Les équipes de sécurité ont du mal à suivre le raz-de-marée de nouvelles innovations dans le monde DevOps d'aujourd'hui, axé sur le cloud. Il est donc logique qu'elles soient également incapables de suivre le rythme de la myriade de façons dont les attaquants exploitent les faiblesses qui découlent inévitablement d'une telle quantité de code générée en permanence. 

Pourtant, malgré l'accélération du rythme des failles de sécurité importantes - depuis la violation des données d'Equifax et l'attaque de la chaîne d'approvisionnement de SolarWinds jusqu'aux incidents de ces dernières années, tels que les attaques réussies contre Change Healthcare, AT&T et d'autres - de nombreuses organisations continuent de se concentrer sur une approche réactive de la sécurité. Elles consacrent la majeure partie de leurs ressources en matière de sécurité à la recherche et à la correction des vulnérabilités, ainsi qu'à la réaction aux incidents au fur et à mesure qu'ils se produisent. Cette approche aurait pu convenir à une autre époque, mais l'évolution rapide des logiciels, des capacités technologiques et de l'infrastructure informatique est trop importante pour que des équipes de sécurité en sous-effectif et surchargées de travail puissent la suivre.

Pour éviter d'être continuellement désavantagées, elles doivent cesser de courir après les menaces de sécurité qui évoluent trop vite pour elles ou d'attendre que le cheval de la violation de données soit sorti de l'écurie. Au lieu de cela, elles doivent s'attaquer au problème en adoptant une approche préventive plutôt que réactive. L'amélioration de la sécurité des applications existantes et des nouvelles applications nécessite une approche "Secure-by-Design", soutenue par une formation efficace des développeurs, afin de garantir que les meilleures pratiques de sécurité sont utilisées dès le début du cycle de développement logiciel (SDLC) et que les vulnérabilités sont corrigées avant qu'elles ne soient mises en production.

Jusqu'à présent, cela s'est avéré beaucoup plus facile à dire qu'à faire. 

Les codeurs sécurisés sont rares

L'agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a tenté de faire de la prévention une politique clé avec son initiative Secure-by-Design, qui promeut le codage sécurisé ainsi que d'autres bonnes pratiques - allant de l'authentification multifactorielle à la réduction des catégories de vulnérabilités - et encourage les organisations à prendre l'engagement Secure-by-Design Pledge (Engagement pour la sécurité par la conception). D'autres pays, dont l'Australie, le Canada, l'Allemagne et le Royaume-Uni, ont lancé des programmes similaires. Néanmoins, nos recherches montrent que très peu d'organisations se sont ralliées à ce programme jusqu'à présent.

Si nous combinons tous les développeurs sur Secure Code Warrior's Learning Platform avec ceux des concurrents de SCW travaillant dans la veine Secure-by-Design, il y a entre 500 000 et 1 million de développeurs qui adoptent cette approche. Selon l'estimation la plus généreuse, cela représente environ 3,5 % du nombre total de développeurs dans le monde, qui devrait atteindre 28,7 millions d' ici à la fin de 2024. Cela fait beaucoup de développeurs qui produisent plus de code que jamais auparavant, en particulier avec les programmes d'intelligence artificielle générative qui accélèrent considérablement le rythme de développement, et très peu qui apprennent à commencer par un code sécurisé. 

Les ingénieurs en logiciel n'apprennent généralement pas la cybersécurité parce que le modèle traditionnel veut que les développeurs et les professionnels de la sécurité travaillent comme des entités séparées, les équipes de sécurité s'occupant des problèmes de sécurité après la création du logiciel. Mais les professionnels de la sécurité sont terriblement moins nombreux dans l'environnement actuel. Le dernier rapport Building Security in Maturity Model ( BSIMM14) montre qu'il y a, en moyenne, 3,87 professionnels de l'AppSec pour 100 développeurs dans le monde. Avoir moins de quatre spécialistes formés qui tentent de sécuriser la production de 100 développeurs travaillant à une vitesse vertigineuse n'est pas une recette pour un code sécurisé. 

La négligence de la sécurité des applications est tout aussi évidente lorsque l'on compare la taille de son marché à celle d'autres secteurs de la sécurité. Les éléments qui composent une approche Secure-by-Design relèvent du marché de la sécurité des applications, qui devrait passer de 6,08 milliards de dollars en 2023 à 17,51 milliards de dollars d'ici à 2031. Cela ressemble à une croissance rapide, mais c'est bien peu comparé à l'argent dépensé pour la sécurité des réseaux, qui devrait passer de 23,57 milliards de dollars en 2023 à 67,33 milliards de dollars d'ici 2032, ou pour la sécurité des technologies opérationnelles, qui devrait passer de 18,03 milliards de dollars en 2023 à 57,51 milliards de dollars d'ici 2031. 

Compte tenu de l'importance croissante de la sécurité du code et des applications, ce domaine est sous-financé. En fait, si les entreprises investissent davantage dans la sécurité des applications et dans une approche "Secure-by-Design", elles peuvent être en mesure d'économiser dans d'autres domaines de la sécurité. 

Un certain nombre d'autres facteurs contribuent à l'idée que la sécurité préventive est plus difficile à mettre en œuvre, et donc plus difficile à vendre aux cadres supérieurs. D'une part, les entreprises qui existent depuis longtemps, comme celles du secteur des services financiers, sont encombrées de vieux systèmes, dont certains datent du milieu du siècle dernier, lorsque le COBOL était le langage de programmation de prédilection. 

L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité. 

Construire une culture de la prévention

La transition vers une approche préventive de la sécurité démarre peut-être lentement, mais la pression en faveur de l'adoption de pratiques de conception sécurisée (Secure-by-Design) ne faiblit pas, car le besoin pressant d'une telle approche dans l'environnement actuel des cybermenaces ne disparaît pas non plus. L'industrie automobile serait critiquée si elle décidait d'investir dans un plus grand nombre d'ambulances et de secouristes au lieu de rendre les voitures plus sûres, mais de nombreuses organisations suivent ce modèle en matière de cybersécurité.

