Les États-Unis encouragent l’utilisation de langages sécurisés comme Rust pour réduire les cyberattaques.

Les États-Unis encouragent l'utilisation de langages sécurisés comme Rust pour réduire les cyberattaques.
Share on Pinterest Share on LinkedIn

Le gouvernement américain appelle à abandonner C et C++ au profit de Rust et d’autres langages sécurisés. Le traitement vidéo, un secteur particulièrement vulnérable.

Le langage de programmation Rust se renforce en tant qu’alternative solide et sécurisée aux traditionnels C et C++ pour le développement de logiciels critiques. Cette initiative est soutenue par un récent rapport technique de l’Office National du Directeur de la Cybersécurité (ONDC) de la Maison Blanche, qui plaide pour une transition urgente vers des langages sécurisés en mémoire, dans le but de réduire la surface d’attaque du paysage numérique.

Intitulé Back to the Building Blocks: A Path Toward Secure and Measurable Software, le rapport souligne que nombre des vulnérabilités les plus graves des dernières décennies, comme Heartbleed (2014) ou BLASTPASS (2023), trouvent leur origine dans des erreurs de sécurité liées à la gestion de la mémoire, typiques des langages C et C++.

Rust, le nouvel étalon d’une programmation sécurisée

Rust se présente comme une solution de haut niveau, garantissant la sécurité au moment de la compilation, et évitant des erreurs telles que les débordements de tampon, l’utilisation de pointeurs non valides ou les conditions de course. Cette architecture robuste attire non seulement l’attention de la communauté technique, mais aussi des institutions gouvernementales souhaitant prévenir des attaques.

Selon Harry Coker, Directeur National de la Cybersécurité : « Nous avons la responsabilité de réduire la surface d’attaque dans le cyberespace, et cela implique d’adopter des langages de programmation sécurisés en mémoire. »

FFmpeg contre Rav1d : quand Rust défie les standards vidéo

Le dilemme entre performance et sécurité s’est récemment intensifié dans le domaine du traitement vidéo. FFmpeg, l’un des projets de logiciels libres les plus utilisés pour la codification et la décodification multimédia, a remis en question les incitations offertes par Prossimo, une initiative promouvant des projets en Rust, pour améliorer la performance de son nouveau décodeur AV1 "rav1d".

Rav1d est une réimplémentation sécurisée en Rust du décodeur "dav1d" en C. Bien que rav1d soit à peine 5 % plus lent, Prossimo a proposé une récompense de 20 000 dollars à celui qui réussira à réduire cet écart, ce qu’FFmpeg a interprété comme une critique indirecte.

La Maison Blanche soutient le changement

Cette discussion ne se limite pas aux développeurs, l’ONCD a placé cette problématique au cœur de la stratégie nationale de cybersécurité. Le rapport reconnait que C et C++ continueront d’être présents dans les systèmes hérités, mais préconise une approche hybride visant à migrer les bibliothèques critiques vers des langages sécurisés comme Rust.

L’administration Biden considère cette transition comme une étape cruciale pour réduire de nombreuses catégories d’erreurs. Des agences comme la CISA, la NSA et le FBI ont également publié des directives incitant les fabricants de logiciels à établir des "feuilles de route pour la sécurité en mémoire".

Au-delà du langage : matériel et méthodes formelles

Le rapport explore aussi des alternatives lorsqu’il n’est pas possible d’utiliser Rust ou d’autres langages, comme dans certains systèmes embarqués ou spatiaux, en se tournant vers des techniques comme du matériel avec protection de mémoire ou des méthodes formelles de vérification mathématique du code.

Métriques et évaluation de la qualité

Un autre axe du rapport est l’amélioration de la mesure objective de la qualité des logiciels. L’ONDC suggère de développer des métriques pour évaluer le risque associé à un composant logiciel, anticiper les vulnérabilités et guider les décisions d’achat ou d’investissement.

Actuellement, la plupart des organisations manquent d’outils pour s’assurer qu’une bibliothèque ou un produit numérique respecte des standards minimaux de cybersécurité, empêchant ainsi de garantir la qualité des logiciels acquis.

Une opportunité pour l’industrie

L’engagement gouvernemental envers Rust et une programmation sécurisée représente une occasion historique pour l’industrie logicielle. Des grandes entreprises aux projets open source, tous peuvent tirer parti de nouvelles exigences, d’incitations publiques et de la confiance du marché.

Comme le conclut le rapport : « Il n’existe pas de solution miracle en cybersécurité, mais le pouvoir réside dans l’alignement des ressources actuelles avec les aspirations de demain. »

via : La Maison Blanche

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

Le labyrinthe numérique européen : lorsque les réglementations deviennent un cauchemar pour les entreprises

Digital Realty renforce sa présence en Afrique avec un nouveau centre de données de 2 MW à Lagos

puces, politique et la bataille du 15 % qui redéfinit le tableau mondial

Meta inaugure à Kansas City un centre de données de 1 milliard de dollars et prépare la nouvelle génération optimisée pour l’IA

QNX lance QOS 8.0, le système d’exploitation qui promet de révolutionner la sécurité dans les systèmes embarqués critiques

Catalina : le système d’IA avec lequel Meta redéfinit l’infrastructure ouverte des centres de données