Développer le « secure by design »
Le meilleur moyen de limiter les failles d'un logiciel... c'est d'éviter certaines erreurs ou « mauvaises habitudes » de développement. Un sujet rarement abordé, car provoquant souvent des réactions épidermiques de la part des développeurs eux-mêmes. Réactions à la fois légitimes -tous craignent que ce « premier maillon de la chaine » devienne le bouc émissaire de la profession- et injustifiées, tant les formations en la matière laissent à désirer. Microsoft, souvent attaqué pour la qualité jugée « moyenne » de ses production, a depuis longtemps milité en faveur d'une approche méthodologique de la sécurité au fil du développement. ITBusiness Canada publie à ce sujet un court article décrivant ce qu'est le security development lifecycle (SDL). Vision à rapprocher d'un autre article, nettement moins « politiquement correct » mais tout aussi intéressant, édité, quant à lui, dans les colonnes de 0x000000. Le papier s'intitule « Les 7 fautes de sécurité les plus courantes commises par les programmeurs ». L'on y retrouve des grands classiques, tels que la non vérification des « clauses » définies dans les champs de saisie, les variables dans les chemins d'accès, les scripts qui ne s'achèvent pas, les htaccess accessibles par tout le monde... une belle collection de gaffes -exemples à l'appui- que l'on a tous, un jour ou l'autre, commis ou failli commettre.