Il faut truffer une application de milliers de faux bogues pour en augmenter la sécurité
Suggèrent des chercheurs

Le , par Patrick Ruiz, Chroniqueur Actualités
L’introduction de faux bogues pour le renforcement de la sécurité d’une application ...
Dans l’actuelle industrie du logiciel, la sécurisation des applications passe par la recherche et l’élimination des bogues ou par l’introduction d’artifices destinés à rendre ces derniers plus difficiles à exploiter. Des chercheurs de l’université de New York ont décidé de procéder d’une tout autre manière. Ils ont une idée qui fait sens même si elle a l’air d’une blague : il suffit de truffer une application de milliers de faux bogues pour en augmenter la sécurité.

Dans le flux de travail du pirate informatique, la phase de tri (destinée à évaluer l’exploitabilité des bogues) s’en trouve donc considérablement rallongée. « L’espoir est que les attaquants s’ennuient, se sentent submergés ou manquent de temps ou de patience dans leur processus de recherche d’une véritable vulnérabilité », écrit Motherboard.

« On arrive ainsi à augmenter considérablement l’effort d’obtention d’un exploit fonctionnel puisqu’il est difficile pour les chercheurs de déterminer d’avance que les faux bogues ne sont pas fonctionnels », écrivent les chercheurs.

La manœuvre se justifie dans une industrie où les développeurs d’exploit sont rares et très pointilleux sur le temps qu’ils mettent à atteindre leurs objectifs. Aussi, tout moyen de le leur gaspiller est de nature à produire un fort effet dissuasif.


Les chercheurs proposent un outil d’automatisation du processus d’injection de bogues. Ce dernier est une extension d’un autre programme développé en interne pour l’insertion de bogues à des applications développées en faisant usage des langages C et C++. Grosso modo, leur système permet de mettre les attaquants sur des pistes non exploitables de dépassement de pile et de heap. La technique employée dans le développement de ce logiciel s’appuie sur l’hypothèse de départ que l’attaquant n’aura accès qu’au binaire de l’application pour laquelle il cherche à développer un exploit. « Cela veut dire que notre stratagème ne peut être utilisé pour la protection des applications open source », précisent-ils.


La non-exploitabilité des faux bogues constitue elle-même une question épineuse. En effet, en cherchant à confondre l’attaquant avec une panoplie de vulnérabilités non exploitables, on pourrait plutôt lui offrir un système entier sur un plateau en or. Dans tous les cas, les chercheurs reconnaissent que leur méthode est encore frappée par plusieurs limitations : manque de diversité des bogues à injecter, nécessité d’entrer en possession du code source de l’application à protéger, etc.

« Je pense néanmoins qu’il s’agit d’une approche qu’il vaut la peine d’explorer à fond, car elle pourrait s’avérer pratique dans certains environnements », rapporte Motherboard des propos d’un des chercheurs.

L’outil a fait l’objet de tests sur le serveur web nginx et le codec flac. Dans le premier cas, les chercheurs ont procédé à l’introduction d’un total de 864 bogues dont 54 de dépassement de pile (et 810 de débordement de heap). Pour ce qui est du codeur-décodeur, l’équipe de recherche a introduit 500 bogues de dépassement de pile et 500 de débordement de tas. Ces essais ont révélé une autre faiblesse de l’outil d’automatisation de l’équipe de recherche. Pour le moment, les bogues insérés s’appuient sur des techniques qui permettent aux outils de tri disponibles sur le marché de les classer comme exploitables.

Source : Motherboard

Et vous ?

Que pensez-vous de l'approche de ces chercheurs ?

Voir aussi :

Un bogue affectant Chrome et Firefox permet le spoofing de la barre d'adresse afin de faciliter des attaques d'hameçonnage

Facebook désigne un bogue comme responsable de l'enregistrement des vidéos non publiées sur sa plateforme et promet de les supprimer

Google dévoile un bogue dans Windows 10 que Microsoft a corrigé partiellement qui affecte Windows 10 Fall Creators Update

Les correctifs du bogue « Memory Leak » sur GNOME Shell sont disponibles et seront embarqués dans la version 3.28 de l'environnement de bureau

Android 8.0 Oreo : un bogue entraîne la consommation de données mobiles même en étant sous Wi-Fi, Google prépare un correctif


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de CaptainDangeax CaptainDangeax - Membre confirmé https://www.developpez.com
le 08/08/2018 à 10:14
Bahahaha, trop marrant. Rendre les applications closed source encore plus bugguées pour qu'elles soient plus difficiles à pirater et en même temps plus difficiles à tester, à maintenir et à intégrer . Et programmer proprement comme dans le monde opensource, vous y avez pensé ? Et dire que je me prends des votes négatifs pour cette contribution. Serais-je stigmatisé par une horde de mauvais programmeurs qui ne sont pas en vacances à la plage ?
Avatar de setni setni - Membre habitué https://www.developpez.com
le 08/08/2018 à 10:27
En fait, le débat est déjà clos

Dans l'industrie et autres grands comptes à la ramasse, les devs sont soumis à des budgets tellement serrés et ridicules par rapport aux besoins qu'ils n'ont pas d'autre choix que de construire des apps à moitier finies et complètement boggées.

