La Maison Blanche exhorte les développeurs à éviter le C et le C++ au profit de langages de programmation « sûrs »

У nouveau rapport Le Bureau du National Cyber ​​​​Director (ONCD) de la Maison Blanche a exhorté les développeurs à utiliser des « langages de programmation légers » – une catégorie qui exclut les langages populaires. Ces conseils font partie de la stratégie de cybersécurité du président américain Biden et constituent une étape vers « la protection des éléments constitutifs du cyberespace ».

Une mauvaise gestion de la mémoire dans le code logiciel peut entraîner de graves vulnérabilités, permettant aux attaquants de mener des cyberattaques. Les langages de programmation tels que Java, en raison de leurs mécanismes de détection des erreurs d'exécution, sont considérés comme sûrs en termes de gestion de la mémoire. En revanche, C et C++ permettent aux développeurs d'effectuer des opérations de pointeur et d'adresser directement des adresses dans la mémoire de l'ordinateur. Cela inclut la lecture et l’écriture de données dans n’importe quel emplacement mémoire auquel ils peuvent accéder via un pointeur.

En 2019, les ingénieurs sécurité Microsoft a rapporté qu'environ 70 % des vulnérabilités étaient causées par des problèmes de sécurité de la mémoire. En 2020, Google rapportait le même chiffre, mais pour les bugs trouvés dans le navigateur Chromium.

"Les experts ont identifié plusieurs langages de programmation qui non seulement manquent de fonctionnalités liées à la sécurité de la mémoire, mais sont également répandus dans les systèmes critiques tels que C et C++", indique le rapport. "Le choix de langages de programmation sécurisés en mémoire à partir de zéro, comme le recommande la feuille de route de sécurité des logiciels open source de la Cybersecurity and Infrastructure Security Agency (CISA), est un exemple de développement de logiciels sécurisés à partir de zéro d'ici la fin de"".

L'objectif du rapport de 19 pages est de garantir que la responsabilité de la cybersécurité n'incombe pas uniquement aux particuliers et aux petites entreprises. La responsabilité incombe plutôt aux grandes organisations, aux entreprises technologiques et, en fin de compte, au gouvernement.

Le rapport souligne non seulement les problèmes liés au C et au C++, mais propose également un certain nombre d'alternatives - des langages de programmation reconnus comme "mémoire sûre". Les langages recommandés par la National Security Agency (NSA) incluent : Rust, Go, C#, Java, Swift, JavaScript et Ruby. Ces langages contiennent des mécanismes qui empêchent les types courants d'attaques de mémoire, augmentant ainsi la sécurité des systèmes en cours de développement.

L'ONCD demande aux entreprises et aux ingénieurs d'appliquer les meilleures pratiques en matière de développement de logiciels et d'utiliser du matériel sécurisé en mémoire pour réduire la surface d'attaque par laquelle les attaquants peuvent attaquer. Le rapport lui-même ne détaille pas ce qui est exactement considéré comme un langage de programmation sécurisé en mémoire. Cependant, en novembre 2022, la National Security Agency (NSA) a publié bulletin d'information sur la cybersécurité, qui détaillait les langages de programmation qu'il croyait sûrs pour la mémoire.

Le rapport appelle également à une meilleure mesure de la sécurité des logiciels. L'ONCD estime que de meilleurs indicateurs permettent aux fournisseurs de technologies de mieux planifier, anticiper et atténuer les vulnérabilités avant qu'elles ne deviennent un problème.

Ce rapport est le dernier d’une série de mesures prises par le gouvernement américain. En mars 2023, le président Biden a signé le décret sur la cybersécurité, qui a lancé des processus visant à protéger les logiciels et le matériel, ainsi qu’à tisser des liens dans l’industrie technologique.

Lisez aussi:

• Microsoft découvert des pirates informatiques chinois et russes qui utilisaient ses outils d'IA
• Le Pentagone a utilisé l'IA de Google pour identifier les cibles des frappes aériennes