Rats et Flawfinder repèrent les failles de sécurité

Pour s'introduire dans un système, les hackers utilisent souvent des failles présentes dans les applications. En effet, la plupart d'entre elles ne sont pas développées en gardant à l'esprit les problématiques de sécurité. Par exemple, de nombreux exploits sont réalisés grâce à des "buffer overflow" ou débordements de tampon. De telles failles peuvent être évitées grâce à des audits du code source.

Deux outils open source destinés à faciliter ce genre de tâches viennent justement de faire parler d'eux. Tout d'abord, la première version publique de l'outil Rats est sortie la semaine dernière, distribuée sous licence GPL par la société Secure Software Solutions, spécialisée dans la sécurité des applications.

Rats, acronyme de Rough Auditing Tool for Security, est destiné à scanner du code source écrit en C/C++ et à rechercher des failles de sécurité potentielles. Précisons que le but n'est pas de trouver automatiquement tous les bugs, mais de faciliter la recherche manuelle.

Un autre outil dénommé Flawfinder est sorti au même moment, développé sous licence GPL par David Wheeler, l'auteur du Secure Programming Howto. Il fonctionne de la même manière que RATS, en utilisant une base de données de failles potentielles, notées selon leur dangerosité, de 1 à 5. Les deux projets devraient certainement être fusionnés dans le futur, comme l'ont annoncé leurs équipes de développement respectives.

Pour en savoir plus, on se référera à l'interview de Patrick Duplouy, développeur du projet IDX-PKI pour la société de services Ideal X, où il aborde le processus de développement d'une application sécurisée.

Ces applications fonctionnent sur les plates-formes Unix et ont été testées sous Linux.