Radio 
Fraunhofer SIT : Autocorrection pour les développeurs de logiciels
Fraunhofer SIT publie un scanner de vulnérabilités pour Android –
CeBIT 2014 : De nouveaux outils facilitent la sécurité dès le stade de la conception
Fraunhofer SIT a publié un scanner de vulnérabilités pour Android, permettant aux développeurs d'applis de trouver et combler automatiquement une brèche de sécurité SSL survenant fréquemment. Le logiciel peut être téléchargé gratuitement sur le site https://sit.sit.fraunhofer.de/eclipse/howto-ssl/ et a été développé au European Center for Security and Privacy by Design (EC SPRIDE) à Darmstadt, qui est financé par le Ministère fédéral de la Recherche et de l'Enseignement. Les scientifiques du centre EC SPRIDE mettent au point de nouveaux outils de test pour le code Android et Java utilisant des techniques d'analyse innovantes et pouvant être intégrés directement dans les environnements de développement. Les outils permettent même la détection rapide d'erreurs qui sont généralement difficiles à trouver dans le code de programmation. Fraunhofer SIT présentera les outils et la procédure au salon CeBIT à Hanovre du 10 au 14 mars sur son stand n° E40 dans le hall 9.
De nombreuses vulnérabilités de sécurité résultent de simples erreurs de programmation qui, du fait d'une complexité sans cesse croissante des logiciels, deviennent de plus en plus difficiles à éviter. Les logiciels consistent souvent en divers morceaux de programme, parfois écrits par des équipes de développement distinctes. Les programmeurs ne sont plus en mesure d'appréhender pleinement les interactions entre les différents composants logiciels. C'est la raison pour laquelle les éditeurs de logiciels d'aujourd'hui utilisent des outils permettant de tester automatiquement le code de programmation. Cependant, les scanners de vulnérabilités conventionnels, qui peuvent être utilisés sur l'ordinateur personnel d'un individu, sont souvent limités à la détection d'erreurs simples. Mais les erreurs complexes sont celles qui sont difficiles à trouver et à éviter. Pour détecter des vulnérabilités de sécurité aussi complexes dans le code de programmation, les éditeurs de logiciels devaient jusqu'à présent faire analyser leur propre code par des entreprises extérieures, par ex. par de coûteux services de test à l'étranger. Par ailleurs, les entreprises reçoivent souvent les résultats après un long laps de temps. Au moment où un problème est signalé, les développeurs sont probablement déjà occupés à des tâches totalement différentes.
Par conséquent, le Dr Eric Bodden du Fraunhofer SIT et son équipe au centre de cyber-sécurité EC SPRIDE ont développé un cadre d'analyse efficace qu'ils ont intégré dans les outils de test. Ces nouveaux scanners de vulnérabilités peuvent tourner sur de simples ordinateurs, mais ils sont plus puissants que les coûteux services d'analyse externes et détectent un nombre supérieur d'erreurs complexes dans un laps de temps plus court. Les outils de balayage des chercheurs de Darmstadt donnent souvent des résultats en seulement quelques millisecondes. Cela est possible grâce à de nouvelles techniques d'analyse capables de passer en revue rapidement mêmes les interactions complexes dans le code. « Le développement sûr de logiciels s'apparente à un labyrinthe », déclare M. Bodden, « il est très facile de prendre une mauvaise direction mais très difficile de trouver la bonne voie. C'est la raison pour laquelle les sociétés utilisent des outils de test pour atteindre leur objectif le plus rapidement possible. Mais les outils conventionnels permettent seulement aux développeurs d'avoir un aperçu de ce qui est imminent. Grâce à nos outils, ils peuvent voir bien plus en avance que cela. » Les techniques d'analyse peuvent être utilisées avec différents langages de programmation et être optimisées pour des tâches spécifiques.
Le cadre d'analyse actuel permet des analyses très complexes des flux de données. Un exemple simple, mais très pertinent en pratique, est le scanner maintenant publié pour les vulnérabilités SSL. Il s'agit d'un plug-in Eclipse que les programmeurs peuvent mettre en œuvre facilement dans les environnements de développement typiques. L'outil de test aide les développeurs d'applis à détecter les mises en œuvre imparfaites du protocole SSL dans du code Android et peut être utilisé gratuitement en tant que logiciel open source. La dimension du problème SSL dans les applis a été démontrée l'an dernier, lorsque Fraunhofer SIT a trouvé des erreurs dans une multitude d'applis qui impliquaient partiellement des risques importants pour les utilisateurs.
Le texte du communiqué issu d'une traduction ne doit d'aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d'origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.
Fraunhofer SIT
Oliver Küch, +49 6151 869-213
Directeur de division, Communications et Marketing
oliver.kuech@sit.fraunhofer.de
http://www.sit.fraunhofer.de
Les plus lus
Kendji Girac: accident "impossible", "suicide simulé", cocaïne... Ce qu'il faut retenir de la conférence du procureur
Paris: les ailes du Moulin Rouge sont tombées dans la nuit
Arnaques par téléphone: voici les indicatifs dont il faut se méfier
Un test en développement en France pour détecter le cancer du poumon grâce à une prise de sang
Harvard, Austin... Aux États-Unis, les manifestations contre la guerre à Gaza gagnent de nouveaux campus