Les organisations doivent adopter une approche préventive et proactive pour réduire les risques. Elles doivent mettre en place des programmes pour former les développeurs à l'écriture de codes sécurisés et à la correction des erreurs (telles que celles introduites par les assistants d'IA ou les codes tiers) dès le début du cycle de développement durable. Ces programmes devraient inclure des programmes de formation agiles et interactifs qui s'adaptent aux horaires des développeurs et peuvent être adaptés à leurs environnements de travail et aux langages de programmation qu'ils utilisent. La formation continue devrait comprendre une formation pratique qui aborde des problèmes du monde réel.

Il est important qu'il comprenne un moyen de mesurer leurs progrès pour s'assurer qu'ils ont fait des meilleures pratiques de sécurité une partie vitale de leurs routines quotidiennes. Un outil tel que le Trust Score de SCW utilise des points de référence pour évaluer les progrès réalisés en interne et par rapport aux normes du secteur, tout en identifiant les domaines qui doivent être améliorés. 

Une approche "Secure-by-Design" serait holistique, reflétant un état d'esprit axé sur la sécurité au sein de l'organisation, où la sécurité est une priorité pour l'entreprise. La réaction et la récupération sont des éléments essentiels de la posture de sécurité globale d'une organisation, certes. Mais en se concentrant sur la prévention, les entreprises peuvent faire de grands progrès dans la réduction des risques et peut-être éviter le type de violations majeures qui peuvent menacer la viabilité d'une entreprise.

Découvrez comment Secure Code Warrior peut vous aider à mettre en œuvre une initiative Secure-by-Design viable dès aujourd'hui.

Les cybermenaces étant de plus en plus répandues et de plus en plus sophistiquées, la cybersécurité se concentre sur l'importance d'un code sécurisé. La stratégie nationale de cybersécurité de la Maison Blanche et l'initiative Secure-by-Design de la Cybersecurity and Infrastructure Security Agency (CISA), ainsi que les initiatives et la législation dans d'autres pays, placent la responsabilité de la sécurité directement sur les épaules des producteurs de logiciels. Il est désormais essentiel pour les organisations de protéger leurs données et leurs systèmes et d'éviter les retombées réglementaires en cas de violation, alors que l'on considérait autrefois qu'il était agréable de le faire.

La clé pour garantir des pratiques de codage sécurisées réside dans la formation des développeurs. Les ingénieurs logiciels reçoivent généralement peu ou pas de formation à la cybersécurité. Leur travail, en particulier dans l'environnement DevOps accéléré d'aujourd'hui, consiste à créer de nouvelles applications, des mises à jour et des services aussi rapidement que possible - de plus en plus avec l'aide de modèles d'IA génératifs rapides - et à laisser les équipes de sécurité s'occuper des problèmes de cybersécurité à un moment ultérieur du cycle de développement logiciel (SDLC). C'est une façon inefficace de traiter la pléthore de failles qui apparaissent avec la création d'une telle quantité de code, ce qui entraîne souvent la diffusion de vulnérabilités logicielles dans l'écosystème.

Les développeurs doivent être formés à l'écriture de codes sécurisés dès le départ et être en mesure de détecter les codes non sécurisés générés par l'IA ou présents dans les logiciels libres et autres logiciels tiers qu'ils utilisent. Pour de nombreuses équipes de développement et organisations, il s'agit d'un terrain inconnu. Comment savoir si les développeurs reçoivent la formation dont ils ont besoin ? Et cette formation est-elle appliquée régulièrement ?

Certaines entreprises qui poursuivent la formation des développeurs ont jugé utile d'établir un ensemble de compétences de base que les développeurs doivent acquérir et de mesurer leurs progrès par rapport à des points de référence clairement définis. Pour contribuer à cet effort, Secure Code Warrior a lancé un point de référence conçu pour mesurer avec précision les progrès des développeurs en matière de formation à la sécurité. Le score de confiance SCW permet aux organisations de mesurer l'efficacité de la formation sur le terrain et de permettre aux équipes de sécurité, de développement et d'ingénierie de collaborer.

Il s'agit d'un moyen de prouver que la formation au code sécurisé est en train de s'implanter tout en identifiant les domaines à améliorer.

Arguments en faveur d'une conception sécurisée

Les fabricants de logiciels ont toutes les raisons d'intégrer la sécurité dans le cycle de développement logiciel dès le début du processus. La demande croissante d'applications et de services et la vitesse que l'IA apporte au processus de développement se sont avérées utiles aux développeurs, qui ont rapidement adopté l'IA générative, mais elles entraînent aussi inévitablement la diffusion de logiciels bogués dans le pipeline. Plus il y a de code généré, plus il y a de failles - et des recherches récentes ont révélé que près des trois quarts des applications (indépendamment de la manière dont elles ont été créées) contiennent au moins une faille de sécurité, près de 20 % d'entre elles étant considérées comme critiques. 

Rattraper les vulnérabilités plus tard dans le cycle de vie du logiciel devient prohibitif en termes de temps et de coût. Le National Institute of Standards and Technology (NIST) a constaté que la correction des défauts pendant les tests prend 15 fois plus de temps que la sécurisation des logiciels au début du cycle de développement durable, et que la correction des défauts pendant la phase de déploiement/maintenance peut prendre de 30 à 100 fois plus de temps. 

Tout cela souligne l'importance d'appliquer la sécurité dès le début du cycle de développement, ce qui s'est avéré être non seulement le moyen le plus efficace de réduire les risques, mais aussi le plus rentable. Les développeurs - qui travaillent avec les équipes de sécurité plutôt que de les voir fonctionner comme des entités distinctes - sont les mieux placés pour intégrer la sécurité au début du cycle de développement durable. Et les développeurs formés aux meilleures pratiques de sécurité ont réussi à réduire les vulnérabilités. Le problème est que très peu d'entre eux ont été formés.

La beauté des repères 

Pour les entreprises, il s'agit d'établir une base de compétences en matière de sécurité, de dispenser une formation et de vérifier, tant pour les organisations que pour les autorités de réglementation, que les développeurs ont acquis les compétences nécessaires. Cela s'est avéré difficile pour de nombreuses organisations dans tous les secteurs économiques, mais ce n'est pas une fatalité.

