Mardi 4 mai 2010
Article croisé sur le blog Google concernant la sécurité en ligne
Nous souhaitons que les Googleurs comprennent bien les menaces qui pèsent sur nos services, et qu'ils savent comment s'en protéger. Nous poursuivons cet objectif de différentes manières, y compris via des formations sur la sécurité destinées aux nouveaux ingénieurs, des présentations techniques sur la sécurité et d'autres types de documents. Nous utilisons également des ateliers de programmation, qui sont des tutoriels de programmation interactifs dont le but est d'expliquer aux participants des tâches de programmation spécifiques.
Un atelier de programmation en particulier enseigne aux développeurs les types courants de failles que l'on peut trouver dans les applications Web. C'est en pensant comme un hacker que l'on parvient à identifier un hacker. C'est pourquoi cet atelier de programmation démontre également comment un pirate informatique peut exploiter ces vulnérabilités.
Nous lançons aujourd'hui cet atelier de programmation, intitulé "Web Application Exploits and Defenses" (Exploits d'applications Web et mécanismes de défense), en collaboration avec la Google Code University et Google Labs. L'objectif est d'aider les développeurs de logiciels à mieux identifier, corriger et éviter les failles similaires dans leurs propres applications. Cet atelier de programmation s'articule autour de Gruyere, une petite application de microblogs complète, conçue pour contenir un grand nombre de bugs de sécurité. Les failles couvertes par cet atelier comprennent les scripts intersites (XSS), la falsification des requêtes intersites (XSRF) et l'inclusion de scripts intersites (XSSI), ainsi que la manipulation des états client, le balayage de chemin, les vulnérabilités AJAX et les failles de configuration. Cet atelier montre également comment des bugs simples peuvent entraîner la divulgation d'informations, le déni de service et l'exécution de code à distance.
La loi de Linus qui dit qu'"avec suffisamment d'yeux, les bugs sont minimisés" n'est vraie que si tous ces yeux savent quoi chercher. C'est pourquoi les bugs de sécurité dans Gruyere sont de vrais bugs, tout comme ceux de nombreuses autres applications. Le code source de Gruyere est publié sous une licence Creative Commons et peut être utilisé dans le cadre d'exercices de piratage par boîte blanche ou dans des cours d'informatique couvrant la sécurité, l'ingénierie logicielle ou le développement de logiciels en général.
Pour commencer, accédez à https://google-gruyere.appspot.com/. Un guide du formateur sur l'utilisation de cet atelier de programmation est désormais disponible sur le site de la Google Code University.