fr.wedoany.com Rapport : Les entreprises technologiques Anthropic, Amazon Web Services (AWS), IBM et Microsoft ont annoncé conjointement qu’elles mèneraient une action collective visant à identifier, divulguer et corriger les vulnérabilités de sécurité dans les logiciels open source.

Cette organisation, nommée Akrites, a pour mission principale de constituer des équipes partagées de réponse aux incidents de sécurité et d’améliorer le processus coordonné de divulgation des vulnérabilités. L’alliance est dirigée par la Linux Foundation, et les membres fondateurs investiront des ressources considérables, notamment des fonds, des ingénieurs et une expertise en cybersécurité.
Selon des responsables, ce projet est principalement motivé par les modèles d’IA de pointe, qui ont considérablement accéléré la capacité à détecter les vulnérabilités critiques dans les applications logicielles. Parallèlement, ces derniers mois, des acteurs malveillants ont démontré leur capacité à utiliser l’IA comme arme pour des attaques sophistiquées. L’écosystème open source actuel ne parvient pas à détecter et à corriger les vulnérabilités assez rapidement pour protéger des millions d’utilisateurs contre des attaques potentielles. L’organisation a exposé certaines de ses préoccupations dans une lettre ouverte adressée au secteur.
« L’intelligence artificielle a bouleversé l’équilibre traditionnel entre attaquants et défenseurs, modifiant le paysage de la facilité d’utilisation et de la réutilisation des logiciels », écrit l’alliance dans sa lettre.
Christopher Robinson, directeur technique de l’Open Source Security Foundation et architecte en chef de la sécurité à la Linux Foundation, a déclaré qu’Akrites visait à résoudre certains défis systémiques auxquels la communauté open source est confrontée dans l’élaboration de processus coordonnés de divulgation des vulnérabilités. Il a souligné que l’émergence récente des grands modèles de langage et des outils d’analyse sophistiqués a aggravé ces défis historiques.
« Les projets en amont sont submergés par des rapports de vulnérabilités de qualité variable, bien au-delà de la capacité de ces développeurs bénévoles à les évaluer et à les traiter », a déclaré Robinson à Cybersecurity Dive.
Le financement initial d’Akrites sera assuré par Alpha Omega, un fonds dédié de la Linux Foundation. D’autres organisations sont invitées à fournir des ressources supplémentaires ou des talents en ingénierie.
Ces dernières années, la communauté open source s’inquiète de plus en plus de l’incapacité des mainteneurs traditionnels à détecter et à divulguer rapidement les vulnérabilités, ce qui empêche de prévenir les attaques généralisées sur la chaîne d’approvisionnement. Varun Badhwar, cofondateur et PDG d’Endor Labs, a indiqué à Cybersecurity Dive qu’un mois seulement après l’annonce du projet Glasswing, plus de 23 000 vulnérabilités avaient été découvertes, affectant environ 1 000 projets open source. Parmi elles, environ 6 000 ont été considérées comme de gravité élevée ou critiques. De plus, les partenaires de Glasswing ont découvert 10 000 autres défauts de gravité élevée ou critique. Mais à ce jour, seulement 5 % de ces vulnérabilités ont été corrigées.
« Aucun écosystème bénévole ne peut supporter un tel choc », a déclaré Badhwar.
Parmi les autres entreprises fondatrices d’Akrites figurent Cisco, Citigroup, JPMorgan Chase, Nvidia, OpenAI, Ericsson, etc.