L'un des défis identifiés par les responsables de la sécurité est la difficulté d'étendre un programme de formation à l'ensemble de l'entreprise. Mais les recherches de SCW montrent que les organisations, en particulier celles qui disposent d'un grand nombre de développeurs, peuvent mettre en œuvre avec succès une approche de conception sécurisée. Les résultats des organisations plus petites tendent à montrer une grande variabilité dans la manière dont elles appliquent les principes de la conception sécurisée. Néanmoins, elles peuvent elles aussi bénéficier d'une approche qui inclut des scores de confiance, et elles montreront probablement des améliorations plus rapidement.

Trust Score utilise des mesures d'étalonnage pour mesurer les progrès des apprenants individuels, regroupe leurs scores pour évaluer les performances de l'ensemble de l'équipe et compare les progrès de l'organisation avec les références et les meilleures pratiques de l'industrie. Il ne s'agit pas seulement de suivre la formation, mais aussi de montrer dans quelle mesure les développeurs appliquent leurs nouvelles compétences au quotidien. Il met également en évidence les domaines qui doivent être améliorés, ce qui permet à l'organisation d'optimiser ses programmes de formation et de perfectionnement. 

Dans les secteurs d'infrastructures critiques de la CISA pour lesquels des données étaient disponibles, la plupart des organisations se situent à peu près au même niveau en ce qui concerne la mise en œuvre des principes de conception sécurisée. Les scores de confiance des secteurs allant des services financiers et de la base industrielle de défense aux soins de santé, à l'informatique et à l'industrie critique se situent dans la même fourchette - un peu plus de 300 sur une échelle de 1 000 points. Aucun secteur ne surpasse les autres, malgré l'idée reçue selon laquelle les services financiers, en tant que secteur le plus réglementé, seraient loin devant.

Les secteurs d'infrastructures critiques qui ne sont pas inclus dans le classement du Trust Score - tels que les opérations chimiques, énergétiques et nucléaires - ne créent généralement pas leurs propres logiciels, mais s'appuient sur d'autres secteurs, en particulier les technologies de l'information. Cependant, l'importance de maintenir des systèmes sécurisés dans ces secteurs (personne ne souhaite voir une centrale nucléaire compromise) montre à quel point il est essentiel de sécuriser les logiciels qu'ils utilisent en premier lieu.

Conclusion

La pression réglementaire accrue et les réalités du paysage des cybermenaces ont rendu l'approche "Secure-by-Design" impérative pour les organisations qui veulent protéger leurs données, leurs systèmes, leurs opérations commerciales et leur réputation. La création de logiciels sécurisés est en grande partie entre les mains des développeurs, mais ils ont besoin d'aide sous la forme d'un programme complet de perfectionnement et de formation qui leur apporte l'éducation dont ils ont besoin et leur montre comment elle est appliquée. 

Un programme comprenant des points de référence, soutenu par un outil tel que Trust Score, peut fournir une vision claire des progrès critiques d'une équipe de développement. Il s'agit d'une nouvelle approche vitale dont les développeurs et les entreprises pour lesquelles ils travaillent ont besoin pour s'assurer qu'ils améliorent constamment leurs compétences en matière de développement de logiciels sécurisés, tout en répondant aux nouvelles exigences de la conception sécurisée.

‍

Il est encourageant de constater que le mouvement " Secure-By-Design " (SBD) de la CISA prend de l'ampleur dans le monde entier, puisque les États-Unis, l'Australie, la Nouvelle-Zélande, le Canada, Singapour, le Japon, l'Allemagne et le Royaume-Uni s'engagent à intégrer des lignes directrices similaires dans leurs stratégies de cybersécurité, et que nombre de ces pays contribuent également aux recommandations initiales.

Depuis avril 2024, plus de 200 entreprises, parmi lesquelles Secure Code Warrioront signé l'engagement "Secure-by-Design", ce qui témoigne d'un engagement plus large de l'industrie en faveur de normes plus strictes en matière de qualité et de sécurité des logiciels. Nous considérons ces lignes directrices comme un moment crucial pour les responsables de la cybersécurité qui, pour la première fois, bénéficient du soutien d'un gouvernement mondial en faveur d'un changement culturel important dans le développement des logiciels. Bien que ces recommandations ne soient pas encore obligatoires en dehors des fournisseurs de logiciels qui vendent directement au gouvernement américain, je considère qu'il ne s'agit pas seulement de l'avenir, mais d'une occasion en or de commencer à lutter contre les acteurs de la menace. L'objectif principal des lignes directrices est de supprimer les catégories de vulnérabilités, et en se concentrant sur cet objectif à l'échelle de l'industrie, nous pourrions avoir l'impact positif le plus important sur la sécurité numérique depuis des dizaines d'années.

Nous pensons que ce mouvement est essentiel, et notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise (Évaluation comparative des compétences en matière de sécurité : rationalisation de la conception sécurisée au sein de l'entreprise) est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données. 

Mesurer le retour sur investissement des efforts de conception sécurisée des organisations

La refonte de pratiques de développement de logiciels établies de longue date n'est pas une mince affaire. Les RSSI sont souvent mis au défi lorsqu'ils tentent de prouver le retour sur investissement (ROI) et la valeur commerciale des activités du programme de sécurité, tant au niveau des personnes que de l'entreprise, nombre d'entre eux exprimant une frustration croissante face aux réductions budgétaires et au manque d'adhésion des cadres supérieurs aux nouvelles initiatives cybernétiques. Toutefois, une proposition étayée par des données fera toute la différence. 

Ces dernières années, l'absence d'un référentiel de compétences permettant aux organisations d'évaluer leur situation par rapport aux normes de l'industrie a constitué un défi majeur. Il est donc extrêmement difficile de concevoir et de mettre en œuvre des programmes de sécurité qui touchent les bons domaines et qui favorisent l'amélioration continue de la cohorte de développement, un élément crucial des pratiques de sécurité logicielle efficaces. 

Pour que les initiatives de conception sécurisée fonctionnent, il faut non seulement donner aux développeurs les compétences nécessaires pour garantir la sécurité du code, mais aussi assurer aux régulateurs que ces compétences sont en place. Nous avons donc décidé d'analyser l'état de préparation des équipes de développeurs, et les résultats pourraient surprendre.

Comment les entreprises qui tentent d'accélérer leurs initiatives en matière de SMD peuvent-elles tirer parti du score de confiance ?

