Ajouter à une liste de lectureToute personne s’intéressant à la sécurité informatique connaît les tests d’intrusion applicatifs (pentest) pour la recherche de failles. Quelques-uns connaissent la revue de code source orientée sécurité. En revanche, une très faible minorité veut en faire : lire du code toute la journée semble moins attractif que d’exploiter une injection SQL. Dans cet article, nous vous faisons découvrir (et aimer :) cette approche de la sécurité applicative.
1. Introduction
Bien que dans le préambule il soit question de tests d’intrusion, cet article n'oppose les « pentests » aux audits de code source. En effet, ce sont deux approches différentes d’une même problématique : la sécurité du logiciel, chacune ayant des avantages et des inconvénients. Dans cet article, nous traiterons de l’intérêt de cette approche par le code, pour ensuite discuter méthodologie avant de voir un cas concret d’analyse de code source et de découverte de vulnérabilités.
1.1. Qu’est-ce que la revue de code ?
La revue de code ou analyse statique de code source orientée sécurité est l’art de rechercher des vulnérabilités directement dans le code source d’une application. Pour être plus précis, il ne s’agit pas vraiment de rechercher des vulnérabilités, mais plutôt de vérifier l’absence de failles logicielles. En effet, on part des postulats suivants :
-le code de l’application a été correctement…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première