L'ONCD fait valoir que les fabricants de technologies peuvent empêcher des catégories entières de vulnérabilités d'entrer dans l'écosystème numérique en adoptant des langages de programmation sans danger pour la mémoire. L'ONCD encourage également la communauté des chercheurs à se pencher sur le problème de la mesurabilité des logiciels afin de permettre le développement de meilleurs diagnostics mesurant la qualité de la cybersécurité.
Le rapport s'intitule “Back to the Building Blocks: A Path Toward Secure and Measurable Software.”
"En tant que nation, nous avons la capacité - et la responsabilité - de réduire la surface d'attaque dans le cyberespace et d'empêcher des catégories entières de bogues de sécurité d'entrer dans l'écosystème numérique, mais cela signifie que nous devons nous attaquer au problème difficile de l'adoption de langages de programmation sans danger pour la mémoire", a déclaré Harry Coker, directeur national du cyberespace. "Grâce au travail de l'équipe de l'ONCD et à l'excellente collaboration de la communauté technique et de nos partenaires des secteurs public et privé, le rapport publié aujourd'hui décrit les menaces et les possibilités qui s'offrent à nous alors que nous nous dirigeons vers un avenir où les logiciels seront sans danger pour la mémoire et sécurisés dès leur conception. Je me réjouis également que nous travaillions avec la communauté universitaire et que nous fassions appel à elle pour nous aider à résoudre un autre problème difficile : comment développer de meilleurs diagnostics pour mesurer la qualité de la cybersécurité ? Il est impératif de relever ces défis pour garantir la sécurité à long terme de notre écosystème numérique et protéger la sécurité de notre pays".
En adoptant une approche de l'élaboration des politiques axée sur l'ingénierie, l'ONCD veille à ce que l'expertise de la communauté technique se reflète dans la manière dont le gouvernement fédéral aborde ces problèmes. Les créateurs de logiciels et de matériel peuvent avoir un impact considérable sur la sécurité partagée de la nation en intégrant les résultats de la cybersécurité dans le processus de fabrication.
"Certains des événements cybernétiques les plus tristement célèbres de l'histoire - le ver Morris de 1988, le ver Slammer de 2003, la vulnérabilité Heartbleed de 2014, l'exploit Trident de 2016, l'exploit Blastpass de 2023 - ont été des cyberattaques qui ont fait la une des journaux et qui ont causé des dommages réels aux systèmes sur lesquels la société s'appuie chaque jour. Toutes ces attaques ont une cause fondamentale commune : les vulnérabilités de la sécurité de la mémoire. Depuis trente-cinq ans, les failles de sécurité de la mémoire sont un fléau pour l'écosystème numérique, mais il n'est pas nécessaire qu'il en soit ainsi", déclare Anjana Rajan, directrice nationale adjointe de la cybernétique pour la sécurité technologique. "Ce rapport a été créé par des ingénieurs pour des ingénieurs, car nous savons qu'ils peuvent prendre des décisions en matière d'architecture et de conception des composants qu'ils consomment, ce qui aura un effet considérable sur notre capacité à réduire la surface des menaces, à protéger l'écosystème numérique et, en fin de compte, la nation."
L'ONCD s'est engagé auprès d'un groupe diversifié de parties prenantes, les ralliant à l'effort de l'administration.
Conformément à deux thèmes majeurs de la stratégie nationale de cybersécurité du président publiée il y a près d'un an, le rapport publié marque une étape importante dans le transfert de la responsabilité de la cybersécurité des particuliers et des petites entreprises vers les grandes organisations, telles que les entreprises technologiques et le gouvernement fédéral, qui sont plus à même de gérer une menace en constante évolution. Ces travaux s'inscrivent également dans le prolongement des programmes "secure by design" et des efforts de recherche et de développement déployés par l'ensemble du gouvernement fédéral, notamment par la CISA, la NSA, le FBI et le NIST, et s'appuient sur eux.
Les travaux sur la sécurité des mémoires présentés dans le rapport complètent l'intérêt du Congrès pour ce sujet. Il s'agit notamment des efforts des commissions des crédits du Sénat et de la Chambre des représentants des États-Unis, qui ont inclus dans la législation sur les crédits de l'exercice fiscal 2023 un libellé de rapport directif exigeant un exposé de l'ONCD sur cette question. En outre, le président de la commission sénatoriale de la sécurité intérieure et des affaires gouvernementales, Gary Peters (D-MI), et le sénateur Ron Wyden (D-OR) ont fait part à l'ONCD de leurs efforts législatifs en matière de sécurité de la mémoire.
Lire le rapport complet : Retour aux éléments de base : un chemin vers des logiciels sûrs et mesurables, un rapport de la Maison Blanche sur la sécurité de la mémoire et sur la qualité de la cybersécurité
Source : Communiqué de presse de la Maison Blanche
Et vous ?
Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?
Voir aussi :
Les Agences des Five Eyes insistent pour que les organisations abandonnent C++ pour le langage Rust, qui « offre de meilleures garanties de sécurisation des plages mémoire des logiciels »
Il est urgent de renforcer la sécurité de la mémoire dans les produits logiciels, selon la CISA. L'utilisation d'un langage de programmation à sécurité mémoire comme Rust serait une solution
La NSA exhorte les organisations à passer à des langages de programmation sécurisés dans la gestion de la mémoire pour éliminer un vecteur d'attaque souvent exploité par les cybercriminels