Il est pratiquement impossible de s'améliorer efficacement sans avoir une idée précise de son point de départ et de son point d'arrivée. Cependant, des centaines d'entreprises clientes utilisent efficacement le SCW Trust Score - uneréférence mondiale qui quantifie les compétences des équipes de développement en matière de sécurité - pour fournir ces points de données utiles et granulaires. Ces informations permettent de mettre en place des programmes de sécurité très efficaces, axés sur les développeurs et propices à la réussite des initiatives Secure-by-Design.

L'analyse présentée dans notre livre blanc montre que les entreprises des principaux secteurs d'infrastructures critiques progressent dans la préparation de leurs développeurs à l'avancement de leurs initiatives SBD. Nous avons également constaté que les équipes de développeurs de ces secteurs ont un niveau de sécurité moyen.

Secure Code Warrior 'analyse de l'amélioration des compétences des développeurs dans les secteurs des infrastructures critiques est basée sur des informations provenant de plus de 20 millions de points de données, de 600 entreprises clientes et de plus de 250 000 développeurs actifs dans le monde entier. L'analyse a révélé que :

• Le nombre total de développeurs actuellement impliqués dans des initiatives d'amélioration des compétences dans le cadre des SMD est inférieur à 4 % de l'ensemble des développeurs dans le monde ;
• Le secteur des services financiers a obtenu la note de confiance la plus élevée (336) ;
• La plupart des initiatives à grande échelle de renforcement des compétences dans le domaine de la sécurité sont couronnées de succès, tandis que les initiatives à plus petite échelle ont tendance à être dispersées. Toutefois, lorsqu'elles sont mandatées, il a été démontré qu'elles produisent plus rapidement un retour sur investissement mesurable ;
• Lorsque des initiatives de perfectionnement sont fermement mises en place, les risques introduits par les développeurs dans les applications sont considérablement réduits. L'analyse a montré que les développeurs participant à de vastes initiatives d'amélioration des compétences (plus de 7 000 développeurs dans une seule entreprise) peuvent réduire les vulnérabilités de 47 à 53 %.

La solution | Conclusion

Le score de confiance SCW est un outil puissant dans l'arsenal de tout responsable de la sécurité, permettant une analyse détaillée de domaines spécifiques au sein d'une organisation. Les rapports peuvent être filtrés en fonction des langues, des équipes ou des catégories, produisant ainsi des rapports personnalisés qui permettent aux entreprises de répondre aux besoins spécifiques des développeurs ou des équipes et d'identifier les domaines dans lesquels une formation ou un accompagnement supplémentaire est nécessaire. Après tout, la sécurité est une entreprise sans fin ; une analyse comparative efficace des performances permettra d'identifier les possibilités d'amélioration continue.

L'accélération du développement et du déploiement des logiciels, associée à un paysage de cybermenaces de plus en plus menaçant et à des organismes de réglementation de plus en plus vigilants, a placé la cybersécurité au premier plan. Les organisations, si ce n'est déjà fait, doivent donner la priorité au développement d'une culture de la sécurité à l'échelle de l'entreprise.

Les utilisateurs de Linux n'ont pas eu la vie facile ces derniers temps, plusieurs vulnérabilités de grande gravité ayant affecté le système de diverses manières au cours des dernières années. Les chercheurs en sécurité ont maintenant un nouveau groupe de vulnérabilités à déballer, toutes liées à la fonction Common UNIX Printing System (CUPS) ciblant les systèmes GNU/Linux avec une voie potentielle pour l'exécution de code à distance (RCE).

Le 27 septembre 2024, Simone Margaritelli d'evilsocket.net a publié des informations critiques sur plusieurs vulnérabilités exploitables dans CUPS, avec des CVEs attribués par la suite à quatre d'entre elles. Ce nombre pourrait augmenter, mais à l'heure où nous écrivons ces lignes, la communauté de la sécurité débat de la gravité réelle de ces découvertes. Alors que l'un des CVE, CVE-2024-47177, a une note de gravité critique actuelle de 9.1 de MITRE, la manipulation réussie de cette faille d'injection de commande dépend des serveurs avec le service CUPS activé et, en outre, nécessite l'accès au port UDP 631 ou DNS-SD. RedHat note cependant qu'il est possible de remapper CUPS sur un port différent. 

L'analyse complète de l'incident par Margaritelli révèle une chaîne d'attaques insidieuse et complexe qui, malgré les désaccords au sein de la communauté, ne devrait pas être ignorée. Elle nous donne une leçon sur les dépendances apparemment inoffensives qui peuvent être profondément exploitées si un acteur de la menace est suffisamment déterminé et si de petites fenêtres d'opportunité ont été laissées ouvertes par de mauvais modèles de codage.

Le scénario CUPS est un peu différent de ce que de nombreux développeurs et professionnels de l'AppSec ont pu connaître auparavant, alors jetons un coup d'œil et testons vos compétences au passage.

La vulnérabilité : Exécution de code à distance (RCE) via CUPS

Le blog d'Evilsocket fournit des informations approfondies et inégalées sur ces exploits, et c'est une ressource que nous continuerons à suivre de près. Margaritelli cite également une source anonyme dans son article, qui ne semble pas optimiste quant à la robustesse générale de Linux en matière de sécurité :

‍

"D'un point de vue de sécurité générique, un système Linux entier tel qu'il est aujourd'hui n'est qu'un fouillis sans fin et sans espoir de failles de sécurité attendant d'être exploitées."

Cela nous rappelle les risques de sécurité inhérents aux environnements à code source ouvert, sans parler du besoin urgent d'une sensibilisation accrue à la sécurité et de compétences de codage sécurisées au sein de la communauté mondiale des développeurs.

Jetons un coup d'œil aux CVE :

• CVE-2024-47177
• CVE-2024-47176
• CVE-2024-47076
• CVE-2024-47175

‍Lachaîne de vulnérabilité est très répandue et affecte actuellement toutes les versions actuelles et antérieures des paquets suivants :

• distrotech/cups-filtres
• OpenPrinting/cups-filters
• Coupes parcourues
• libcupsfilters
• libppd
  
  

CUPS est un composant hérité des systèmes d'exploitation UNIX et Linux depuis plus de vingt ans. Sa fonction de dépendance des services d'impression l'incite à effectuer des requêtes sur le réseau, ce qui en fait une cible de choix pour les vulnérabilités de type RCE.