Problem solved, next!
Avatar de Saverok Saverok - Expert éminent https://www.developpez.com
le 08/08/2018 à 12:31
Citation Envoyé par setni Voir le message
En fait, le débat est déjà clos

Dans l'industrie et autres grands comptes à la ramasse, les devs sont soumis à des budgets tellement serrés et ridicules par rapport aux besoins qu'ils n'ont pas d'autre choix que de construire des apps à moitier finies et complètement boggées.

Problem solved, next!
Sauf que les bugs ne sont pas maîtrisés et probablement exploitable.
Là, les chercheurs proposent de mettre en place des leurres ce qui est assez judicieux car très exploités dans l'armée depuis des siècles.

Lors de la seconde guerre mondiale, par exemple, les anglais avaient déployé au sol tout un tas de faux chars et avions gonflables pour tromper les bombardements allemands et ça a plutôt bien fonctionné.
Avatar de captaindidou captaindidou - Membre confirmé https://www.developpez.com
le 08/08/2018 à 15:08
C'est une idée originale mais si saugrenue.

Merci pour la maintenabilité !
Sans même parler de la robustesse. Et les soucis d'intégration ? : le bogue peut faire ricochet sur la vulnérabilité d'un composant logiciel client.

Vous en avez d'autres comme celle-là pour me faire passer une bonne soirée ?

Bref, je ne trouve pas cela bien sérieux.
Avatar de CaptainDangeax CaptainDangeax - Membre confirmé https://www.developpez.com
le 08/08/2018 à 15:59
Citation Envoyé par Saverok Voir le message
Sauf que les bugs ne sont pas maîtrisés et probablement exploitable.
Là, les chercheurs proposent de mettre en place des leurres ce qui est assez judicieux car très exploités dans l'armée depuis des siècles.

Lors de la seconde guerre mondiale, par exemple, les anglais avaient déployé au sol tout un tas de faux chars et avions gonflables pour tromper les bombardements allemands et ça a plutôt bien fonctionné.
Il faudrait voir à ne pas confondre des leurres qui ne peuvent en aucun cas remplacer ce qu'ils doivent remplacer, et des produits rendus sciemment défectueux, et vendus en plus.
Avatar de Saverok Saverok - Expert éminent https://www.developpez.com
le 08/08/2018 à 17:40
Citation Envoyé par CaptainDangeax Voir le message
Il faudrait voir à ne pas confondre des leurres qui ne peuvent en aucun cas remplacer ce qu'ils doivent remplacer, et des produits rendus sciemment défectueux, et vendus en plus.
L'étude n'a jamais indiqué qu'il fallait dégrader les fonctionnalités de l'appli et encore moins l'expérience utilisateur.
Il est question de tromper le reverse engineering avec des fausses pistes de bug.
Le terme de leurre n'est pas utilisé mais c'est bien de cela qu'il s'agit.

Ce qu'ils proposent est un peu la même chose que la compression du code JS pour la partie front des sites web.
Le but est de rendre le code illisible pour un humain et ainsi, limiter son exploitation frauduleuse.
Par contre, tout comme la compression JS, ça peut compliquer la maintenance.
Avatar de benftwc benftwc - Membre à l'essai https://www.developpez.com
le 09/08/2018 à 6:18
Citation Envoyé par captaindidou Voir le message
C'est une idée originale mais si saugrenue.

Merci pour la maintenabilité !
Sans même parler de la robustesse. Et les soucis d'intégration ? : le bogue peut faire ricochet sur la vulnérabilité d'un composant logiciel client.

Vous en avez d'autres comme celle-là pour me faire passer une bonne soirée ?

Bref, je ne trouve pas cela bien sérieux.
QUID d'intégrer la "bug-factory" dans un cycle de CI ? Lorsque c'est possible, bien sur. Mais cela permet de conserver un code source "clean", puis d'en produire une version sale/leurrée.
Avatar de arnaud33210 arnaud33210 - Candidat au Club https://www.developpez.com
le 09/08/2018 à 8:22
J'ai lu une énorme connerie dans les commentaires.

En je la minification n'est pas là pour rendre le code illisible mais pour optimiser le temps de chargement.
Il existe de nombreux outils pour deminifier un js.
Avatar de BufferBob BufferBob - Expert éminent https://www.developpez.com
le 09/08/2018 à 10:02
Citation Envoyé par Patrick Ruiz Voir le message
« Cela veut dire que notre stratagème ne peut être utilisé pour la protection des applications open source »
on dirait du storytelling pour geeks tellement c'est idiot, on nous dit en clair "ça sécurise un peu plus le binaire si personne a le code source" (sachant que la sécurité par l'opacité n'est pas valable)

est-ce que les entreprises vont mettre du pognon là dedans ? qui sait... on est plus à ça près m'est avis

reste que c'est un aveu assez clair nullité pour les développeurs concernés, et je rejoins CaptainDangeax là dessus (au moins sur le fond de sa remarque), d'un coté il y a les dev opensource qui font des efforts pour coder plus propre/plus safe, et de l'autre il y a le dev moyen à qui on demande de moins en moins de choses, qu'on paye de moins en moins cher, et qui ne verra pas arriver la brouette de l'automatisation

en gros non seulement on met la poussière sous le tapis, mais en plus on multiplie les tapis maintenant, super.

si à l'arrivée on se rendait compte que les leurres dans le binaire font de bons gadgets ce serait d'autant plus comique.
Avatar de Matthieu76 Matthieu76 - Membre éclairé https://www.developpez.com
le 09/08/2018 à 10:52
Encore une actualité Trolldi ?
Contacter le responsable de la rubrique Accueil