ChooseYourBoss

Applications : introduisez de faux bugs, vous renforcerez la sécurité

Et si la cybersécurité consistait à faire sortir les pirates de leurs gonds ? Une équipe de chercheurs américains propose une technique inédite, décourager les hackers en les inondant de faux bugs non exploitables.

Les hackers profitent des bugs pour pirater les applications. Pour protéger leur travail, les développeurs passent leur temps à corriger ce type de failles. Dans une étude publiée le 2 août dernier, des chercheurs de l’université de New York (Etats-Unis) proposent une alternative. D’après eux, il suffirait de multiplier les faux bugs non exploitables.

Faire perdre leur temps aux hackers

L’idée consiste à faire perdre leur temps aux pirates. La phase de triage pour identifier les bugs exploitables leur prend énormément de temps. Par ennui, impatience ou manque de temps, ils finiraient par se décourager. Dans le secteur IT, les spécialistes en cybersécurité restent très pointilleux sur l’usage de leur temps. Tout ce qui tend à le gaspiller s’avère très dissuasif.

Résultat, l’idée des faux bugs a soulevé un réel intérêt. « Je pense que les gens aiment cet angle c’est-si-bête-que-ça-en-devient-intelligent. C’est vraiment contre intuitif, mais au final ça pourrait marcher », explique Dolan Gavitt, l’un des auteurs de l’étude, au site spécialisé Motherload. Reste à savoir comment automatiser le processus.

Impossible avec les applis open source

Les chercheurs proposent d’utiliser une extension d’un autre programme, conçu pour insérer des bugs dans des applications codées en C et C++. L’outil part du postulat que le pirate n’aura accès qu’au binaire de l’application qu’il veut attaquer. « Notre stratagème ne peut pas servir à protéger des applications open source », préviennent les chercheurs.

Les chercheurs l’ont testé sur le serveur web nginx et le codec flac. Dans le premier cas, ils ont injecté 864 bugs au total. Dans le deuxième cas, ils ont essayé avec 1 000 faux bugs. Pour l’heure, ces artifices s’appuient sur les outils de tri disponibles sur le marché. L’outil ne convient pas à tous les environnements, mais il possède un beau potentiel.

 

Martin Debrunne

Martin Debrunne

Lead Dev' @ChooseYourBoss

Découvre les offres d'emploi numériques qui matchent avec toi !

JE COMMENCE