Pour gérer vos consentements :

Toucan System pmcma déniche les bugs de sécurité sous Linux

Publié par La rédaction le | Mis à jour le

Avec pmcma, les développeurs Linux pourront faire rapidement le tri entre les bogues critiques à corriger rapidement, et ceux sans conséquences graves en terme de sécurité.

Toucan System est un spécialiste français de la sécurité informatique, qui propose aujourd'hui un nouvel outil open source permettant d'évaluer le niveau de sécurité de vos applications Linux.

Mettre à l'épreuve vos logiciels
Pmcma (Post Memory Corruption Memory Analysis) offre de déterminer si le plantage d'un logiciel peut mener à une corruption de la mémoire exploitable par un pirate afin de lancer du code arbitraire sur la machine de l'utilisateur (ce qui permettra d'en prendre le contrôle à distance).

« Pmcma est capable de déterminer si une écriture en mémoire peut être transformée en exécution de code arbitraire, c'est-à-dire en un exploit. L'outil est également capable de déterminer le type de faille déclenché, ainsi que la probabilité d'exploitation », explique Jonathan Brossard, chercheur en sécurité et cofondateur de Toucan System.

Corriger en priorité les failles réellement critiques
Certes, tous les bogues menant à un plantage de l'application se doivent d'être corrigés. Toutefois pmcma permettra de faire le tri entre ceux qui n'ont pas de grave impact en terme de sécurité et ceux qui peuvent être exploités aisément par un pirate.

« Cette innovation concerne à la fois les développeurs désireux de se concentrer sur les bugs les plus graves du point de vue de la sécurité, les hackers experts qui vont grâce à pmcma gagner un temps considérable en reverse engineering, mais aussi les utilisateurs finaux qui vont désormais pouvoir effectuer facilement de bien meilleurs rapports des bugs qu'ils rencontrent, et ainsi permettre aux développeurs de les corriger en un temps record », ajoute Nicolas Massaviol, directeur technique et cofondateur de Toucan System.

pmcma est accessible sous la licence open source Apache 2.0, à partir de cette page web. Il est actuellement réservé aux systèmes d'exploitation basés sur un noyau Linux. Des moutures Mac OS X et BSD de cet outil devraient toutefois voir le jour prochainement.

La rédaction vous recommande