Les vulnérabilités par débordement de tampon sont des "défauts impardonnables", des failles ayant été découvertes dans des produits de Microsoft et de VMware. Les autorités américaines ont exhorté tous les développeurs de logiciels à adopter des pratiques de conception sécurisée (secure by design). Les autorités fédérales veulent que les développeurs cessent de coder des vulnérabilités de débordement de mémoire tampon "impardonnables".De même que les machines deviennent moins fiables avec l'âge et que les gens développent plus de problèmes de santé avec le temps, il semble que les logiciels soient plus susceptibles d'avoir des failles de sécurité à un stade avancé de leur durée de vie. Un rapport de 2023 a révélé que 70 % des applications présentent au moins une faille de sécurité après 5 ans de production. Le rapport suggérait aux développeurs de donner la priorité à la correction des failles au début du cycle de vie du développement logiciel afin de minimiser les risques causés par l'accumulation des failles.
Récemment, les autorités américaines ont qualifié les vulnérabilités de débordement de mémoire tampon de "défauts impardonnables". Les vulnérabilités de type débordement de mémoire tampon se produisent lorsqu'un logiciel écrit inopinément plus de données dans la mémoire que ce qui a été alloué pour ces données. Les informations supplémentaires se répandent dans d'autres mémoires et les modifient. Des attaquants intelligents peuvent introduire des données soigneusement élaborées dans un logiciel présentant ces bogues afin de détourner le flux du programme et de lui faire faire des choses malveillantes, ou tout simplement de le faire planter.
Dans un avis publié le 12 février, le FBI et la Cybersecurity and Infrastructure Security Agency (CISA) des ont qualifié ces failles de sécurité de la mémoire d'"impardonnables" parce qu'elles peuvent être évitées si les développeurs cessent d'utiliser des pratiques de codage et des langages obsolètes et dangereux. Ils ont notamment signalé la présence de ces failles dans des produits tels que Microsoft et VMware, et ont exhorté tous les développeurs de logiciels à adopter des pratiques de conception sécurisée afin d'éviter d'en créer d'autres.
"La CISA et le FBI maintiennent que l'utilisation de pratiques de développement logiciel peu sûres qui permettent la persistance de vulnérabilités de débordement de mémoire tampon - en particulier l'utilisation de langages de programmation peu sûrs pour la mémoire - pose un risque inacceptable pour notre sécurité nationale et économique", ont écrit les deux agences gouvernementales dans leur alerte de sécurité commune. Les autorités fédérales soulignent que les développeurs peuvent éviter de créer de telles failles en utilisant des langages de codage sans risque pour la mémoire, tels que Rust, Go et Swift.
Ce rapport des autorités américaines vient s'ajouter aux précédents rapports qui confirment la nécessité d'une conception sécurisée. Un rapport de CrowdStrike a révélé que les spécialistes de la cybersécurité n'examinent les principales mises à jour des applications logicielles que dans 54 % des cas. Si le rapport est à prendre avec des pincettes, il montre que plus d'un cinquième des personnes interrogées ont répondu qu'elles n'examinaient les modifications majeures du code que dans moins d'un quart des cas.
Un autre rapport de CyCognito avait révélé que plus de 60 % des entreprises interrogées mettent à jour les applications web toutes les semaines ou plus souvent. En outre, 35 % déclarent être confrontées à un événement de sécurité important impliquant une application web au moins une fois par semaine, tandis que 26 % subissent un incident majeur aussi souvent. Pourtant, les tests sont négligés, près de 75 % des entreprises ne testent leurs applications web qu'une fois par mois ou moins souvent, ce qui laisse plus de 40 % de la surface d'attaque non testée.
Voici le rapport de la CISA et du FBI :
Les cyberacteurs malveillants peuvent utiliser les vulnérabilités de débordement de mémoire tampon pour compromettre les logiciels
Les vulnérabilités de type débordement de tampon sont un type courant de défaut de conception de logiciels de sécurité de la mémoire qui conduit régulièrement à la compromission du système. La Cybersecurity and Infrastructure Security Agency (CISA) et le Federal Bureau of Investigation (FBI) reconnaissent que les vulnérabilités de la sécurité de la mémoire englobent un large éventail de problèmes, dont beaucoup nécessitent beaucoup de temps et d'efforts pour être correctement résolus.
Si tous les types de vulnérabilités liées à la sécurité de la mémoire peuvent être évités en utilisant des langages sans risque pour la mémoire lors du développement, d'autres mesures d'atténuation ne peuvent traiter que certains types de vulnérabilités liées à la sécurité de la mémoire. Quoi qu'il en soit, les vulnérabilités par débordement de mémoire tampon constituent un sous-ensemble bien compris de vulnérabilités de sécurité de la mémoire et peuvent être résolues en utilisant des langages de sécurité de la mémoire et d'autres techniques éprouvées énumérées dans la présente alerte.
Malgré l'existence de mesures d'atténuation efficaces et bien documentées pour les vulnérabilités de débordement de mémoire tampon, de nombreux fabricants continuent d'utiliser des pratiques de développement logiciel peu sûres qui permettent à ces vulnérabilités de persister. Pour ces raisons, ainsi que pour les dommages que l'exploitation de ces défauts peut causer, la CISA, le FBI et d'autres considèrent les vulnérabilités de débordement de mémoire tampon comme des défauts impardonnables.
La CISA et le FBI soutiennent que l'utilisation de pratiques de développement logiciel peu sûres qui permettent la persistance des vulnérabilités de débordement de mémoire tampon - en particulier l'utilisation de langages de programmation peu sûrs pour la mémoire - représente un risque inacceptable pour notre sécurité nationale et économique. Par conséquent, la CISA et le FBI demandent instamment aux fabricants d'utiliser des méthodes de prévention et des mesures d'atténuation éprouvées pour éliminer cette catégorie de défauts, tout en exhortant les clients de logiciels à exiger des fabricants des produits sûrs qui intègrent ces mesures de prévention. La présente alerte décrit des méthodes éprouvées de prévention ou d'atténuation des vulnérabilités par débordement de mémoire tampon, fondées sur les principes de la sécurité dès la conception et sur les meilleures pratiques de développement de logiciels.
Les vulnérabilités par débordement de mémoire tampon (CWE-119) surviennent lorsque des acteurs menaçants accèdent à des informations ou les écrivent dans la mauvaise partie de la mémoire d'un ordinateur (c'est-à-dire en dehors de la mémoire tampon). Ces vulnérabilités peuvent se produire dans deux régions principales de la mémoire dans lesquelles les tampons sont gérés : les...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.