La Cyber Resilience Act de l'UE soulève des préoccupations concernant l'open source et la cybersécurité

L'Union européenne révise sa proposition de Cyber Resilience Act (CRA), qui vise à renforcer les défenses de l'Europe contre les cyberattaques et à améliorer la sécurité des produits.La loi cible un large éventail de produits commercialisés pour les consommateurs européens, y compris les appareils Internet des objets (IoT), les ordinateurs de bureau et les smartphones.Il impose les exigences de divulgation de vulnérabilité aux fabricants et distributeurs d'appareils et introduit de nouvelles dispositions de responsabilité des incidents de cybersécurité.

L'Electronic Frontier Foundation (EFF), une principale organisation juridique internationale à but non lucratif, a salué l'intention de la législation, mais a également exprimé sa préoccupation quant à ce qu'il soulève des préoccupations concernant l'open source et la cybersécurité: la loi proposée pénaliserait les développeurs open source qui reçoivent des revenus supplémentaires pourleur travail.Il obligerait également les fabricants à signaler les vulnérabilités activement exploitées et non corrigées aux régulateurs.Cette exigence a le potentiel d'exposer les circonstances et l'exploitation de ces vulnérabilités à un public plus large, exacerbant davantage le préjudice que la législation est destinée à atténuer.

1. Menaces pour les logiciels open source

Le logiciel open source est l'épine dorsale de l'Internet moderne.Les contributions de développeurs de projets open source tels que Linux et Apache sont gratuitement utilisées et incorporées dans des produits distribués à des milliards de personnes dans le monde.Cela ne peut être réalisé que grâce à des sources de revenus qui récompensent les développeurs de leur travail, notamment des dons individuels, des subventions de fondation et des parrainages.Cet écosystème de développement et de financement fait partie intégrante de l'opération et de la sécurité du monde axé sur les logiciels d'aujourd'hui.

L'ARC impose une responsabilité aux activités commerciales qui mettent sur le marché des produits vulnérables.Alors que l'article 10 de la loi proposée exempte les contributeurs open source à but non lucratif de la responsabilité en exemptant des «activités commerciales», l'exemption définit trop largement les activités commerciales.Tout développeur open source qui sollicite des dons pour ses logiciels ou les frais pour les services de support n'est pas exempté, ils seraient donc responsables des dommages-intérêts si leur produit contient par inadvert.Souvent, les contributeurs et les développeurs open source écrivent des logiciels et le mettent à la disposition d'autres de la bonne volonté et de la gratitude.Si ces développeurs reçoivent même une prime pour leur travail, cela les mettra en danger.Les petites organisations qui produisent du code open source pour le bien public peuvent soumettre l'intégralité de leur opération à des défis juridiques simplement parce qu'ils n'ont pas les fonds pour prendre le risque.Cela obligerait les développeurs et les organisations à abandonner complètement ces projets, endommageant tout l'environnement open source.

En réponse, la Fondation Electronic Frontier appelle à l'ARC à exonérer les personnes qui fournissent des logiciels open source de la responsabilité, y compris lorsqu'ils sont payés pour leur travail.

2. Les exigences de divulgation de la vulnérabilité représentent une menace de cybersécurité

L'article 11 du texte proposé oblige les fabricants à divulguer volontairement des vulnérabilités exploitées à l'Agence européenne de l'Union pour la cybersécurité (EISA) dans les 24 heures.Enisa serait alors tenue de transmettre les détails de ces vulnérabilités aux équipes d'intervention en matière d'incident de sécurité informatique des États membres (CSIRT) et aux organismes de surveillance du marché.En tant que mesure de la responsabilité, cette exigence fournirait une incitation aux fabricants de produits avec de mauvais dossiers de sécurité des produits pour rechercher activement et atténuer les vulnérabilités.Quelle que soit l'intention, cette exigence est susceptible d'avoir des conséquences imprévues pour les fabricants qui priorisent la sécurité des produits.Les vulnérabilités qui présentent un risque de sécurité grave pour les consommateurs sont souvent traitées comme des secrets étroitement gardés par ces sociétés jusqu'à ce que le correctif soit correctement appliqué et déployé sur le dispositif final.Ces vulnérabilités peuvent prendre des semaines ou même des mois pour que les correctifs appropriés soient appliqués.

Le court laps de temps peut empêcher les entreprises d'appliquer des correctifs "profonds" qui corrigent la cause profonde de la vulnérabilité, optant plutôt pour des correctifs "peu profonds" qui ne traitent que des symptômes.Les corrections profondes prennent du temps et l'exigence de 24 heures commencera une minuterie sur la réponse et entraînera une réponse au patchwork aléatoire.

Le deuxième impact est que davantage d'organisations et de personnes prendront bientôt conscience des vulnérabilités, ce qui augmentera considérablement le risque qu'ils soient exposés à une personne qui pourrait vouloir les exploiter avec malveillance.La connaissance du gouvernement d'une gamme de vulnérabilités logicielles chez les fabricants pourrait créer des objectifs tentants pour le piratage et l'espionnage.Les fabricants préoccupés par les résultats de sécurité de leurs clients ont peu de contrôle ou de compréhension de la sécurité opérationnelle de l'EISA ou des agences membre des États qui sont conscientes de ces vulnérabilités.Cette exigence de déclaration augmente le risque que des vulnérabilités soient ajoutées à l'arsenal offensant des agences de renseignement du gouvernement.Les fabricants ne devraient pas être préoccupés par le fait que la déclaration des défauts de leur logiciel entraînera un développement ultérieur de capacités de cyber-guerre à leurs dépens.

Un autre problème est que les exigences de déclaration n'incluent pas la divulgation publique.Pour que les consommateurs prennent des décisions éclairées sur les produits qu'ils achètent, les mises à jour de sécurité doivent être fournies ainsi que des détails sur les vulnérabilités de sécurité.

Compte tenu des risques importants associés à cette exigence, la Fondation Electronic Frontier appelle les législateurs européens à s'abstenir d'imposer des délais inflexibles pour fixer les vulnérabilités pour résoudre les problèmes de sécurité et à publier des rapports détaillés sur les vulnérabilités à Enisa qu'après avoir été résolus.De plus, une divulgation détaillée des procédures de correction de sécurité est nécessaire.Des exigences plus strictes peuvent être imposées aux entreprises médiocres à la sécurité des produits - mais cela devrait être l'exception, pas la règle.