Microsoft lance deux nouveaux outils gratuits pour faciliter le développement de code sécurisé : BinScope et MiniFuzz

Afin d'aider à lutter contre les cybermenaces, toujours plus virulentes et sophistiquées, Microsoft lance deux nouveaux outils gratuits à destination des développeurs et testeurs (l’analyseur binaire « BinScope Binary Analyzer » et l’outil de tests aléatoires « MiniFuzz File Fuzzer ») pour faciliter le développement de code sécurisé et réduire la surface d’attaque des logiciels -par rapport aux attaques les plus courantes- dans le cadre de sa politique d' "informatique de confiance".

Ces outils ont été pensés comme une extension de la ligne déjà existante de solutions SDL et offrent davantage de possibilités lors de l’étape des tests et des vérifications au sein du processus SDL. Microsoft indique : "Les développeurs et les testeurs auront ainsi la possibilité de mieux identifier les risques de sécurité dans leur code avant de diffuser leurs applications ; les maitrises d’œuvre pourront mieux contrôler la sécurité de leurs solutions logicielles avant leur mise en production."

A propos de la méthodologie SDL

Depuis 2004, Microsoft a formalisé les meilleures pratiques de développement sécurisé de ses centres de développement au sein d’une méthodologie appelée SDL – Security Development LifeCycle – partagée gratuitement depuis 2008 avec l’ensemble de la communauté des développeurs. Microsoft a notamment réalisé un guide (Microsoft SDL Process Guidance), un modèle d’optimisation SDL (Microsoft SDL Optimization Model), mis en place un réseau de fournisseurs de services certifiés via le SDL Pro Network et mis à la disposition de tous un outil de modélisation des menaces (Microsoft SDL Threat Modeling Tool). Tous ces éléments, auxquels se sont ajoutés d’autres versions de programmes, d’outils, de conseils et de technologies SDL, ont permis aux développeurs et aux partenaires de mieux intégrer directement la sécurité et la confidentialité dans leurs logiciels, et d’apporter à leurs utilisateurs une informatique digne de confiance.

Microsoft incite les développeurs et les testeurs à télécharger et à évaluer l’ensemble des conseils et des outils disponibles et à intégrer les recommandations SDL dans le cycle de développement de leurs applications. Microsoft incite aussi les maitrises d’ouvrage à exiger de leurs fournisseurs de solutions logicielles et de leurs intégrateurs la mise en place d’une méthodologie de développement de code sécurisée telle que SDL. En effet, mettre en place une méthodologie bien gérée de sécurisation des logiciels représente un bon investissement et aide à réduire les coûts récurrents de maintenance liée à la sécurité, tout en apportant aux clients une sécurité renforcée (référence : « Return-on-Investment Evaluation of Structure Security » - ISec Partners). À mesure que les menaces évoluent, Microsoft continuera donc d’investir dans les mécanismes fondamentaux de la sécurité et de la confidentialité en développant des outils et des processus de développement innovants et en travaillant en étroite collaboration avec des partenaires afin de construire des logiciels mieux sécurisés pour améliorer la protection des utilisateurs.
La première de ces deux nouveautés, le MiniFuzz File Fuzzer, permet -selon son éditeur- "de réaliser facilement les tests aléatoires qui sont très vivement recommandés lors de la phase de test et de vérification du processus SDL. Il aidera les entreprises de toutes tailles à passer cette étape avec succès. Le BinScope Binary Analyzer effectue une analyse complète du code dans sa forme binaire afin de vérifier que tous les contrôles, les protections et des indicateurs de sécurité recommandés par SDL sont bien en place afin que l’application ne soit pas vulnérable aux erreurs de codage les plus courantes dans le domaine de la sécurité."

Il représente en outre une solution simple d’emploi et "personnalisable pour rechercher les comportements inattendus d’une application. Il automatise les tests de sécurité qui ont pour but d’envoyer au code de nombreux flux de données différents ; si l’application cesse de fonctionner à un instant donné, l’outil identifie les données ayant provoqué l’incident et permet ainsi d’analyser les risques potentiels de sécurité dans l’application."

BinScope Binary Analyzer, quant à lui, est "d’un usage obligatoire pour l’ensemble des développeurs et testeurs de Microsoft au sein de la phase de vérification, lors du développement des produits Microsoft."

Enfin, pour répondre aux demandes des clients, Microsoft complète ces outils par la publication d’un nouveau document SDL, « Manual Integration of the SDL Process Template ». Ce document guide les utilisateurs de Visual Studio Team System (VSTS) via un processus par étapes pour intégrer manuellement les principaux éléments du modèle SDL dans leurs projets VSTS existants. En publiant ce document, Microsoft permet aux développeurs d’intégrer plus facilement le modèle de processus SDL dans leurs projets, ce qui devrait faciliter l’adoption de SDL.

Téléchargement : Centre des outils SDL