View in

English

Sécurité informatique : Se prémunir contre la « salmonellose numérique »

Sécurité informatique : Se prémunir contre la « salmonellose numérique »

|

Créer un logiciel de qualité, c'est comme préparer un bon dîner pour vos amis : il faut de bons ingrédients et des ustensiles adéquats, et la cuisine doit être propre (au moins au début). Il est aussi important de goûter régulièrement ce que vous préparez afin de ne pas décevoir vos amis, et de veiller à l’hygiène afin de les prémunir contre la salmonellose. Il en va de même pour le codage : il faut choisir le bon langage de programmation, utiliser des logiciels et des gestionnaires de versions reconnus, préparer des lignes de codes propres et bien documentées, et effectuer des analyses et des tests répétés pour dénicher, en temps utile et bien avant que le logiciel ne soit mis en production, les erreurs, les failles, les faiblesses, les bogues et les vulnérabilités, en d’autres termes, pour se prémunir contre la « salmonellose numérique ». Le département IT du CERN dispose de deux nouveaux outils qui peuvent justement vous aider à créer un logiciel propre. Il s’agit de « Static Application Security Testing » (SAST) et de « Secret detection » de GitLab, garantis sans salmonellose.

SAST est un outil essentiel pour assurer la sécurité de votre code. Il permet d’analyser l’ensemble du code source rapidement et automatiquement. Les vulnérabilités peuvent ainsi être repérées très tôt lors du développement du logiciel. Il suffit pour cela d'exécuter SAST en tant que tâche supplémentaire en l'intégrant aux tâches habituelles au sein du pipeline. Sans interrompre le processus de construction, les points à améliorer, les vulnérabilités et les autres types de problèmes peuvent être identifiés et traités rapidement.

La détection des secrets, qui représentent un autre type de salmonellose numérique, est une mesure tout aussi importante. Les secrets (à savoir les mots de passe, les jetons, les clés privées et les certificats) sont le ciment qui unit les différentes parties d’une application (comme les composants SaaS, les bases de données et les infrastructures en nuage). Ces secrets sont souvent codés en dur dans le code source, étant donné qu’ils sont destinés à être utilisés pour la programmation. En fait, plus de cinq millions de secrets ont été découverts dans des référentiels publics selon un rapport de GitGuardian publié en 2021 (« State of Secrets Sprawl », https://www.gitguardian.com/state-of-secrets-sprawl-on-github-2021), soit une augmentation de 20 % par rapport à l'année précédente, sans même compter les secrets en clair des référentiels privés. Ainsi, pour garder secrets vos secrets, assurer la sécurité de l’Organisation, et se prémunir contre la salmonellose numérique, « Secret Detection » de GitLab est un autre outil important à exécuter lors de tout processus de construction. Cet outil vous permettra d’utiliser les secrets en en comprenant le fonctionnement et les risques d’exposition, et vous aidera à remédier aux fuites éventuelles (voir également nos recommandations sur la façon de garder secrets les secrets https://security.web.cern.ch/recommendations/fr/password_alternatives.shtml).

Ces deux outils de sécurité sont déjà disponibles grâce à la licence premium GitLab actuelle du CERN[1]. La page web suivante explique comment les utiliser : https://gitlab.docs.cern.ch/docs/Secure%20your%20application/. Leur utilisation se fait actuellement sur une base volontaire (merci d’avance de les adopter !), mais ils devront être appliqués à l'avenir pour toutes les constructions de pipeline ; des avertissements seront émis en temps voulu, alors, lancez-vous ! En fonction de la gravité des résultats, nous pourrions même envisager de recaler le pipeline. Après tout, nous ne voulons pas infecter vos amis (ni la pile logicielle du CERN) ! 

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (https://cern.ch/security/reports/en/monthly_reports.shtml) (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site (https://security.web.cern.ch/security/home/fr/index.shtml) ou contactez-nous à l’adresse Computer.Security@cern.ch.

 

[1] Nous espérons pouvoir également résoudre les problèmes liés à la chaîne d'approvisionnement lors de l'importation de progiciels, de bibliothèques, de conteneurs et de machines virtuelles à distance (https://home.cern/fr/news/news/computing/computer-security-when-your-restaurant-turns-sour).