Le Bureau de la Maison Blanche du Directeur national de la cybersécurité (ONCD) a exhorté aujourd’hui les entreprises technologiques à passer à des langages de programmation sécurisés pour la mémoire, tels que Rust, afin d’améliorer la sécurité des logiciels en réduisant le nombre de vulnérabilités de sécurité de la mémoire.
Ces vulnérabilités sont des erreurs de codage ou des faiblesses dans les logiciels qui peuvent entraîner des problèmes de gestion de la mémoire lorsque la mémoire peut être accédée, écrite, allouée ou désallouée.
Ils se produisent lorsque le logiciel accède à la mémoire de manière involontaire ou non sécurisée, ce qui entraîne divers risques et problèmes de sécurité tels que le débordement de tampon, l’utilisation après libération, l’utilisation de la mémoire non initialisée et la double libération que les attaquants peuvent exploiter.
Une exploitation réussie comporte de graves risques, permettant potentiellement aux auteurs de menaces d’obtenir un accès non autorisé aux données ou d’exécuter du code malveillant avec les privilèges du propriétaire du système.
« Depuis plus de 35 ans, ce même type de vulnérabilité perturbe l’écosystème numérique. Le défi d’éliminer des classes entières de vulnérabilités logicielles est un problème urgent et complexe. Pour l’avenir, de nouvelles approches doivent être adoptées pour atténuer ce risque », indique le rapport de l’ONCD.
« La méthode la plus efficace pour réduire les vulnérabilités de sécurité de la mémoire consiste à sécuriser l’un des éléments constitutifs du cyberespace: le langage de programmation. L’utilisation de langages de programmation sûrs pour la mémoire peut éliminer la plupart des erreurs de sécurité de la mémoire. »
Le rapport d’aujourd’hui s’appuie sur la Stratégie nationale de cybersécurité signée par le président Biden en mars 2023, qui a transféré le fardeau de la défense du cyberespace du pays vers les éditeurs de logiciels et les fournisseurs de services.
La National Security Agency (NSA) a également publié des directives en novembre 2022 sur la manière dont les développeurs de logiciels peuvent prévenir les problèmes de sécurité de la mémoire logicielle.
Un rapport similaire de CISA et de partenaires internationaux en décembre 2023 a suivi, demandant une transition vers des langages de programmation sécurisés pour la mémoire afin de réduire la surface d’attaque des produits logiciels en éliminant les vulnérabilités liées à la mémoire.
Comme Microsoft l’a découvert il y a des années, jusqu’à 70% des vulnérabilités de sécurité identifiées dans les logiciels développés à l’aide de langages non sécurisés pour la mémoire découlent de problèmes de sécurité de la mémoire. Cela reste vrai même après des examens approfondis du code et des mesures préventives et de détection supplémentaires, comme l’a également constaté l’entreprise.
Pourtant, les résultats des recherches de Google montrent que l’utilisation d’un langage sans danger pour la mémoire peut réduire considérablement le nombre de failles de sécurité de la mémoire, même dans les grandes bases de code et, dans certains cas, les éliminer complètement.
« Depuis trente-cinq ans, des vulnérabilités en matière de sécurité de la mémoire ont affecté l’écosystème numérique, mais ce n’est pas forcément le cas », a déclaré Anjana Rajan, directrice nationale adjointe de la cybersécurité pour la sécurité technologique.
« Ce rapport a été créé pour les ingénieurs par des ingénieurs parce que nous savons qu’ils peuvent prendre les décisions d’architecture et de conception concernant les blocs de construction qu’ils consomment – et cela aura un effet considérable sur notre capacité à réduire la surface des menaces, à protéger l’écosystème numérique et, en fin de compte, la Nation. »