Tout à commencé il y a 4 mois, avec la découverte d'une faille touchant snmp, un protocole d'administration de réseau indispensable au monde IP : l'université finlandaise de Oulu venait probablement de soulever l'un des plus gros « lièvres » en matière de sécurité, si gros qu'il méritait les honneurs d'une alerte du Cert et les émois de toute la presse spécialisée. Il faut dire que bon nombre d'équipementiers et éditeurs de gestionnaires de réseau exploitaient le même thésaurus de développement et se trouvaient ainsi frappé d'une gangrène longtemps insoupçonnée.


Mais l'histoire ne s'arrête pas là. En « creusant » plus avant, les experts nordiques ont mis le doigt sur l'origine du bug, un défaut encore plus profond frappant le langage (métalangage descriptif) ASN.1 -Abstract Syntax Notation One-, ou plus exactement la méthode d'intégration dudit idiome. Autrement dit, bien des compilateurs du langage en question sont potentiellement défaillants. Si c'est précisément sur ASN.1 que repose le fameux snmp « malade », il n'est pas difficile de deviner que c'est ce même ASN.1 qui est utilisé au sein d'autres protocoles, qu'il faudra légitimement soupçonner.


Faut-il paniquer ? Cette fois, oui. On parle de Kerberos, X509, SSL... les colosses de la sécurité auraient la cheville argileuse et le bouclier parkinsonien. Pour quelle raison ? Parce que la complexité même d'ASN.1 et les impératifs de rendement incitent les programmeurs et concepteurs à « réutiliser » des bibliothèques déjà conçues. Il n'est pas nécessaire de toujours réinventer la roue. Et quand bien même les développements demeureraient originaux que l'erreur fatale serait insidieusement présente, instillée par un compilateur lui-même frappé de cette peste. La faille de tampon est la plus belle illustration de la notion d'héritage dans la programmation à objets.


Kerberos, X509... Des cibles pareilles ont de quoi réveiller un mort et susciter des vocations chez les héritiers du groupe Vlad. Si l'on ajoute à tout çà les temps de réaction -de non réaction parfois- des usagers face aux publications de correctifs et rustines, on peut estimer, sans jouer les Cassandre, que nos réseaux n'y échapperont pas : cet automne prochain, le dépassement de tampon ASN se portera haut et les IDS auront du pain sur la planche. Déjà, le Président Bush a été alerté de la gravité de la situation, précise Kevin Poulsen au fil d'un édito très complet. Voilà qui va nous changer d'Al Quaida. Le Wall Street Journal, ces temps ci plus préoccupé par les conséquences de l'affaire Enron et les enquêtes de la SEC, va même jusqu'à consacre une page entière au problème. Les ténors de la sécurité prennent chacun position, condamnant en général la « légèreté » des développeurs et l'absence de processus normé liant sécurité et suivi de projet de développement. Les bibliothèques de fonctions « libres de droits » en prennent pour leur grade, malgré les demi-tons d'usage dictés par l'actuel climat d'anti-microsoftisation. Qu'il est simple de condamner après coup. Qu'il est déjà difficile, et ce quelque soit la sophistication des programmes de gestion de « versionning », de fondre un logiciel sans « bug » de fonctionnement ou incompatibilité d'humeur avec d'autres exécutables. Qu'il semble impossible de fouiller le code, de soupçonner jusqu'à la racine des outils le détail qui réduira à néant des années-homme d'efforts.

. Web-profils.com, la place de marché du conseil et de l'ingénierie