« Secure by Design » est la nouvelle voie à suivre
Conclusion: L'agence américaine de sécurité de cybersécurité et d'infrastructure rappelle à nouveau que les fabricants et les développeurs de tampon qui débordent les vulnérabilités doivent être éradiqués à partir des logiciels. En bref, les entreprises doivent adopter une politique « sécurisée par conception » – et rapidement.
La CISA a publié une nouvelle alerte sur les vulnérabilités de débordement de tampon, exhortant l'industrie du logiciel à adopter des pratiques de programmation appropriées pour éliminer toute une classe de défauts de sécurité dangereux. Les exploits de débordement de tampon entraînent fréquemment un compromis sur le système, prévient la CISA, posant des menaces importantes pour la fiabilité du système, l'intégrité des données et la cybersécurité globale.
Un débordement de tampon se produit lorsqu'un acteur de menace peut accéder ou rédiger des données en dehors de l'espace mémoire alloué d'un programme, a expliqué CISA. Si les pirates manipulent la mémoire au-delà des limites allouées d'un tampon, cela peut entraîner une corruption des données, une exposition d'informations sensibles, des accidents du système ou même une exécution à distance d'un code malveillant.
CISA a précédemment mis en garde contre les vulnérabilités de débordement de tampon et réitère maintenant son message. L'agence met en évidence des exemples réels de ces défauts, y compris les vulnérabilités dans les systèmes d'exploitation Windows (CVE-2025-21333), le noyau Linux (CVE-2022-0185), les produits VPN (CVE-2023-6549) et divers autres logiciels environnements où le code exécutable est présent.
Les sociétés de logiciels peuvent lutter contre la menace de débordement de tampon en adoptant une approche appropriée « sécurisée par conception » lors de la rédaction de leur code. En génie logiciel, « Secure by Design » signifie que les produits et les fonctionnalités sont construits avec la sécurité comme principe fondamental plutôt que ajouté après coup. Cependant, CISA a noté que seules quelques entreprises ont mis en œuvre cette approche jusqu'à présent.
L'agence a décrit plusieurs pratiques « sécurisées par conception » que les pistes techniques devraient adopter au sein de leurs organisations. Il s'agit notamment de l'utilisation de langages de programmation sécurisés par la mémoire tels que Rust ou GO, configurer les compilateurs pour détecter les bogues de débordement de tampon avant le déploiement et effectuer des tests de produit réguliers.
La CISA, ainsi que d'autres agences gouvernementales, y compris le FBI et la NSA, proposent des ressources et des rapports supplémentaires pour aider les entreprises à atténuer les vulnérabilités de débordement de tampon et d'autres menaces de sécurité critiques.
L'agence a également mis en évidence trois grands principes «sécurisés par conception» développés en collaboration avec 17 organisations mondiales de cybersécurité. Ces principes mettent l'accent sur la pleine responsabilité dans le processus de développement logiciel, un engagement « radical » envers la transparence et les structures organisationnelles conçues pour hiérarchiser la sécurité.