Dans le cas présent, cependant, les attaques se combinent avec une certaine ingéniosité pour aboutir à un résultat positif. Il s'agit essentiellement de la capacité d'un attaquant non authentifié et non détecté à remplacer les URL du protocole d'impression Internet (IPP) par des URL malveillantes, en plus de modifier les directives qui peuvent provoquer l'injection de commandes dans le "fichier PPD (PostScript Printer Description), qui est un fichier utilisé pour décrire les caractéristiques de l'imprimante nouvellement ajoutée. Il en résulte une attaque par exécution de commande une fois qu'un travail d'impression est activé, et qui repose sur un manque de validation des entrées dans les composants de CUPS.

En outre, la correction de cette vulnérabilité particulière crée une sorte d'épée à double tranchant, comme le souligne Evilsocket. CUPS comprend le filtre foomatic-rip, un exécutable qui s'est déjà avéré être un composant exploitable à haut risque. Les CVE relatives à ce composant remontent à 2011, et bien qu'il ait été établi que foomatic-rip peut être utilisé pour exécuter des commandes du système d'exploitation, la correction de ce problème entraîne des problèmes de stabilité et la perte de la prise en charge de nombreuses imprimantes plus anciennes. Il s'agit d'un problème complexe à résoudre.

1. L'acteur de la menace lance l'attaque
   1. CVE-2024-47176: cups-browsed <= 2.0.1 is vulnerable because it binds to UDP port 631 using INADDR_ANY, which means it trusts any packet received from any source. This allows an unauthenticated remote attacker to send a malicious UDP packet with a manipulated IPP URL (pointing to the attacker-controlled IPP server), triggering the vulnerability. The victim’s machine now thinks it’s connecting to a new printer and sends a request asking for printer attributes.
2. Le système victime traite les attributs de l'imprimante
   1. CVE-2024-47076: libcupsfilters <= 2.1b1 has a vulnerability in cfGetPrinterAttributes5, which does not properly validate or sanitize the IPP attributes returned from an IPP server. When cups-browsed processes the packet, it can be tricked into reading malicious attributes sent by the attacker.
3. Le système de la victime se connecte au serveur IPP du contrôleur de l'attaquant.
   1. CVE-2024-47175: libppd <= 2.1b1 in the ppdCreatePPDFromIPP2 function does not properly validate or sanitize IPP attributes when saving them to a temporary PPD (PostScript Printer Description) file. This allows the attacker to inject arbitrary data into a PPD file, including the FoomaticRIPCommandLine directive, which the printing system can later execute.
4. Victim system initiates print job and attacker’s code is executed
   CVE-2024-47177: cups-filters <= 2.0.1 is vulnerable because the foomatic-rip filter executes arbitrary commands through the FoomaticRIPCommandLine directive, allowing the attacker to run commands as the cups-browsed process. The attacker waits for the victim’s machine to initiate a print job. The moment this happens, the attacker’s malicious code will be executed (Remote Code Execution).

Comment pouvez-vous atténuer le risque de RCE ?

Les entreprises qui utilisent CUPS dans le cadre de leurs opérations commerciales doivent suivre les conseils de remédiation recommandés par Evilsocket et RedHat. Cela inclut, mais n'est pas limité à, l'application des correctifs de sécurité en tant que priorité de niveau d'urgence.

Pour l'injection de commande en général, consultez notre guide complet.

Si vous souhaitez obtenir d'autres directives de codage gratuites, consultez Secure Code Coach pour vous aider à rester au fait des meilleures pratiques en matière de codage sécurisé.

Des informations exploitables qui mesurent vos efforts en matière d'apprentissage du code sécurisé 

La maximisation de la valeur de votre programme d'apprentissage du code sécurisé dépend fortement de l'engagement de vos utilisateurs. Le monde de la cybersécurité est un paysage en constante évolution avec de nouvelles menaces ainsi que des opportunités de renforcer votre posture de sécurité globale. Adopter une approche proactive de la sécurité de votre code nécessite un apprentissage continu du code sécurisé afin de maximiser l'efficacité et la pertinence du programme. Pour ce faire, les responsables du programme doivent avoir une compréhension claire de l'engagement des utilisateurs, non seulement à un moment donné, mais aussi sur des périodes prolongées afin d'identifier les tendances et d'optimiser les performances du programme.

C'est pourquoi nous sommes heureux d'annoncer un nouveau rapport conçu pour mesurer l'engagement de vos utilisateurs, qui permet de repérer facilement les tendances clés et d'identifier quand prendre des mesures au sein de votre organisation. Grâce à ces nouvelles informations, les organisations peuvent non seulement maximiser leur retour sur investissement en matière d'apprentissage de code sécurisé, mais aussi améliorer durablement leur position en matière de cybersécurité.

Quelles sont les nouveautés de ce rapport ?

Le rapport Engagement Insights présente un certain nombre de statistiques clés relatives à votre programme d'apprentissage agile, sur la période que vous avez sélectionnée (par défaut, les 12 derniers mois), qui est également accessible via l'API de reporting. Le rapport sur l'engagement fournit une vue rapide et facile sur le nombre de nouveaux apprenants qui ont été activement engagés avec le programme agile de SCW learning platform pendant cette période, les apprenants actifs qui se sont engagés avec la plateforme, et le nombre actuel d'apprenants activés.

‍

‍

Ces totaux ne sont qu'un début. Vous pouvez décomposer la manière dont vos apprenants se sont engagés avec la plateforme, en découvrant les tendances des apprenants actifs au cours de la période sélectionnée. Grâce à ces informations, vous pouvez planifier des communications (bulletins d'information internes, blogs) ou d'autres activités d'engagement afin que les développeurs reviennent pour perfectionner leurs compétences.

‍

De même, la ventilation des dernières activités d'apprentissage montre à quand remonte la dernière participation de vos apprenants à la plate-forme SCW. Comme pour toute forme d'apprentissage, le souvenir des concepts s'estompe avec le temps. L'idéal est que la plupart de vos apprenants soient regroupés dans les deux premières tranches indiquant un engagement récent. Ce type de regroupement permet non seulement de maintenir les compétences des développeurs à jour, mais aussi d'améliorer la note de confiance SCW de votre organisation en évitant la perte de compétences liée au temps dans l'ensemble.

