Une meilleure sécurité logicielle de cette façon

Une transition importante du mode de développement des logiciels est en cours, et les professionnels de la cybersécurité ont tout intérêt à l’accélérer. La façon dont les logiciels sont développés pose aujourd’hui deux problèmes majeurs de sécurité.

La première, c'est l'utilisation de C, C++ et des langages d'assemblage, car ces langages de programmation utilisés pour concevoir les applications ne sont pas sûrs du point de vue de la mémoire. Par conséquent, il est possible d'accéder aux données dans la mémoire, car il n'existe pas de mécanisme pour empêcher cet accès quand une autre application accède à cette même mémoire.

Si cela ne semble pas être un problème essentiel de sécurité, il se trouve que les débordements de mémoire surviennent relativement souvent. Une très grande partie des vulnérabilités révélées au cours des dix dernières années impliquaient des problèmes de sécurité de la mémoire. Les langages de programmation plus modernes tels que Rust, Go, C#, Java, Swift, Python et JavaScript. La National Security Agency (NSA) américaine est même allée jusqu’à publier un ensemble de directives expliquant aux développeurs pourquoi ils devraient utiliser des langages de programmation sûrs pour la mémoire.

Le deuxième problème majeur de sécurité logicielle concerne la structuration des applications. La méthode prédominante actuelle pour concevoir des logiciels repose sur l'agrégation de composants logiciels qui ont tendance à se chevaucher. Résultat : un malware n'a alors aucun problème pour infecter tous les composants d'une application. C'est la raison pour laquelle de nombreux cybercriminels cherchent tant à compromettre les chaînes logistiques logicielles.Par exemple, un malware inséré dans un composant logiciel open source en amont peut facilement être propagé progressivement dans des milliers d'applications.

Un format d’instructions binaire portable connu sous le nom de WebAssembly (Wasm) est désormais intégré dans un logiciel de constructeurs C++ dans un environnement d'exécution sandbox sécurisé pour la mémoire. Le World Wide Web Consortium (W3C) a conduit le développement initial de WASM dans le cadre d'un effort visant à créer un format commun pour les navigateurs qui exécutent du code JavaScript. Wasm est désormais en cours d'intégration au-delà des navigateurs et de JavaScript pour permettre aux développeurs de créer un ensemble de binaires universels sécurisés qui pourraient fonctionner sur n'importe quelle plateforme sans modification.

Naturellement, il faudra peut-être attendre un certain temps avant que Wasm ne soit largement accepté et que les applications écrites en C, en C++ et dans des langages d’assemblage ne soient remplacées par des applications qui n'ont quasiment plus de vulnérabilités. Cependant, les professionnels de la cybersécurité peuvent jouer un rôle central dans l'accélération de ce processus, d'abord en identifiant les applications écrites dans des langages de programmation plus anciens et exécutées dans des environnements de production, puis en encourageant les développeurs à se familiariser avec Wasm. Il y a encore du chemin à parcourir pour que Wasm soit plus accessible aux développeurs. Mais dès lors qu'une équipe de développement a terminé une application, elle commence à créer une large gamme de plateformes permettant d'exécuter ces applications.

Le marasme de sécurité actuel dans lequel s'est retrouvé le secteur informatique n'est pas arrivé du jour au lendemain. Il faudra des années de travail pour s'en sortir. En attendant, les professionnels de la cybersécurité peuvent se réjouir du fait que les développeurs de logiciels ne se contentent pas d'admettre l'existence de ces problèmes, mais qu'ils prennent également des mesures significatives pour les résoudre. Ces mesures vont bien au-delà de la création de nouveaux correctifs, qui ne sont déployés que lorsque quelqu'un a le temps pour le faire.

Bien évidemment, les problèmes de cybersécurité ne disparaîtront pas de sitôt. Cependant, il est évident qu'à mesure que le développement de logiciels continue d'évoluer, le secteur informatique pourrait bientôt cesser de se tirer une balle dans le pied.