Les préoccupations en matière de sécurité poussent les développeurs à recourir de plus en plus fréquemment au chiffrement. Sauf que ces derniers n’en maîtrise pas toujours l’implémentation, conduisant à introduire de nouvelles failles dans les applications. Telle est en tout cas la conclusion d’une étude de Veracode (un fournisseur de solutions de sécurité), basée sur l’analyse de vulnérabilités de plus de 200 000 applications commerciales ou développées à façon et employées en entreprise. Selon celle-ci, les vulnérabilités dans les protocoles de chiffrement sont la seconde cause la plus commune de failles dans les applications, derrière les défauts dans la qualité du code. La plupart des logiciels touchés par ces vulnérabilités sont des applications Web. Mais le phénomène s’étend aussi les applications mobiles.
Bref, selon Veracode, les développeurs veulent chiffrer, notamment pour répondre aux législations en matière de protection des données, mais ne savent pas s’y prendre. L’étude jette une lumière crue sur les conséquences de l’absence de formation appropriée pour les informaticiens, ce qui aboutit à créer « un faux sentiment de sécurité », selon Chris Wysopal, le directeur technique de Veracode, interrogé par nos confrères d’Infoworld. Nombre de développeurs ont tendance à penser qu’il leur suffit d’appeler une librairie de chiffrement, comme OpenSSL, pour sécuriser les données de leurs applications. Mais l’implémentation comporte de nombreux pièges.
Pour Matthew Green, un professeur de cryptographie de l’Université John Hopkins (Baltimore), accuser les seuls développeurs est toutefois un peu trop simple. La faute est, selon lui, au moins partagée avec les concepteurs de librairies de crypto, pensées pour des spécialistes du sujet et non pour des développeurs lambda. « Forcer les développeurs à les utiliser, c’est comme demander à quelqu’un ayant son permis de conduire de faire décoller un avion », illustre-t-il. Une lacune dont OpenSSL semble avoir pris conscience, son plan d’évolution, mis à jour pour la dernière fois en octobre dernier, prévoyant de réduire la complexité de l’API et d’améliorer la documentation.
A lire aussi :
E. Thomé, Inria : « Les clefs de chiffrement de 768 bits ne suffisent plus »
LogJam : nouvelle faille dans le chiffrement des sites Web
Le chiffrement stratégique progresse dans les entreprises
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…