‍

‍

Et les informations vont au-delà de la fréquence et de la récurrence. Le rapport d'engagement fournit une ventilation du temps que les apprenants ont passé dans les différentes parties de la plateforme Secure Code Warrior pendant la période sélectionnée. Les administrateurs peuvent utiliser ces informations pour identifier ce qui stimule l'engagement parmi la base d'utilisateurs. Cela fait-il un certain temps que vous n'avez pas organisé de SCW tournament, serait-il possible de réengager une partie de votre cohorte de développeurs ? Les apprenants utilisent-ils le module Explore pour élargir leurs horizons en dehors du contenu d'apprentissage structuré de Courses ou des évaluations ? L'identification des types d'engagement élevé ainsi que des utilisateurs de haut niveau offre des opportunités de concevoir des programmes que les développeurs aimeront et de célébrer vos leaders actifs.

‍

Comme vous pouvez le constater, il existe de nombreuses façons de mesurer l'engagement de vos apprenants dans votre programme d'apprentissage agile. Nous nous engageons à fournir des informations et des rapports supplémentaires afin d'obtenir les résultats d'apprentissage les plus efficaces et d'améliorer la position de votre organisation en matière de cybersécurité. Restez à l'écoute pour les prochaines nouveautés et n'hésitez pas à nous faire part de vos questions, de vos commentaires ou des données spécifiques que vous souhaiteriez obtenir pour optimiser votre programme !

‍

La réduction de la dette de sécurité est un objectif que toutes les entreprises s'efforcent d'atteindre. Comment minimiser le nombre de failles de sécurité ? Comment accélérer la mise sur le marché tout en s'assurant que le code généré est de première qualité ?  

Comme de nombreuses entreprises, DigitalOcean a choisi Secure Code Warrior pour stimuler l'innovation numérique et la modernisation en construisant et en publiant du code de qualité dès le départ avec des développeurs sensibilisés à la sécurité.  

DigitalOcean, qui offre des ressources informatiques évolutives et une suite de solutions cloud permettant aux développeurs de déployer, de gérer et de mettre à l'échelle des applications sans effort, s'est tourné vers Secure Code Warrior au fur et à mesure que l'entreprise s'agrandissait et développait ses équipes d'ingénieurs. Dans un secteur technologique en constante évolution, l'entreprise devait s'assurer que ses développeurs pouvaient identifier les mauvais schémas de codage courants qui apparaissaient lors des revues de conception, afin d'éviter qu'ils ne se reproduisent de manière proactive. 

Comme l'a fait remarquer Ari Kalfus, responsable principal de la sécurité des produits, "nous avions besoin d'une solution spécifique aux développeurs, pratique et axée sur les risques auxquels notre organisation était confrontée". Secure Code Warrior a répondu à cette attente, l'un des résultats les plus notables étant la capacité à renforcer rapidement et régulièrement les pratiques de codage sécurisées. Cela a conduit à une diminution marquée de la dette de sécurité au sein des équipes. Dans l'ensemble, DigitalOcean a constaté que les équipes formées avec SCW étaient non seulement plus aptes à identifier et à atténuer les problèmes de sécurité, mais qu'elles avaient également la confiance nécessaire pour repousser les limites de l'innovation sans compromettre la sécurité.

Découvrez ici comment DigitalOcean a réduit sa dette globale en matière de sécurité... et utilise désormais son surplus de sécurité pour repousser les limites de la productivité et de l'innovation.

Secure-by-Design est la dernière initiative sur toutes les lèvres, et le gouvernement australien, en collaboration avec CISA aux plus hauts niveaux de la gouvernance mondiale, guide une norme plus élevée de qualité et de sécurité des logiciels de la part des fournisseurs.

Une augmentation significative de la sécurité des logiciels nécessitera une vague de soutien pour le renforcement des compétences en matière de sécurité et, en ce qui concerne les développeurs, une insistance sur l'apprentissage continu autour des meilleures pratiques de codage sécurisées. Il est réconfortant d'assister à un nouveau chapitre pour l'industrie, dans lequel les gouvernements mondiaux montrent l'exemple et fournissent des conseils appropriés pour atténuer les vulnérabilités insidieuses au niveau du code.

L'Australian Women in Security Network (AWSN) a travaillé sans relâche pour promouvoir la présence d'un plus grand nombre de femmes dans les fonctions de cybersécurité en Australie. Avec la Commonwealth Bank (CBA), nous avons récemment organisé un concours de codage sécurisé à l'adresse tournament pour permettre aux développeurs et aux professionnels de la sécurité de présenter leurs compétences dans un environnement amical et compétitif.

L'événement du 17 juillet a attiré un grand nombre de femmes incroyables représentant de multiples secteurs d'activité, et l'on peut affirmer sans risque de se tromper que leurs contributions contribueront à faire de l'Australie l'une des nations les plus cyber-sécurisées au monde d'ici à 2030.

Approbation d'un avenir plus sûr

Nous avons eu la chance que le lieutenant-général Michelle McGuiness, coordinatrice australienne de la cybersécurité, soutienne l'événement conjoint AWSN/CBA/SCW tournament . S'exprimant directement sur les initiatives australiennes des six boucliers cybernétiques et soutenant les principes de la conception sécurisée, ses propos ont trouvé un écho dans la salle où se trouvaient des cyberprofessionnels dévoués, engagés dans des changements positifs et des normes plus élevées en matière de conception et d'exécution de logiciels :

‍

‍

"Nous voulons impliquer l'ensemble du pays dans la résolution des problèmes [de cybersécurité], ce qui implique de s'assurer que nous disposons d'une main-d'œuvre solide, diversifiée et, bien sûr, inclusive et accueillante dans le domaine de la cybernétique.

Notre stratégie s'articule autour de six boucliers cybernétiques qui contribuent à protéger nos entreprises, nos organisations et nos citoyens. Ce qui est peut-être le plus pertinent pour l'événement d'aujourd'hui, c'est notre travail dans le cadre de la stratégie qui se concentre sur la sécurité dès la conception et la sécurité par défaut. Nous devrions avoir la certitude de ne pas être exposés à des risques inutiles lorsque nous achetons des appareils numériques ou des logiciels.

