Sécurité

Inscrivez-vous

Consulter le centre de compétences

La NSA liste le top 25 des erreurs de programmation ouvrant des failles de sécurité

Edition du 13/01/2009 - par Olivier Rafal

Ce sont des erreurs de programmation courantes, et elles ouvrent des failles de sécurité béantes dans les logiciels : la NSA (National security agency), agence fédérale américaine de sécurité, a mis en oeuvre un programme pour déterminer les 25 plus courantes. Ce top 25 se divise en trois catégories : les interactions non sécurisées entre composants (9 erreurs), une gestion hasardeuse des ressources (9 erreurs) et des défenses poreuses (7 erreurs). D'après les responsables du projet, deux seulement de ces erreurs ont provoqué en 2008 quelque 1,5 million de failles dans les sites Web, et se sont répercutées dans les PC visitant ces sites, les transformant en zombies.

Le projet, initié par la NSA et la division cyber-sécurité du ministère américain de la Sécurité intérieure, a vu la collaboration de plusieurs instituts (Sans, Mitre, Secunia...) et éditeurs (Microsoft, Oracle, RSA, Symantec...). Le chef du projet explique que si les débats ont été parfois chauds, il y a eu un consensus plutôt large pour établir ce top 25 des erreurs de programmation les plus courantes ouvrant des failles de sécurité.

Les agences fédérales américaines espèrent, en publiant la liste des erreurs et la façon de les empêcher, faire prendre conscience aux développeurs des conséquences en matière « de cyber-espionnage et de cyber-crime ». Car étonnamment, poursuit Bob Martin, du Mitre (organisme à but non lucratif travaillant à la sécurisation des systèmes gouvernementaux américains), « la plupart de ces erreurs ne sont pas bien connues des développeurs ; le moyen de les éviter peu enseigné par les écoles ; et leur présence rarement testée par les éditeurs de logiciels commerciaux ».

En savoir plus

- Le top 25 des erreurs de programmation les plus courantes ouvrant des failles de sécurité



1 commentaires postés	>> Tous les commentaires

L'ACTUALITÉ DU JOUR

Architecture logicielle Un cloud public pour le développement chez IBM

(18/03/2010 16:49) - Pour les départements informatiques, développer et tester sur une plate-forme « élastique (...)

Open source Microsoft ne fait toujours pas l'unanimité sur le salon Linux

(18/03/2010 13:08) - Dans une ambiance très potache, les membres du GCU ont gentiment chahuté Microsoft (...)

Bureautique Google simplifie la migration d'Exchange vers Apps

(18/03/2010 12:32) - Disponible gratuitement pour les entreprises qui s'inscrivent aux programmes Premier (...)

Stockage Une start-up migre les données stockées sur Centera

(18/03/2010 12:29) - Interlock Technology, jeune société américaine, offre un service d'évaluation des (...)

Progiciels Saas : attention aux engagements des prestataires

(18/03/2010 09:42) - Dans le Saas coexistent une relation visible et une relation plus cachée. Dans la (...)

Architecture logicielle Système-U repense ses processus métiers (MAJ)

(18/03/2010 09:42) - Quatrième distributeur alimentaire et généraliste français, Système U est une union (...)

LE TOP

L'actu. en images

ACTUELLEMENT SUR LE FIL

Failles de sécurité et bug pour les sites de la SNCF

(17/03/2010 16:54) - L'information a été relayée par le Canard Enchaîné et concerne les données non protégées (...)

Les serveurs virtualisés ne sont pas encore assez sécurisés selon le Gartner

(17/03/2010 11:09) - D'ici 2012, environ deux serveurs virtualisés sur trois seront moins sécurisés que (...)

Tribune de Jean-Marc Boursat, Devoteam : Cloud computing, attention à la sécurité

(10/03/2010 15:09) - Le cloud computing ou l'informatique dans les nuages est un concept porteur en 2010. (...)

EdenWall reçoit une aide pour développer son prochain firewall

(10/03/2010 10:05) - L'éditeur français de pare-feu EdenWall bénéficie d'un sérieux coup de pouce. Son (...)

DERNIER DOSSIER

Mix10 : Microsoft dévoile ses projets pour Silverlight et Windows Mobile 7

(16/03/2010)

Lors de la conférence MIX 2010(du 15 au 17 mars à Las Vegas), réunion traditionnelle de la communauté des développeurs Web de Microsoft, l'éditeur a révélé les détails concernant le développement d'applications pour son système d'exploitation Windows Phone 7, de sa plate-forme Silverlight qui arrive en version RC et enfin les premières infos sur IE9. (...)

