On encourage l’utilisation de nouveaux langages informatiques plus sécuritaires pour prévenir les vulnérabilités et les cyberattaques
Selon ZDNet, les concepteurs des logiciels du gouvernement et de l'industrie devraient s'engager à utiliser des langages offrant la sécurité de la mémoire (memory safe languages) pour la création de nouveaux produits et outils. Il s'agirait de privilégier des langages comme Rust au lieu d'autres options aussi connues que, par exemple, C et C++.
Voilà les recommandations d'une étude de Consumer Reports, une organisation américaine à but non lucratif réputée pour ses tests de produits de consommation. Apparemment, l'objectif de cette recommandation est de s'attaquer aux cybermenaces qui ne peuvent pas être atténuées par un changement du comportement des utilisateurs. Dans cette analyse, la vulnérabilité de la mémoire a été identifiée, apparemment, comme un problème majeur.
Déjà, en novembre de l'année passée, ITWorld Canada mentionnait que la National Security Agency (NSA) des États-Unis avait exhorté les concepteurs des systèmes d'information à adopter des langages plus modernes, comme les langages C#, Go, Java, Ruby, Rust et Swift. Selon la NSA, les langages les plus couramment utilisés, tels que C et C++, bien qu'ils offrent beaucoup de liberté et de flexibilité dans la gestion de la mémoire, sont trop dépendants des vérifications que doit effectuer le programmeur sur le codage pour sécuriser la mémoire. Par contraste, les protections offertes par les nouveaux langages logiciels peuvent prévenir ou atténuer la plupart des problèmes de gestion de la mémoire.
ITWorld Canada explique que, certes, les outils d'analyse logicielle peuvent détecter de nombreux problèmes de gestion de la mémoire, et que les options d'environnement d'exploitation peuvent également fournir une certaine protection. Malheureusement, de simples erreurs peuvent ouvrir des brèches susceptibles d'être exploitées par des acteurs malveillants.
La NSA estime qu'en profitant des problèmes de mémoire, les cyberpirates peuvent réussir à pénétrer un programme, ce qui peut bouleverser de façon inattendue autant l'écriture que l'allocation ou la libération de la mémoire. Éventuellement, un acteur malveillant pourrait exploiter ces vulnérabilités pour accéder à des informations critiques, exécuter du code non autorisé ou causer d'autres effets négatifs.
Cependant, demander à une infrastructure de développement logiciel de faire la transition d'un langage informatique auquel elle est très habituée vers un autre comporte son lot de complexités. C'est pourquoi la NSA est d'avis que des programmeurs qualifiés doivent être formés dans un nouveau langage ou faire le choix d'embaucher des programmeurs compétents dans un langage offrant la sécurité de la mémoire.
Selon ZDNet, les concepteurs des logiciels du gouvernement et de l'industrie devraient s'engager à utiliser des langages offrant la sécurité de la mémoire (memory safe languages) pour la création de nouveaux produits et outils. Il s'agirait de privilégier des langages comme Rust au lieu d'autres options aussi connues que, par exemple, C et C++.
Voilà les recommandations d'une étude de Consumer Reports, une organisation américaine à but non lucratif réputée pour ses tests de produits de consommation. Apparemment, l'objectif de cette recommandation est de s'attaquer aux cybermenaces qui ne peuvent pas être atténuées par un changement du comportement des utilisateurs. Dans cette analyse, la vulnérabilité de la mémoire a été identifiée, apparemment, comme un problème majeur.
Déjà, en novembre de l'année passée, ITWorld Canada mentionnait que la National Security Agency (NSA) des États-Unis avait exhorté les concepteurs des systèmes d'information à adopter des langages plus modernes, comme les langages C#, Go, Java, Ruby, Rust et Swift. Selon la NSA, les langages les plus couramment utilisés, tels que C et C++, bien qu'ils offrent beaucoup de liberté et de flexibilité dans la gestion de la mémoire, sont trop dépendants des vérifications que doit effectuer le programmeur sur le codage pour sécuriser la mémoire. Par contraste, les protections offertes par les nouveaux langages logiciels peuvent prévenir ou atténuer la plupart des problèmes de gestion de la mémoire.
ITWorld Canada explique que, certes, les outils d'analyse logicielle peuvent détecter de nombreux problèmes de gestion de la mémoire, et que les options d'environnement d'exploitation peuvent également fournir une certaine protection. Malheureusement, de simples erreurs peuvent ouvrir des brèches susceptibles d'être exploitées par des acteurs malveillants.
La NSA estime qu'en profitant des problèmes de mémoire, les cyberpirates peuvent réussir à pénétrer un programme, ce qui peut bouleverser de façon inattendue autant l'écriture que l'allocation ou la libération de la mémoire. Éventuellement, un acteur malveillant pourrait exploiter ces vulnérabilités pour accéder à des informations critiques, exécuter du code non autorisé ou causer d'autres effets négatifs.
Cependant, demander à une infrastructure de développement logiciel de faire la transition d'un langage informatique auquel elle est très habituée vers un autre comporte son lot de complexités. C'est pourquoi la NSA est d'avis que des programmeurs qualifiés doivent être formés dans un nouveau langage ou faire le choix d'embaucher des programmeurs compétents dans un langage offrant la sécurité de la mémoire.