenariat renforce la sécurité des logiciels en combinant l'analyse binaire avancée et la détection des menaces de ReversingLabs avec la solution de signature de code sécurisée de DigiCert. Les clients de DigiCert bénéficieront d'une meilleure intégrité logicielle grâce à une analyse approfondie confirmant que leur logiciel ne contient pas de menaces connues telles que les malwares, les implants logiciels, la falsification de logiciels et les secrets exposés avant qu'ils ne le signent en toute sécurité.

DigiCert a intégré la technologie de ReversingLabs à sa nouvelle solution DigiCert Software Trust Manager Threat Detection. Cette nouvelle fonctionnalité est commercialisée et financée par DigiCert. Elle est intégrée dans les workflows de Software Trust Manager, offrant aux équipes un contrôle et une visibilité uniques.

DigiCert Software Trust Manager Threat Detection fournit un workflow unique de manière centralisée dans l'ensemble de l'entreprise. Il génère également un SBOM complet couvrant les logiciels développés en interne et les logiciels tiers (logiciels open source et sous licence commerciale).

A mesure que les attaques contre la chaîne d'approvisionnement des logiciels augmentent, la détection des menaces et la génération de SBOM deviennent cruciaux et font l’objet de réglementations gouvernementales et industrielles.

À l'instar de la récente pandémie COVID-19, qui a nécessité l'utilisation de divers traitements et mesures préventives, les entreprises doivent adopter de multiples mesures de sécurité pour se protéger contre les attaques de la chaîne d'approvisionnement des logiciels. Le partenariat entre DigiCert et ReversingLabs s’inscrit dans cette optique.

Rejoignez notre panel d'experts pour discuter des défis, des stratégies et des solutions nécessaires pour maintenir la confiance numérique et garantir un écosystème logiciel sécurisé, lors de notre webinaire du 13 juin. Inscrivez-vous pour participer en direct ou obtenez le replay ICI.