Log4j : la Maison Blanche demande aux entreprises d’améliorer la sécurité des logiciels open source

Spread the love

 

La Maison Blanche en janvier 2014, sous la neige. Photo: The White House / Wikimedia Commons / CC0 – domaine public

Le conseiller à la sécurité nationale du président des Etats-Unis, Jake Sullivan, a écrit le 23 décembre aux principaux représentants des éditeurs de logiciels pour discuter de l’amélioration de la sécurité des logiciels open source, rapporte l’agence Bloomberg.

publicité

Des éditeurs de logiciels et des fournisseurs de cloud invités

La première étape sera une discussion d’une journée, en janvier, accueillie par Anne Neuberger, conseillère adjointe à la sécurité nationale pour les technologies cyber et émergentes.

Dans sa lettre, indique Bloomberg, Sullivan écrit que les logiciels open source ont accru le rythme de l’innovation, mais il souligne aussi que le fait qu’ils soient largement utilisés et maintenus par des bénévoles est «une combinaison qui pose une question clé de sécurité nationale, comme nous en faisons l’expérience avec la vulnérabilité Log4j». Cet extrait de la lettre de Sullivan aux PDG d’entreprises open source a été communiqué par la présidence américaine à des journalistes, précise CNN.

Sont invités des entreprises de développement de logiciels et des fournisseurs de services cloud, mais un porte-parole du Conseil de sécurité nationale a refusé de répondre à une question sur le nom des compagnies invitées.

Urgence

Comme l’écrivait ZDNet le 21 décembre à propos de la crise ouverte par la vulnérabilité découverte dans Log4j, «des efforts sont actuellement déployés par la Fondation Apache pour corriger le projet Log4j de base, ainsi que par IBM, Cisco, Oracle, VMware et d’autres pour corriger les produits contenant des versions vulnérables du composant Log4j. Google a également publié des outils pour empêcher les développeurs d’utiliser des versions vulnérables de Log4j dans les nouvelles versions de logiciels libres. Enfin, le gouvernement américain a ordonné à toutes les agences fédérales d’appliquer un correctif à Log4Shell ou d’en atténuer les effets avant Noël.»

Le 17 décembre, la Cybersecurity and Infrastructure Security Agency (CISA), une agence gouvernementale américaine, a émis une «directive d’urgence» ordonnant aux agences civiles fédérales de mettre à jour leurs systèmes informatiques.

Lire aussi

Log4j : la CISA et Crowdstrike publient leur outil de détection – 24 décembre 2021

Log4j : Les autorités appellent à une vigilance renforcée des entreprises – 23 décembre 2021

Leave a Reply