Et, bien sûr, l'industrie a un grand rôle à jouer en nous aidant à encourager, à développer et à soutenir ces parcours dans l'intérêt de leur entreprise, de notre économie... et de la sécurité de notre nation... Je félicite Secure Code Warrior et CBA ainsi que... AWSN pour leur leadership dans l'organisation de l'événement d'aujourd'hui".

Que se passe-t-il lorsque vous codez comme une fille ?

Une chose incroyable m'a toujours frappé lorsque nous organisons des événements à grande échelle comme celui-ci sur le site tournament . En général, ils impliquent des dizaines de milliers de développeurs et, comme c'est le cas statistiquement dans toute l'industrie, un pourcentage assez faible des participants sont des femmes.

Cependant, une participante finit souvent sur le podium des vainqueurs et partage la cagnotte. Je pense que cela en dit long sur l'inclusion des femmes dans des espaces traditionnellement dominés par les hommes. Non seulement elles y ont leur place, mais elles peuvent exceller et être une force d'aspiration au sein de leurs équipes.

La concurrence était féroce lors de cet événement, et nos grandes gagnantes, Bella Howard et Shanelle Haire, ont clairement un avenir brillant à l'avant-garde des pratiques de sécurité axées sur les développeurs. Elles ont déclaré à propos de leur victoire :

"Nous sommes ravis de cette victoire ! Le fait de travailler en binôme a été déterminant pour notre réussite - nous pensons que nos diverses compétences et expériences se sont parfaitement complétées.

Nous tenons également à souligner que tous les participants ont fait preuve d'une performance exceptionnelle. Nous sommes vraiment honorés d'avoir gagné et nous avons beaucoup apprécié l'événement. Nous nous réjouissons de vous retrouver à la prochaine édition !

Apprenons à mieux les connaître :

‍

• Depuis combien de temps travaillez-vous sur vos compétences en matière de codage sécurisé ?

Nous avons toutes deux suivi un double cursus en informatique, où nos compétences en matière de codage sécurisé ont commencé à prendre forme. Bella a développé un vif intérêt pour la cybersécurité et nous avons toutes deux participé à des événements et à des ateliers afin d'approfondir nos connaissances dans ce domaine.

Dans le cadre de notre emploi, nous avons eu l'occasion d'utiliser le site Secure Code Warrior, qui a joué un rôle déterminant dans notre développement. L'accent mis par Bella sur les pratiques de codage sécurisé renforce ses connaissances en tant qu'analyste de la sécurité, tandis que le rôle de Shanelle en tant qu'ingénieur logiciel exige un état d'esprit sécurisé, ce qui fait du codage sécurisé une partie essentielle de ses responsabilités.

• Avez-vous des conseils à donner aux femmes dans le domaine des STIM qui commencent leur carrière dans le codage sécurisé ?

Nous vous recommandons vivement de participer à des communautés de sécurité et d'apprendre de ceux qui sont déjà sur le terrain. Rejoindre des communautés dirigées par des femmes est également un moyen fantastique d'obtenir le soutien de femmes qui ont été à votre place et qui peuvent vous offrir des conseils et des encouragements précieux.

Participez à des événements tels que le Secure Coding Tournament et d'autres ateliers liés à l'industrie pour apprendre et nouer des contacts tout en vous amusant. Cherchez des mentors qui peuvent vous guider tout au long de votre carrière et vous fournir des informations précieuses. N'attendez pas d'avoir l'impression de tout savoir avant de commencer - l'expérience pratique est le meilleur moyen d'apprendre.

• Que feriez-vous pour promouvoir l'importance des bonnes pratiques en matière de cybersécurité ?

Il est essentiel de souligner que la sécurité est la responsabilité de chacun. Pour une sécurité efficace en profondeur, toutes les personnes travaillant dans la pile technologique, ainsi que tous les utilisateurs de la technologie, doivent connaître les meilleures pratiques en matière de sécurité et y adhérer. En favorisant une culture où la sécurité est considérée comme une responsabilité collective, nous pouvons mieux protéger nos systèmes et nos données.‍

‍

Nous remercions tous les participants et nous nous réjouissons de travailler en partenariat avec l'AWSN sur de futurs projets.

‍

Les organisations comprennent que les principes de sécurité dès la conception ne peuvent être mis en œuvre avec succès que par le biais d'une sécurité axée sur les développeurs. Après tout, ce sont les développeurs qui conçoivent, construisent et, en fin de compte, mettent en œuvre le code qui alimente les logiciels d'une organisation. Il est absolument essentiel de veiller à ce que ces contributeurs inestimables aient les connaissances et les compétences nécessaires pour mettre en œuvre les meilleures pratiques en matière de sécurité du code. Cependant, le défi de la mise en œuvre se résume souvent à aligner les connaissances et les compétences des développeurs en matière de code sécurisé sur les langages de programmation qu'ils utilisent lors de la création de logiciels.

Ce défi est encore compliqué par le volume et la diversité des langages de programmation utilisés dans la base de code d'une organisation, souvent à l'insu des équipes de sécurité. Alors, comment les RSSI, les responsables AppSec et les ingénieurs peuvent-ils s'assurer que le code produit et validé repose sur les connaissances et les compétences d'un développeur en matière de code sécurisé dans le langage de programmation spécifique à cette validation ?
‍

Présentation de l'agent fiduciaire SCW

Secure Code Warrior a lancé SCW Trust Agent pour répondre à cette question difficile. SCW Trust Agent donne aux responsables de la sécurité la visibilité et le contrôle nécessaires pour mettre en place une sécurité axée sur les développeurs, en permettant à ces derniers et à leurs équipes de livrer le code plus rapidement tout en maintenant et en améliorant la sécurité de ce qui est engagé.
‍

Comment fonctionne l'agent fiduciaire SCW ?

