Le fuzzing peut être défini comme le test d'une application en injectant des données aléatoires ou malformées dans les entrées afin d'observer comment elle se comporte. Cette technique permet de mettre en lumière des bugs de sécurité à corriger.
Plusieurs experts en sécurité connus pour débusquer des vulnérabilités sont adeptes du fuzzing et souhaitent que cette pratique soit largement adoptée par les éditeurs dans le but qu'ils améliorent eux-mêmes la sécurité de leurs applications avant de les confier aux utilisateurs.
Mozilla et BlackBerry viennent d'annoncer un projet de collaboration autour du fuzzing et de l'outil automatisé de tests de sécurité Peach qui est proposé en open source. Il a été créé en 2004 par Michael Eddington de Déjà Vu Security et a connu depuis plusieurs évolutions.
Mozilla a déjà utilisé Peach pour identifier des problèmes avec des technologies HTML5, WebGL, Web Audio, les formats d'images, formats audio et vidéo, les polices de caractères ou encore WebRTC.
" Grâce à nos tests, nous avons identifié de manière proactive des problèmes qui ont pu être corrigés avant que cela ne représente un risque pour nos utilisateurs. Ce test s'est avéré très efficace et contribue à la sécurité des utilisateurs de Firefox et Firefox OS "
, écrit Mozilla.
De son côté, BlackBerry s'appuie sur des outils propriétaires et tiers de fuzzing. Il n'est pas explicitement fait mention de Peach. Ces outils sont utilisés à une large échelle au sein de l'entreprise et pas seulement pour les téléphones mobiles.
Avec le recours à Peach, les deux groupes vont développer et implémenter des outils avancés pour la détection de menaces. Ils partageront leurs résultats avec la communauté de la sécurité. L'un des buts affichés est de détecter les menaces pour les navigateurs Web avant qu'elles n'affectent les utilisateurs sur ordinateur et mobile.
Dans le même temps, et toujours en open source, Mozilla dévoile une plateforme pour tester la sécurité des applications Web. En cours de développement, elle a été baptisée Minion. Elle prône une approche différente pour les tests automatisés de sécurité Web.
Son but est de réduire la quantité de données retournées par les outils traditionnels afin de viser des résultats plus concrets et précis compréhensibles par tous les développeurs et pas uniquement les experts en sécurité informatique.
Des initiatives intéressantes et d'autant plus avec ce côté open source et une ouverture à la communauté de la sécurité.