Tous les dossiers

Service de recherche Prestataires IT

Obtenez gratuitement 3 à 5 devis rapidement pour votre projet Internet ou informatique.

Plus de 3800 prestataires Internet et informatique pour vous répondre.

>> Cliquez-ici

>> Voir des exemples

LMI VIDEOS et PODCASTS

Webcast Partenaire :
Fidéliser ses clients avec des applications web performantes
Inscrivez-vous pour participer au webcast vidéo

Webcast Partenaire :
Adapter votre infrastructure sécurité au cloud computing
Inscrivez-vous pour participer au nouveau webcast vidéo

Entretiens - Voir loin, réagir vite et être au plus près des métiers
Christian Grellier, DSI du promoteur Bouygues Immobilier, (...)

Reportages - Des serveurs green pour Rolandgarros.com
Plongée au coeur des économies d'énergie entreprises (...)

LMI recrute :
UN DEVELOPPEUR PHP/MYSQL

Consulter l'annonce

CONFERENCES

23/03/2010
CLOUD COMPUTING
De 8h30 - 14h00 à l'Automobile Club de France - Paris 8e

programme INSCRIVEZ-VOUS

TOUTES LES
CONFERENCES

PARTNER ZONE

LIVRES BLANCS

19 mars 2010 - SYBASE
Gestion de mobilité pour les nuls. Obtenez votre guide avec les compliments de Sybase
Dans ce guide informatif, vous allez découvrir pourquoi la gestion de la mobilité et de la sécurité est essentielle. De plus, nous allons présenter certaines (...)

19 mars 2010 - SYBASE

Guide du responsable informatique pour la gestion des périphériques personnels dans l'entreprise

16 mars 2010 - SYMANTEC

Analyse de Valeur D'affaires : Sauvegarde et Rétablissement

Tous les Livres Blancs

LIVRES BLANCS

19 mars 2010 - Gestion de mobilité pour les nuls. Obtenez votre guide avec les compliments de Sybase
Dans ce guide informatif, vous allez découvrir pourquoi la gestion de la mobilité et de la sécurité est essentielle. De plus, nous allons présenter certaines des meilleures solutions disponibles aujourd'hui. Obtenez votre guide maintenant.

Démo : Prise de contrôle à distance
Cliquez-ici pour découvrir la démonstration en ligne de la prise de Contrôle à distance Numara remote.

19 mars 2010 - Guide du responsable informatique pour la gestion des périphériques personnels dans l'entreprise
Vous ne pouvez pas l'éviter plus longtemps : une stratégie pour la gestion des périphériques mobiles personnels des employés. Apprenez à créer une entreprise mobile plus sécurisée et plus facile à gérer. Obtenez votre guide maintenant.

16 mars 2010 - Analyse de Valeur D'affaires : Sauvegarde et Rétablissement
Ce livre blanc passe en revue la Sauvegarde et le Rétablissement, qui sont essentiels pour protéger des données et préserver les affaires efficacement. Téléchargez ce livre blanc maintenant.

16 mars 2010 - Sécurité et Sauvegarde - la Solution
Préserver son environnement informatique des menaces, des catastrophes naturelles et des erreurs humaines même simples est un défi quotidien. Mais ne désespérez pas. Toutes les solutions dans ce livre blanc gratuitement.

16 mars 2010 - Rétablissement simple et rapide des applications critiques Microsoft
Comment gérer la croissance explosive des données. Ne désespérez pas, il y a une façon de rationaliser ce processus avec l'administration centralisée.
Toutes les informations dans ce livre blanc.

Tous les Livres Blancs

LeMondeInformatique.fr est un site
du groupe IT News Info,
certifié par l'OJD

Sécurité des systèmes d'information - Management des systèmes d'information - Actualité des grossistes informatiques - Actualité high tech et usage du numérique - Magazine pour homme

Copyright © LeMondeInformatique.fr 1997-2009
Toute reproduction ou représentation intégrale ou partielle, par quelque procédé que ce soit, des pages publiées sur ce site,
faite sans l'autorisation de l'éditeur ou du webmaster du site LeMondeInformatique.fr est illicite et constitue une contrefaçon.
IT News Info s'est engagé à respecter la confidentialité des données personnelles régies par la loi 78-17 du 6 janvier 1978.