Les futurs logiciels devraient tre srs pour la mmoire, les leaders de l’industrie soutiennent l’appel de la Maison Blanche s’attaquer la cause profonde de la plupart des pires cyber-attaques

Quels sont les langages de programmation que vous dtestez le plus en 2022 ? Pourquoi ? Partagez vos avis



L’Office of the National Cyber Director (ONCD) de la Maison Blanche a publi un rapport appelant la communaut technique rduire de manire proactive la surface d’attaque dans le cyberespace. De leur ct, les leaders de l’industrie soutiennent l’appel de la Maison Blanche s’attaquer la cause profonde de la plupart des pires cyberattaques.

L’ONCD fait valoir que les fabricants de technologies peuvent empcher des catgories entires de vulnrabilits d’entrer dans l’cosystme numrique en adoptant des langages de programmation sans danger pour la mmoire. L’ONCD encourage galement la communaut des chercheurs se pencher sur le problme de la mesurabilit des logiciels afin de permettre le dveloppement de meilleurs diagnostics mesurant la qualit de la cyberscurit.

Le rapport s’intitule Back to the Building Blocks: A Path Toward Secure and Measurable Software.

« En tant que nation, nous avons la capacit – et la responsabilit – de rduire la surface d’attaque dans le cyberespace et d’empcher des catgories entires de bogues de scurit d’entrer dans l’cosystme numrique, mais cela signifie que nous devons nous attaquer au problme difficile de l’adoption de langages de programmation sans danger pour la mmoire« , a dclar Harry Coker, directeur national du cyberespace. « Grce au travail de l’quipe de l’ONCD et l’excellente collaboration de la communaut technique et de nos partenaires des secteurs public et priv, le rapport publi aujourd’hui dcrit les menaces et les possibilits qui s’offrent nous alors que nous nous dirigeons vers un avenir o les logiciels seront sans danger pour la mmoire et scuriss ds leur conception. Je me rjouis galement que nous travaillions avec la communaut universitaire et que nous fassions appel elle pour nous aider rsoudre un autre problme difficile : comment dvelopper de meilleurs diagnostics pour mesurer la qualit de la cyberscurit ? Il est impratif de relever ces dfis pour garantir la scurit long terme de notre cosystme numrique et protger la scurit de notre pays« .

En adoptant une approche de l’laboration des politiques axe sur l’ingnierie, l’ONCD veille ce que l’expertise de la communaut technique se reflte dans la manire dont le gouvernement fdral aborde ces problmes. Les crateurs de logiciels et de matriel peuvent avoir un impact considrable sur la scurit partage de la nation en intgrant les rsultats de la cyberscurit dans le processus de fabrication.

« Certains des vnements cyberntiques les plus tristement clbres de l’histoire – le ver Morris de 1988, le ver Slammer de 2003, la vulnrabilit Heartbleed de 2014, l’exploit Trident de 2016, l’exploit Blastpass de 2023 – ont t des cyberattaques qui ont fait la une des journaux et qui ont caus des dommages rels aux systmes sur lesquels la socit s’appuie chaque jour. Toutes ces attaques ont une cause fondamentale commune : les vulnrabilits de la scurit de la mmoire. Depuis trente-cinq ans, les failles de scurit de la mmoire sont un flau pour l’cosystme numrique, mais il n’est pas ncessaire qu’il en soit ainsi« , dclare Anjana Rajan, directrice nationale adjointe de la cyberntique pour la scurit technologique. « Ce rapport a t cr par des ingnieurs pour des ingnieurs, car nous savons qu’ils peuvent prendre des dcisions en matire d’architecture et de conception des composants qu’ils consomment, ce qui aura un effet considrable sur notre capacit rduire la surface des menaces, protger l’cosystme numrique et, en fin de compte, la nation.« 

L’ONCD s’est engag auprs d’un groupe diversifi de parties prenantes, les ralliant l’effort de l’administration.

Conformment deux thmes majeurs de la stratgie nationale de cyberscurit du prsident publie il y a prs d’un an, le rapport publi marque une tape importante dans le transfert de la responsabilit de la cyberscurit des particuliers et des petites entreprises vers les grandes organisations, telles que les entreprises technologiques et le gouvernement fdral, qui sont plus mme de grer une menace en constante volution. Ces travaux s’inscrivent galement dans le prolongement des programmes « secure by design » et des efforts de recherche et de dveloppement dploys par l’ensemble du gouvernement fdral, notamment par la CISA, la NSA, le FBI et le NIST, et s’appuient sur eux.

Les travaux sur la scurit des mmoires prsents dans le rapport compltent l’intrt du Congrs pour ce sujet. Il s’agit notamment des efforts des commissions des crdits du Snat et de la Chambre des reprsentants des tats-Unis, qui ont inclus dans la lgislation sur les crdits de l’exercice fiscal 2023 un libell de rapport directif exigeant un expos de l’ONCD sur cette question. En outre, le prsident de la commission snatoriale de la scurit intrieure et des affaires gouvernementales, Gary Peters (D-MI), et le snateur Ron Wyden (D-OR) ont fait part l’ONCD de leurs efforts lgislatifs en matire de scurit de la mmoire.

Lire le rapport complet : Retour aux lments de base : un chemin vers des logiciels srs et mesurables, un rapport de la Maison Blanche sur la scurit de la mmoire et sur la qualit de la cyberscurit

Source : Communiqu de presse de la Maison Blanche

Et vous ?

Pensez-vous que ce rapport est crdible ou pertinent ?

Quel est votre avis sur le sujet ?

Voir aussi :

Les Agences des Five Eyes insistent pour que les organisations abandonnent C++ pour le langage Rust, qui offre de meilleures garanties de scurisation des plages mmoire des logiciels

Il est urgent de renforcer la scurit de la mmoire dans les produits logiciels, selon la CISA. L’utilisation d’un langage de programmation scurit mmoire comme Rust serait une solution

La NSA exhorte les organisations passer des langages de programmation scuriss dans la gestion de la mmoire pour liminer un vecteur d’attaque souvent exploit par les cybercriminels



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.