Développer de meilleurs logiciels, plus sûrs
Comment vous assurer que le logiciel que vous utilisez sur votre ordinateur est sûr? Améliorer la sécurité des logiciels est au coeur du projet SHIELDS («Detecting known security vulnerabilities from within design and development tools»), qui a reçu 3,25 millions d'euros au titre du thème «Technologies de l'information et de la communication» du septième programme-cadre (7e PC) de l'UE. Le projet, qui prend officiellement fin en juin, s'est attaqué au problème de sécurité des logiciels. Même à l'heure actuelle, à l'allure à laquelle se développent les technologies, les systèmes logiciels continuent d'être gênés par les vulnérabilités (dans le domaine de la sécurité informatique, une faiblesse dans un système informatique). En réalité, les progrès sont énormément dépendants de ce problème. Par exemple, les taux d'échec ont augmenté avec le besoin de protéger des volumes croissants d'informations et des systèmes très critiques (le «contrôle logiciel»). De même, quand la complexité d'un logiciel augmente, il en va de même avec les problèmes qui l'accompagnent. Enfin, des systèmes utilisant de nombreux logiciels sont de plus en plus considérés comme des cibles économiques et politiques pour les agresseurs disposant de ressources, aussi les menaces pour ces systèmes ont-elles augmenté. Il ne suffit plus aujourd'hui de faire confiance aux pare-feux et aux anti-virus; en effet, les experts insistent de plus en plus sur le fait que la sécurité doit être une partie fondamentale du logiciel. Au niveau industriel, l'équipe de SHIELDS pense que certains des problèmes persistent étant donné que les informations concernant les problèmes connus ne sont pas mises à la disposition des développeurs de logiciels ou intégrés dans les outils qu'ils utilisent pour développer des logiciels. Normalement, les bases de données sur les vulnérabilités accessibles aux développeurs ne contiennent que des informations générales sur les problèmes et sur l'évaluation des risques, les solutions et les outils (elles sont normalement écrites pour des utilisateurs et non des développeurs). Le manque d'informations pour les développeurs se traduit par un manque de soutien pour trouver et éliminer les vulnérabilités. Depuis le lancement du projet SHIELDS en 2008, l'approche de l'équipe a consisté à se concentrer sur les manques de connaissances et de communication entre les experts et les praticiens logiciels. En fournissant aux développeurs de logiciels d'importantes informations de diverses sections de l'industrie, l'objectif de SHIELDS consistait à éviter de reporter par inadvertance des vulnérabilités dans de nouveaux logiciels. De nouveaux instruments permettraient aux experts en sécurité de fournir plus facilement et plus rapidement des informations sur les vulnérabilités, ce qui aiderait les développeurs à les éviter, les détecter et les éliminer. La solution pour SHIELDS a été de développer un référentiel partagé d'informations sur la sécurité pour toutes sortes d'outils et de méthodes de sécurité logicielle, baptisé SVRS («Security Vulnerability Repository Service»). Ce service constitue l'élément central des services SHIELDS. Son principal objectif est de servir d'intermédiaire entre les experts en sécurité et les développeurs de logiciels. Il stocke et gère des connaissances interconnectées de connaissances sur la sécurité. En outre, l'équipe a désigné deux programmes de certification pour l'industrie: SHIELDS Compliant et SHIELDS Verified. SHIELDS Compliant est destiné aux instruments compatibles avec SVRS, et SHIELDS Verified est utilisé pour vérifier que le logiciel a été contrôlé pour d'éventuelles vulnérabilités au cours du développement. Le projet SHIELDS a été soumis à plusieurs évaluations durant lesquelles l'approche et les outils de démonstration basés sur les modèles SHIELDS ont été démontrés. Des études de cas ont indiqué une réduction des problèmes de sécurité pour les logiciels, et les outils semblent plus appropriés dans l'opinion des experts en sécurité et des développeurs de logiciels. Presque tous les évaluateurs (huit au total) ont qualifié SHIELDS de très efficace dans la détection de vulnérabilités. Durant les 30 mois du projet, les travaux entrepris ont également donné lieu à des outils en phase avec les nouvelles technologies, et ils ont fourni de meilleures informations aux développeurs de logiciels et à leurs acheteurs. Ces outils permettent de tester (Flinder par SEARCH-LAB, TEG par Montimage et Institut TELECOM), de surveiller (TIC et TIPS par Montimage et Institut TELECOM), d'éditer des modèles (GOAT par LiU, SeaMonster par SINTEF) et d'effectuer des inspections (DEFECT par Fraunhofer). Le consortium SHIELDS comprend l'Institut TELECOM/TELECOM Sud-Paris (France), Montimage EURL (France), Fraunhofer IESE (Allemagne.), SEARCH-LAB Ltd (Hongrie), TXT e-solutions SPA (Italie), SINTEF (Norvège), European Software Institute (Espagne) et Linköpings Universitet (Suède).