Après avoir rédigé un rapport assimilant une cyberattaque à un acte de guerre, l'Etat américain continue de tenter de s'adapter à l'évolution des menaces, du côté du privé désormais: le département de sécurité intérieure a en effet décidé de venir en aide aux entreprises dans leur lutte contre la cybercriminalité, rapporte Computer World.
Avec l'institut SANS et Mitre, deux organisations spécialisées dans le domaine, le ministère a mis au point un système de notation censé aider les compagnies à vérifier si leurs logiciels sont en adéquation avec les standards d'encryptage. Il a aussi publié une liste des 25 erreurs les plus dangereuses de programmation trouvées dans des logiciels, ainsi qu'un système de mesure permettant aux entreprises de jauger la sécurité de ceux qu'ils emploient en fonction de la présence ou de l'absence de ces failles.
Comme l'explique Alan Paller, directeur de recherche à l'institut SANS, qui a participé à la mise au point de ces deux outils:
«Les entreprises et les ONG qui mettent au point ou achètent des services web et des logiciels n'ont pas de façon sûre de savoir si les logiciels qu'ils utilisent sont protégés contre les attaques courantes.»
La liste 2011 des 25 erreurs les plus dangereuses reprend la plupart de celles de 2010, mais les failles qui permettent les injections SQL sont passées premières au classement (elles étaient deuxièmes l'an dernier). Ce sont de telles erreurs qui ont par exemple permis au groupe de hackers LulzSec d'attaquer plusieurs sites web ces dernières semaines (dont celui de Sony entre autres), en récupérant des milliers de logins et de mots de passe.
Alors que cette faille est l'une des plus communes, elle continue d'être présente dans de nombreuses bases de données parce que les créateurs de logiciels ne sont pas suffisamment formés, estime Alan Paller, qui explique au Washington Times:
«Il y a un million et demi de programmeurs dans ce pays, et la plupart d'entre eux ont appris à coder à la fac, ou dans une école professionnelle, ou en lisant des livres. Et dans les livres qu'ils ont utilisé, dans la notation des codes qu'ils rendent comme devoirs, le concept de codage sécurisé n'est jamais évoqué. Les universités ne l'enseignent simplement pas.»
Il ajoute que son institut a trouvé plusieurs exemples de failles de logiciel utilisées comme des exemples à suivre dans des manuels.
