décembre 8th, 2010

Coverity était pratiquement inconnue il n’y a pas un mois. Cette entreprise spécialisée dans l’analyse statique et dynamique des codes sources et des architectures d’applications vient de publier un rapport sur l’intégrité des programmes Open Source en général et sur la solidité du noyau Android en particulier. Rapport qui fait état de 88 défauts considérés comme « à haut risque » (corruption ou accès à la mémoire, exécution à distance, fuite d’informations, variables non-initialisées etc.) et 271 défauts de moyenne importance.

Plus que la sévérité des trous répertoriés, c’est le nombre de vulnérabilités annoncées qui transforme cette analyse statistique en petite bombe médiatique. Pourtant, insiste le rapport, rien ne vient distinguer le noyau de Google de tout autre projet du monde Open Source, tant en qualité qu’en quantité de failles découvertes. Android serait même plus sûr que la plupart des applications écrites jusqu’à maintenant, mais moins « bon » que le noyau Linus. Ajoutons que si le nombre de défauts majeurs peut sembler élevé, il n’est jamais fait référence à un quelconque « indice d’exploitation possible » qui, aussi imprécis soit-il, donne une meilleure idée de la dangerosité réelle des trous de sécurité.

Le détail des failles découvertes ne sera pas publié avant le début du premier trimestre 2011, afin de laisser le temps à Google de colmater les défauts les plus facilement exploitables.

La toute dernière édition de Mehari est disponible en téléchargement (gratuit) sur le site du Clusif (Club de la Sécurité de l’Information Français). Il s’agit là d’une méthode et d’outils destinés à aider les RSSI et DSI en matière de définition des buts, d’étude des vulnérabilités, d’évaluation des risques, de pilotage et de validation de la sécurité et des politiques à mettre en œuvre au sein des entreprises. Une édition en langue anglaise est même disponible sur le site.