A partir du code mis à disposition par les développeurs, il est possible d'identifier les failles du système, et donc de le pirater. Pour éviter cela, il est nécessaire de rendre inaccessible la partie "sécurité" du code.
Lorsque l'on parle d'Open source, l'aspect sécuritaire revient souvent au centre des débats. L'étude menée par Adam Barth, Saung Li, Dawn Song et Benjamin I.P. Rubinstein* permet de se faire une idée plus précise sur le sujet. Elle met ainsi en évidence les failles inhérentes à l'open source, à savoir la possibilité pour les pirates d'accéder aisément aux failles des logiciels, de par l'analyse du code source. Pour neutraliser ce type de piratage, les solutions sont assez peu nombreuses, et plutôt radicales, expliquent les chercheurs. De fait, déceler les bugs ou les failles sécuritaires d'un logiciel se révèle bien plus aisé lorsque l'on dispose du code source de celui-ci.
Des failles sécuritaires aisément repérables
Et les modifications effectuées par les programmeurs en ligne ne font qu'accroître cette vulnérabilité, dans la mesure où elles permettent une identification encore plus rapide des brèches sécuritaires. Si les chercheurs ont d'abord pu croire que ces modifications passeraient inaperçues au sein de la masse d'ajouts effectués par les internautes (elles constituent ainsi moins de 2 % des modifications totales), il n'en est rien. Ainsi, l'utilisation d'un programme efficace permet de repérer presque instantanément ces brèches sécuritaires. Il devient ainsi en moyenne de 6 à 10 fois plus aisé de pirater ledit logiciel.
Une solution: Rendre inaccessible la partie "sécurité" du programme
Pour résoudre ce problème, les chercheurs envisagent une solution. A leur sens, il est nécessaire de rendre inaccessible la partie sécuritaire du code source. Par voie de fait, cette modification empêchera toute modification ultérieure, et donc toute optimisation du logiciel de ce point de vue-là. Mais il s'agit d'une perte mineure, au vu des enjeux qui sous-tendent le système. En diminuant la fenêtre d'action, on diminue par là même la fenêtre de vulnérabilité des logiciels open source, et on s'assure un développement fonctionnel, estiment-ils.
*respectivement de chez Google, l'université de Berkeley, et de chez Microsoft
Publié le 05 septembre 2011
A propos de... L'Atelier BNP Paribas - Paris Ecouter l’article
http://www.atelier.net/articles/etre-securise-lopen-source-ne-etre-totalement-ouvert
Aucun commentaire:
Enregistrer un commentaire