Les éditeurs peinent à appliquer la méthodologie de développement sécurisée de Microsoft

La méthodologie de développement sécurisée SDL (Security Development Lifecycle), Microsoft en a fait un de ses sujets phares depuis 2004. La firme édite aujourd’hui un rapport qui fait le point sur l’impact de cette approche.

Premier enseignement tiré de cette étude, le nombre de failles non corrigées est en nette baisse chez les éditeurs de logiciels. Chez Microsoft, il reste globalement stable du côté des systèmes d’exploitation et en légère hausse pour les différentes versions d’Internet Explorer (à cause notamment de l’arrêt du support d’IE5.5 et celui annoncé d’IE6). Nous remarquons que les failles les plus faciles à exploiter sont dorénavant découvertes en moins grand nombre que précédemment.

Microsoft fait également le tour des technologies de renforcement de la sécurité, présentes dans chacun de ses systèmes d’exploitation, et de leur utilisation par les éditeurs de logiciels. Le mécanisme de protection DEP (Data Execution Prevention) est disponible depuis Windows XP SP2. Il permet d’éviter que les données puissent être exécutées (une voie souvent utilisée par les pirates). Très efficace, le DEP n’est pourtant utilisé que dans 71 % des logiciels. Développeurs, n’oubliez pas le flag /NXCOMPAT lors de la compilation de votre code !

L’ASLR (Address Space Layout Randomization) permet de mélanger l’espace mémoire attribué à une application, ce qui rend les débordements de tampon très difficiles à exploiter. Disponible depuis Vista, cette technologie est aujourd’hui active dans 100 % des navigateurs web, mais seulement dans 80,4 % des applications (et la plupart du temps partiellement). L’utilisation du flag /DYNAMICBASE lors de la compilation permettrait pourtant d’activer cette fonctionnalité.