30/05/01
Rats
et Flawfinder repèrent les failles de sécurité
|
Les outils open source Rats et Flawfinder permettent d'auditer un code source à la recherche de failles potentielles de sécurité. |
Pour s'introduire
dans un système, les hackers utilisent souvent des failles
présentes dans les applications. En effet, la plupart d'entre
elles ne sont pas développées en gardant à
l'esprit les problématiques de sécurité. Par
exemple, de nombreux exploits sont réalisés grâce
à des "buffer overflow" ou débordements
de tampon. De telles failles peuvent être évitées
grâce à des audits du code source.
Deux outils open source destinés à faciliter ce genre
de tâches viennent justement de faire parler d'eux. Tout d'abord,
la première version publique de l'outil Rats
est sortie la semaine dernière, distribuée sous licence
GPL par la société Secure Software Solutions, spécialisée
dans la sécurité des applications.
Rats, acronyme de Rough Auditing Tool for Security, est destiné
à scanner du code source écrit en C/C++ et à
rechercher des failles de sécurité potentielles. Précisons
que le but n'est pas de trouver automatiquement tous les bugs, mais
de faciliter la recherche manuelle.
Un autre outil dénommé Flawfinder
est sorti au même moment, développé sous licence
GPL par David Wheeler, l'auteur du Secure
Programming Howto. Il fonctionne de la même manière
que RATS, en utilisant une base de données de failles potentielles,
notées selon leur dangerosité, de 1 à 5. Les
deux projets devraient certainement être fusionnés
dans le futur, comme l'ont annoncé leurs équipes de
développement respectives.
Pour en savoir plus, on se référera à l'interview
de Patrick Duplouy, développeur du projet IDX-PKI pour la
société de services Ideal X, où il aborde le
processus de développement d'une application sécurisée.
Ces applications fonctionnent sur les plates-formes Unix et ont
été testées sous Linux.
|