En collaboration avec l’Office fédéral de la cybersécurité (OFCS), l'Institut national de test pour la cybersécurité NTC a examiné les failles de sécurité de deux solutions logicielles à code source ouvert (TYPO3 et QGIS) dans le cadre d’un projet pilote. Des failles ont été constatées sur les deux produits, mais celles-ci ont depuis été résolues par la communauté de développeurs. Le projet pilote a montré que les contrôles ciblés permettent de renforcer la sécurité des logiciels à code source ouvert et d’augmenter la cyberrésilience de la Suisse. L’OFCS étudie actuellement la possibilité d’établir à l’avenir des contrôles de sécurité de logiciels à code source ouvert de manière durable et structurée.
Lisez les rapports de contrôle complets avec les détails techniques sur QGIS et TYPO3.
Les logiciels à code source ouvert font aujourd’hui partie intégrante de l’infrastructure numérique, et ce également en Suisse. Le code source des logiciels à code source ouvert est en libre accès et peut être identifié, développé et amélioré par des développeurs du monde entier. Selon une étude de la Haute école spécialisée bernoise, 97 % des membres de l’administration publique, du système éducatif, du système de santé et de l’industrie utilisent des logiciels à code source ouvert dans au moins un domaine. L’importance économique de ces logiciels est tout aussi forte. Toutefois, leur développement donne naissance à de nouveaux défis. En effet, les contrôles de sécurité n’ont pas toujours lieu régulièrement ni de manière structurée. Ainsi, les failles peuvent rapidement entraîner d’importantes répercussions sur de nombreuses organisations compte tenu du développement à grande échelle de ces logiciels.
Conscient de ces risques, l’Office fédéral de la cybersécurité (OFCS) a mené un projet pilote en collaboration avec l'Institut national de test pour la cybersécurité NTC de novembre 2024 à juin 2025 pour contrôler la sécurité des logiciels à code source ouvert. Le but était, avec l’aide de la communauté de développeurs, d’examiner, d’identifier et de réparer les failles de deux logiciels à code source ouvert fréquemment utilisés au sein de l’administration, TYPO3 et QGIS. Les responsables de la sécurité de l’État, des cantons et des communes ont choisi les produits à examiner. Le NTC s’est chargé de l’analyse technique tandis que l’OFCS était responsable de la coordination et la communication des failles dans le cadre des processus de Coordinated Vulnerability Disclosure (CVD).
TYPO3 est un système de gestion de contenu (CMS) permettant de créer et de gérer des sites web. Il est principalement utilisé dans de grandes organisations telles que des entreprises, des hautes écoles et des autorités, car il est particulièrement performant pour les sites web complexes et multilingues. Les contrôles de sécurité ont été effectués sur plusieurs versions de TYPO3 Core et d’autres extensions. Au total, huit failles ont été identifiées lors du contrôle : deux failles dans TYPO3 Core avec un degré de gravité faible et six autres failles dans différentes extensions, dont une de degré « critique », une autre de degré « élevé », trois de degré « moyen » et une de degré « faible ».
QGIS est un système d’information géographique (SIG) permettant de saisir, de traiter, d’analyser et de visualiser des données spatiales. Il est principalement utilisé dans la planification environnementale, l’urbanisme, la géographie et la recherche. En outre, les autorités s’en servent pour créer des cartes et appuyer des décisions basées sur des données géographiques. Le contrôle de sécurité portait sur le serveur QGIS et le client web de l’organisation QGIS (QWC2). Au total, six résultats ont été observés : un résultat avec un degré de gravité faible pour le serveur QGIS et cinq résultats pour le client web, dont deux de degré « élevé ».
Toutes les failles de sécurité majeures ont été résolues par l’équipe responsable de développeurs de code source ouvert dans un délai de 90 jours. Les versions actualisées des logiciels sont téléchargeables et les détails techniques sont documentés dans le rapport de contrôle et le Vulnerability Hub du NTC.
Les retours par rapport au projet sont globalement positifs. L’OFCS voit dans ce projet pilote une avancée majeure vers une Suisse plus sûre et dotée d’une meilleure défense digitale. Concrètement, le projet a augmenté la transparence de la sécurité des logiciels à code source ouvert, réduit les zones d’attaque et ainsi renforcé la cyberrésilience. Il a également contribué significativement à la cybersécurité globale. Par ailleurs, le projet soutient directement la mise en œuvre de la cyberstratégie nationale (CSN), en particulier l’objectif stratégique « Fiabilité et disponibilité de l’infrastructure et des services numériques ».
L’OFCS étudie actuellement les possibilités de soutien et de financement sur le long terme de contrôles de sécurité comparables à l’avenir. Il convient de souligner que la sécurité des logiciels à code source ouvert n’est pas seulement un devoir technique, mais aussi une nécessité sociétale et un facteur décisif pour la souveraineté numérique et la capacité de défense de la Suisse.
Le communiqué de l’OFCS peut être consulté ici.