C/C++ : des langages intrinsèquement peu sécurisés ?
Dans une étude sur la sécurité des principaux langages de développement, Veracode pointe du doigt les faiblesses de C et C++. Selon ce spécialiste américain du test logiciel, ces langages sont intrinsèquement peu surs. L'éditeur pointe notamment du doigt les risques que ces technologies peuvent engendrer en matière de Buffer Over Flow (qui se traduit littéralement par dépassement de mémoire tampon).
Principal point posant problème, C et C++ ne permettent pas de gérer le typage en tant qu'objet, et donc de l'associer à un espace de stockage bien défini. Ce qui au final rendrait la gestion de la mémoire moins efficace, et engendrerait par conséquent des risques plus importants sur le terrain du Buffer Over Flow. Dans son étude, Veracode note que ce problème occupe la deuxième et troisième place des erreurs les plus fréquentes dans les applications C/C++ - avec le Buffer Over Flow en tant que tel, et les erreurs de gestion de tampon (lire l'astuce sur C/C++ : Comment afficher les nombres de 1 à 1000 en C ou C++ sans boucle ni structure conditionnelle ?).
Du côté de PHP, le Cross-site scripting arrive sans surprise en tête des failles les plus fréquentes. Leur présence dans les applications est néanmoins en léger retrait comparé à l'édition précédente de l'étude. Quant aux vulnérabilités Java, Veracode note qu'"elles n'ont pas significativement évolué en un an, dans un sens comme dans l'autre", tout comme celles liées aux langages de l'infrasstructure .Net de Microsoft. Pour publier ces indicateurs, Veracode a analysé 22 430 versions d'applications entre janvier 2011 et juin 2012.
Source l'étude