Les experts en sécurité mettent en garde contre les risques de Google Code Search

Les experts en sécurité préviennent les développeurs et les utilisateurs de logiciels ‘open source’ qu’ils doivent être conscients du fait que le nouvel outil de recherche de Google pour programmeurs constitue une nouvelle opportunité pour les pirates de dépister les failles des logiciels.

Avec le moteur ordinaire de l’entreprise, il est certes aussi possible d’effectuer des recherches dans le code source, mais sa fonctionnalité se limite à localiser des fragments de texte spécifiques. Google Code Search permet, lui, de rechercher de manière nettement plus ciblée du code potentiellement vulnérable en utilisant des expressions régulières, un formalisme de description des modèles de texte. Chris Wysopal, du spécialiste de la sécurité Veracode, évoque l’ouverture d’un nouveau front d’attaque visant entre autres les sites web utilisant du code ‘open source’. Il s’agit là d’un nouvel exemple de la façon dont Google peut être abusé: précédemment, il était déjà clair que les pirates utilisaient le moteur de recherche pour trouver par exemple des applications serveurs potentiellement vulnérables et piller les bases de données.Selon Johnny Long, expert dans le domaine du piratage via Google, les programmeurs doivent être davantage conscientisés de ce que sont les techniques de programmation sûres et de ce qui doit être de préférence évité. Ils doivent par exemple se limiter à utiliser des librairies analysées et considéres comme sûres. Il reconnaît que les pirates auront probablement l’avantage pendant un certain temps, avant que les communautés de développeurs prennent conscience des implications des compilations de codes sources explorables. “Les programmeurs doivent résister à la tentation d’essayer de protéger leur code du moteur de recherche”, affirme Long en évoquant ainsi la possibilité de verrouiller le code vis-à-vis de Google Code Search via le petit fichier robots.txt.