Les développeurs de logiciels doivent intensifier leur jeu de sécurité dès la conception, et rapidement
Dans le contexte: Les bogues courants de sécurité de la mémoire peuvent conduire à des vulnérabilités de sécurité dangereuses telles que des débordements de mémoire tampon, une mémoire non initialisée, une confusion de types et des conditions d’utilisation après libération. Les attaquants peuvent exploiter ces bugs pour compromettre des systèmes d’exploitation entiers, voler les données des utilisateurs ou exécuter du code malveillant sur les systèmes vulnérables. Plus important encore, ces types de bogues sont aujourd’hui les plus répandus dans les logiciels d’expédition.
Les problèmes liés à la sécurité de la mémoire sont devenus une préoccupation majeure pour les agences de renseignement et de cybersécurité les plus importantes du monde, communément appelées les Five Eyes. Un nouveau document publié conjointement par l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), la NSA, le FBI et d’autres agences de sécurité d’Australie, du Canada, du Royaume-Uni et de Nouvelle-Zélande appelle à un passage massif à de nouvelles normes efficaces de codage de sécurité de la mémoire. .
Ces vulnérabilités représentent un problème majeur pour l’industrie du logiciel, déclare la CISA, car elles obligent les fabricants à publier en permanence des mises à jour de sécurité que les clients devront appliquer à leurs logiciels. Les MSL « sûrs par conception » élimineraient les vulnérabilités de sécurité de la mémoire. Les fabricants de logiciels devraient donc s’éloigner du C, C++ et d’autres langages « vulnérables » pour adopter rapidement Rust, C#, Go, Java et d’autres plates-formes de codage modernes.
Microsoft a reconnu que les bogues de sécurité de la mémoire représentent 70 % des vulnérabilités de sécurité répertoriées par CVE et corrigées dans Windows depuis 2006, et Google a fourni un chiffre similaire (67 %) pour les vulnérabilités zero-day découvertes dans le projet Chromium rien qu’en 2021.
Appelé à juste titre The Case for Memory Safe Roadmaps, le nouveau document est destiné à promouvoir la programmation de sécurité de la mémoire auprès des cadres supérieurs et des experts techniques. Les éditeurs de logiciels doivent accélérer leur transition vers les langages de programmation de sécurité de la mémoire (MSL) pour éliminer les failles de sécurité de la mémoire, affirment les agences CISA et Five Eyes, établissant leurs propres feuilles de route en matière de sécurité de la mémoire pour informer les clients et le public de la transition en cours.
Les vulnérabilités liées à la sécurité de la mémoire constituent le type de bogues logiciels divulgués le plus répandu, selon la CISA. Il s’agit d’une classe d’erreurs de codage bien connues et courantes que les acteurs malveillants et les agents de renseignement contradictoires exploitent régulièrement.
Rust gagne en popularité parmi les éditeurs de logiciels et des géants de l’industrie comme Microsoft, la communauté Linux et Google convertissent de nombreuses parties de leurs énormes bases de code vers ce nouveau langage axé sur la sécurité. La CISA et les autres agences exhortent désormais les « cadres supérieurs » de chaque éditeur de logiciels à réduire les risques pour les clients, en donnant la priorité aux pratiques de conception et de développement qui mettront en œuvre efficacement les MSL pour les bases de code nouvelles et existantes.
Ces dernières années, des leaders technologiques comme Mark Russinovich ont déjà poussé à une migration massive du C et du C++ vers Rust, mais tout le monde n’est pas d’accord. Bjarne Stroustrup, qui a créé le C++, a déclaré que des pratiques de programmation appropriées peuvent également assurer la sécurité du type et de la mémoire dans les langages « classiques ». Stroustrup a également noté que même le code Rust peut être écrit de manière dangereuse.
Jeu de briques
Snake
Pacman
Bubble