L'embarqué > Logiciel > Test & Validation > Lexumo sonde en temps réel les vulnérabilités des parties open source d’un code critique IoT

Lexumo sonde en temps réel les vulnérabilités des parties open source d’un code critique IoT

Publié le 04 février 2016 à 00:05 par François Gauthier        Test & Validation

Lexumo

La plate-forme en nuage originale de la jeune société américaine Lexumo, commercialisée sous la forme d'un service, s'attaque à un problème majeur : la détection des failles de vulnérabilité présentes au sein des logiciels open source désomais massivement utilisés, en particulier dans le domaine de l'Internet des objets. Pour ce faire, ce logiciel met en œuvre des traitements sur de grandes masses de donnés et analyse, cherche, indexe et surveille les failles de codes open source au sein de programmes applicatifs. Et identifie immédiatement les vulnérabilités connues qui peuvent engendrer le vol de données sensibles, la destruction de systèmes critiques ou des dommages importants sur la réputation d’une société.

La technologie originale de Lexumo s’intègre de façon transparente avec les processus existants de développement logiciel, ne nécessite pas l'accès au code source et propose des recommandations concrètes spécifiques pour pallier aux failles détectées. Développée à l'origine via un financement de la Darpa (Defense Advanced Research Projects Agency, l'agence américaine pour les projets de recherche avancée de Défense), la technologie combine des techniques d’analyse de grandes masses de données avec des techniques plus classiques d’analyse de code (l'analyse statique notamment). Cette approche unique permet d’indexer et d’identifier en permanence des éléments communs entre des centaines de millions de lignes de code open source disponibles en accès libre. L’outil identifie ensuite exactement quels composants et quelles versions open source sont présents dans le code analysé, avec un haut niveau de granularité et de précision. Il fournit ensuite des informations détaillées sur chaque vulnérabilité connue et sur son emplacement dans le code, ainsi que des instructions générées automatiquement pour installer des correctifs de réparation.

« Pour gagner en vitesse et en agilité, la grande majorité des équipes de développement assemble aujourd’hui leurs logiciels à partir de blocs réutilisables, dont certains sont téléchargés à partir de référentiels de code open source ; or, beaucoup de ces composants logiciels contiennent des vulnérabilités décrites en détail dans la littérature et les forums de discussion, fournissant aux hackers une véritable feuille de route pour attaquer les systèmes critiques, les périphériques et les applications d'entreprise qui intègrent ces codes, explique Brad Gaynor, le CEO et cofondateur de Lexumo. Notre technologie évolutive basée sur le cloud vise justement à identifier et à éliminer ces vulnérabilités installées au cœur des logiciels libres. »

Selon plusieurs analystes, les logiciels open source sont dorénavant utilisés dans plus de 95% des logiciels critiques des grandes organisations IT et dans 85% des logiciels commerciaux. Et on estime qu’en 2014, il y a eu environ 52 millions de téléchargements de composants vulnérables largement utilisés, élaborés par des structures telles que l'Apache Software Foundation, Atlassian, Red Hat (JBoss) ou Oracle (Java). Lorsque ces briques vulnérables sont intégrées dans le monde de l’IoT (produits, applications finales…), des risques majeurs apparaissent.

Preuve du vif intérêt suscité par la technologie de la jeune société américaine basée à Cambridge (Massachussetts), Lexumo vient de lever la somme rondelette de 4,9 millions de dollars auprès de fonds d’investissement (Accomplice et .406 Ventures) et de la société américaine d’ingénierie avancée Draper.

 

 

 

 

 

 

 

 

Sur le même sujet