SCW Trust Agent se connecte à votre référentiel de code pour évaluer les métadonnées de chaque validation de code. Il inspecte le développeur qui a effectué la validation, les langages de programmation utilisés et l'heure exacte à laquelle le code a été livré. Il associe ensuite cette analyse à des données et à des informations provenant du site agile de SCW learning platform afin de déterminer si le développeur possède des connaissances suffisantes en matière de sécurité dans ce langage de programmation spécifique. Sur la base de ces informations, il renvoie une évaluation de la santé de ce commit conformément à la configuration de votre politique. Ces politiques sont personnalisables et configurables par les utilisateurs administrateurs, qui peuvent définir des lignes directrices et des exigences spécifiques pour les livraisons qui peuvent avoir un seuil d'exigences plus ou moins élevé en fonction de la sensibilité globale de ce projet ou de ce référentiel.
‍

Renforcer votre posture de sécurité

Cette visibilité et ce contrôle personnalisable permettent non seulement à une organisation de connaître l'état général des livraisons dans tous ses référentiels, mais aussi de disposer des outils nécessaires pour renforcer son dispositif de sécurité et réduire les risques en adoptant une approche proactive. SCW Trust Agent veille à ce que les développeurs connaissent et maîtrisent les implications de sécurité du langage de codage spécifique qu'ils utilisent lorsqu'ils s'apprêtent à effectuer une validation. Cette assurance réduit la probabilité d'introduire par inadvertance dans le code une vulnérabilité susceptible d'être exploitée.
‍

Optimiser le cycle de développement

Cette approche proactive permet non seulement d'améliorer le niveau de sécurité global d'une organisation, mais aussi d'optimiser le cycle de développement. En veillant à ce que les développeurs aient des connaissances et des compétences en matière de code sécurisé dans le langage qu'ils utilisent, on réduit le nombre de vulnérabilités introduites qui devront être identifiées et corrigées par la suite. La remédiation et le retravail ont tendance à prendre beaucoup de temps aux développeurs, interrompant souvent leur flux de travail et ayant un impact sur leur vélocité. La réduction des vulnérabilités par une approche proactive minimise ces cycles de remédiation, ce qui permet aux équipes de développement de se concentrer sur la livraison de code et de capacités de grande valeur.
‍

La sécurité pilotée par les développeurs

SCW Trust Agent offre aux entreprises les outils dont elles ont besoin pour développer leurs programmes de sécurité axés sur les développeurs. Les RSSI et les équipes Appsec ont la visibilité et le contrôle dont ils ont besoin pour appliquer une gouvernance appropriée, respecter et même dépasser les normes de conformité grâce à des informations détaillées sur la conception, l'application et le respect des politiques. Quant aux développeurs, ils sont en mesure de fournir plus rapidement un code sécurisé grâce à une formation spécifique aux langages qu'ils utilisent dans le code qu'ils fournissent.

SCW Trust Agent fonctionne avec n'importe quel outil de gestion de code source basé sur Git et la connexion de votre référentiel de code est facile avec de multiples options de connectivité, y compris sur site, basée sur le cloud, et le téléchargement manuel. Pour en savoir plus, visitez www.scwtrustagent.com ou contactez-nous, nous serions ravis de discuter de la manière dont nous pouvons aider votre organisation à renforcer sa posture de sécurité et à mettre en place une sécurité axée sur les développeurs.

‍

Nous sommes ravis de poursuivre la conversation sur la nouvelle amélioration de la plateforme SCW - SCW Trust Score. Cette fonctionnalité révolutionnaire a été officiellement lancée en mai et représente une avancée cruciale dans notre mission qui consiste à donner aux développeurs et aux organisations les outils dont ils ont besoin pour écrire du code sécurisé.

À la base, le score de confiance SCW offre des informations inestimables sur la posture de sécurité de votre organisation et sur l'efficacité de vos pratiques de codage sécurisé. Passons en revue les principaux avantages et bénéfices du SCW Trust Score.

• Visibilité : Des aptitudes et des compétences diverses apparaissent au sein des équipes grâce aux programmes d'apprentissage et d'éducation, dont la réussite repose sur différents facteurs. Bien qu'elles aient suivi des programmes de code sécurisé identiques, les équipes produisent souvent un spectre d'expertise, englobant les plus performants, les moyens et ceux qui ont besoin d'un soutien supplémentaire. Le score de confiance SCW fournit aux organisations une mesure de l'efficacité de leur programme d'apprentissage de la sécurité basée sur des données, en agrégeant la posture de sécurité des développeurs individuels lorsqu'ils utilisent Secure Code Warrior.
  
  
• Mesures d'étalonnage : Les entreprises ont besoin d'un point de référence pour définir la courbe en cloche de la position de leurs développeurs en matière de sécurité et mettre le doigt sur les domaines à optimiser pour créer une équipe logicielle réellement prête pour la sécurité, performante et productive. Avec le score de confiance SCW, les entreprises ont la possibilité d'évaluer leur position en matière de sécurité par rapport aux références et aux meilleures pratiques de l'industrie. Grâce à cette mesure complète, les parties prenantes peuvent identifier les points forts et les possibilités d'amélioration avec une précision inégalée.
  
  
• Une puissance de données : Le score de confiance SCW exploite la puissance de 20 millions de points de données d'apprentissage provenant de plus de 600 entreprises et 250 000 développeurs. En analysant toutes les activités d'apprentissage réalisées sur notre plateforme, notre algorithme génère un score complet. Ce score prend en compte des facteurs tels que l'étendue et la profondeur des activités d'apprentissage, la compréhension de l'activité, la récurrence de l'apprentissage, la description du poste, le cycle de vie de l'intégration et le nombre total de développeurs formés.
  
  

Nous sommes fiers d'avoir poursuivi nos conversations avec les clients et les prospects récemment au RSAC, où elles ont suscité un intérêt considérable de la part des clients, des partenaires et des leaders de l'industrie.

Nous avons le plaisir de vous annoncer que nous organiserons un webinaire le 12 juin, au cours duquel notre directeur de la technologie et cofondateur Matias Madou présentera une vue d'ensemble du score de confiance SCW et de ses applications pratiques dans des scénarios du monde réel. Nous nous réjouissons de vous y rencontrer.

Enfin, nous remercions tous les membres de la communauté des clients et des partenaires qui ont contribué au développement et à l'amélioration du score de confiance SCW. Ensemble, nous nous lançons dans un voyage qui nous permettra de comprendre à quoi ressemble une bonne posture de sécurité au sein des organisations