Fraunhofer SIT : Autocorrection pour les développeurs de logiciels

Fraunhofer SIT a publié un scanner de vulnérabilités pour Android,
permettant aux développeurs d?applis de trouver et combler
automatiquement une brèche de sécurité SSL survenant fréquemment. Le
logiciel peut être téléchargé gratuitement sur le site https://sit.sit.fraunhofer.de/eclipse/howto-ssl/
et a été développé au European Center for Security and Privacy by Design
(EC SPRIDE) à Darmstadt, qui est financé par le Ministère fédéral de la
Recherche et de l?Enseignement. Les scientifiques du centre EC SPRIDE
mettent au point de nouveaux outils de test pour le code Android et Java
utilisant des techniques d?analyse innovantes et pouvant être intégrés
directement dans les environnements de développement. Les outils
permettent même la détection rapide d?erreurs qui sont généralement
difficiles à trouver dans le code de programmation. Fraunhofer SIT
présentera les outils et la procédure au salon CeBIT à Hanovre du 10 au
14 mars sur son stand n° E40 dans le hall 9.

De nombreuses vulnérabilités de sécurité résultent de simples erreurs de
programmation qui, du fait d?une complexité sans cesse croissante des
logiciels, deviennent de plus en plus difficiles à éviter. Les logiciels
consistent souvent en divers morceaux de programme, parfois écrits par
des équipes de développement distinctes. Les programmeurs ne sont plus
en mesure d?appréhender pleinement les interactions entre les différents
composants logiciels. C?est la raison pour laquelle les éditeurs de
logiciels d?aujourd?hui utilisent des outils permettant de tester
automatiquement le code de programmation. Cependant, les scanners de
vulnérabilités conventionnels, qui peuvent être utilisés sur
l?ordinateur personnel d?un individu, sont souvent limités à la
détection d?erreurs simples. Mais les erreurs complexes sont celles qui
sont difficiles à trouver et à éviter. Pour détecter des vulnérabilités
de sécurité aussi complexes dans le code de programmation, les éditeurs
de logiciels devaient jusqu?à présent faire analyser leur propre code
par des entreprises extérieures, par ex. par de coûteux services de test
à l?étranger. Par ailleurs, les entreprises reçoivent souvent les
résultats après un long laps de temps. Au moment où un problème est
signalé, les développeurs sont probablement déjà occupés à des tâches
totalement différentes.

Par conséquent, le Dr Eric Bodden du Fraunhofer SIT et son équipe au
centre de cyber-sécurité EC SPRIDE ont développé un cadre d?analyse
efficace qu’ils ont intégré dans les outils de test. Ces nouveaux
scanners de vulnérabilités peuvent tourner sur de simples ordinateurs,
mais ils sont plus puissants que les coûteux services d?analyse externes
et détectent un nombre supérieur d?erreurs complexes dans un laps de
temps plus court. Les outils de balayage des chercheurs de Darmstadt
donnent souvent des résultats en seulement quelques millisecondes. Cela
est possible grâce à de nouvelles techniques d?analyse capables de
passer en revue rapidement mêmes les interactions complexes dans le
code. « Le développement sûr de logiciels s?apparente à un labyrinthe »,
déclare M. Bodden, « il est très facile de prendre une mauvaise
direction mais très difficile de trouver la bonne voie. C?est la raison
pour laquelle les sociétés utilisent des outils de test pour atteindre
leur objectif le plus rapidement possible. Mais les outils
conventionnels permettent seulement aux développeurs d?avoir un aperçu
de ce qui est imminent. Grâce à nos outils, ils peuvent voir bien plus
en avance que cela. » Les techniques d?analyse peuvent être utilisées
avec différents langages de programmation et être optimisées pour des
tâches spécifiques.

Le cadre d?analyse actuel permet des analyses très complexes des flux de
données. Un exemple simple, mais très pertinent en pratique, est le
scanner maintenant publié pour les vulnérabilités SSL. Il s?agit d?un
plug-in Eclipse que les programmeurs peuvent mettre en ?uvre facilement
dans les environnements de développement typiques. L?outil de test aide
les développeurs d?applis à détecter les mises en ?uvre imparfaites du
protocole SSL dans du code Android et peut être utilisé gratuitement en
tant que logiciel open source. La dimension du problème SSL dans les
applis a été démontrée l?an dernier, lorsque Fraunhofer SIT a trouvé des
erreurs dans une multitude d?applis qui impliquaient partiellement des
risques importants pour les utilisateurs.

Le texte du communiqué issu d?une traduction ne doit d?aucune manière
être considéré comme officiel. La seule version du communiqué qui fasse
foi est celle du communiqué dans sa langue d?origine. La traduction
devra toujours être confrontée au texte source, qui fera jurisprudence.

ACTUALITÉS ÉCONOMIQUES ET FINANCIÈRES | 7 mars 2014 20 h 28 min

Fraunhofer SIT : Autocorrection pour les développeurs de logiciels

Vidéos récentes

Alertes sur la dette publique française

Lucie Larguier Directrice Financière Transgene : “On a tout 2024 pour se focaliser sur les données, sur l’avancée des projets”

Arnaud Le Coguic Directeur Financier Icape Group : “On souhaite être un acteur de la consolidation de ce marché”

Denis Supplisson Directeur Général Equasens : “On va trouver de la croissance encore cette année”

Jean-Noël de Galzain Pdg Wallix : “La rentabilité au second semestre 2024”

Economie : L’incroyable renaissance du vinyle en Angleterre – Le marché de l’art en forme – Le géant GE finalise sa scission

Frédéric Cren Directeur Général Inventiva : “Le plus important ce sont les programmes et la fin du recrutement”

Franck Grimaud Directeur Général Délégué Valneva : “Toute la franchise des vaccins du voyageur va être génératrice de cash à partir de 2025”

Philippe Haffner Pdg Haffner Energy : “La mise en avant de notre centre d’essai et de formation de Marolles”

Franck Gayraud Pdg Arcure : “Nous sommes confiants sur l’exercice 2024”