ACTUALITES

De fait, la sécurité du système d'information est aujourd'hui essentiellement réalisée a posteriori à l'aide de mises à jour correctives, de coupe-feux, d'antivirus, de sondes de détection d'intrusion et autres outils chargés de surveiller les failles du système. C'est en partant de ce constat paradoxal - surveiller des failles - que Microsoft a mis au point la méthode SDL (Security Development Lifecycle) pour « durcir » les logiciels dès la phase de programmation. Cette méthodologie s'adresse aux développeurs qui, même s'ils ont les mains dans le code à longueur de journée, maîtrisent souvent mal les risques liés à leurs développements logiciels.

Pour les aider dans cette nouvelle tâche, l'éditeur vient de publier deux outils gratuits - MiniFuzz File Fuzzer et BinScope Binary Analyzer - sur son site dédié aux développeurs : MSDN (Microsoft Developer Network).

MiniFuzz File Fuzzer permet de créer des jeux de données et de les injecter aléatoirement dans le code pour tester sa fiabilité. Le logiciel détecte ainsi les failles les plus courantes pendant l'étape du développement afin qu'elles soient comblées avant la recette de l'application.

Comme il n'est jamais trop tard pour bien faire, BinScope Binary Analyzer détecte les failles à partir des logiciels déjà compilés (en binaire). Il permet donc d'analyser n'importe quel logiciel existant, mais les développeurs peuvent aussi l'utiliser en fin de cycle de programmation pour s'assurer qu'ils ont bien respecté toutes les recommandations de la méthode SDL. Ils devraient ainsi réduire le nombre de failles et donc de mises à jour de sécurité.

Moyennant un investissement supérieur en temps lors de la phase de développement, les développeurs contribuent donc toutefois à réduire le coût d'exploitation et de maintenance du système d'information. En mars dernier, Microsoft avait déjà publié, gratuitement et sous licence open source, le logiciel !exploitable Crash Analyzer. Cette extension pour Windows Debugger analyse automatiquement les fichiers "dump" générés lors de l'échec d'exécution d'un logiciel pour y détecter des failles potentielles.