Les erreurs de codage sont la cause de nombreux exploits

Olivier Robillart,

Une trentaine de grandes firmes ont listé les 25 erreurs de codage les plus sérieuses. Résultat, la plupart des exploits réalisés par de hackers utilisent des « failles courantes »

Afin de mieux souligner les failles qui pourraient être couramment utilisées par les pirates, de nombreux acteurs de la sécurité se sont donnésrendez-vous pour rassembler leurs informations.

Microsoft, Symantec, le Département américain de la Sécurité Intérieure, ou encore la NSA ont été convoqués par l’Institut SANS (SysAdmin, Audit, Network and Security), une organisation ayant pour but de mutualiser l’information et le MITRE, un centre de développement fédéral spécialisé dans la Recherche et Développement.

Le but de la rencontre, mutualiser les recherches et surtout établir une sorte de « code de bonne conduite » se basant sur les erreurs du passé. Une coopération entre sphère privée et publique des plus originales qui aboutit à une liste établie en trois parties.

9 erreurs ont été classées parmi la catégorie des « interactions dangereuses entre composants« , neuf autres dans la classe des « erreurs pour le risque des ressources de Management« . Enfin les sept dernières ont été classées comme des risques qui rendent les « défenses poreuses« .

Les spécialistes ont alors ciblé les deux cas majeurs d’erreurs en entrée-sortie, des fautes considérées comme responsables de nombreuses failles, et par conséquent de « centaines de milliers de pages Web et de bases de données corrompues en 2008 » explique le SANS. De telles mesures pourraient alors préserver de nombreuses pages des traditionnelles injections SQL, du cryptage multi-sites ou encore des messages d’erreurs en tout genre.

Selon le site Computerworld, l ‘Etat de New York ainsi que d’autres Etats américains planifieraient déjà d’adopter ces mesures. L’idée serait alors, à terme, d’utiliser cette liste comme un gage de certification pour les programmeurs de sorte que leurs codes soient exempts de toute erreur présente dans la liste.

De leur côté, les sociétés privées ont expliqué qu’elles allaient mettre en application ces « directives » dans les codes actuellement en travaux. Elles seraient même, selon leurs dires, à même de créer un outil capable de déceler ces 25 failles. Cet utilitaire de test serait alors l’outil de mesure des erreurs de programmation.

Reste à connaître l’avenir d’une telle liste, on se rappellera la maxime d’Alan Kay (grand programmateur et père de la programmation orientée objet) : « Aujourd’hui, 90 % du codage sert à contourner les erreurs des autres…«