* Agence Drupal Nice

***Web2007 est un bureau indépendant situé à Genève et a l'habitude de travailler pour des entreprises PARTOUT en France et en Europe

Agence Drupal Nice

Article:

Pour interpréter le fonctionnement d'une boîte blanche, afin de s'assurer qu'elle est sans faille une boîte blanche, il convient de faire à des tests structurels connus sous le nom « test par boîte blanche », de l'anglais : white-box testing (on trouve aussi les expressions anglaises glass-box testing ou encore clear-box testing). Dans le domaine de l'informatique, il s'agit d'une méthode de test logiciel visant à expliquer un programme informatique dont on connaît exactement le fonctionnement interne. On peut corroder le code source du programme.
Dans le domaine particulier de la sécurité informatique, c'est un test d'intrusion ou de vulnérabilités dont le devoir est de distinguer des erreurs subtiles qu'il est difficile de limiter avec des outils d'analyse automatique (tels que SPlint, Rats ou Flawfinder). Le seul reproche à cette méthode est qu'elle est coûteuse en temps car l'analyse manuelle est lente. De plus, dans le cas où l'on trouve une erreur, on ne sait que difficilement si elle sera exploitable en pratique.
Encore désigné fuzzing, le test à données aléatoires1 est une manière d'essayer des logiciels. L'intérêt est d'injecter des données aléatoires dans les entrées d'un programme. Si le programme échoue (par exemple en plantant ou en générant une erreur), alors il y a des défauts à corriger. Le grand privilège du test à données aléatoires est que l'écriture de tests est extrêmement simple, ne requiert aucune connaissance du fonctionnement du système et permet de trouver des vulnérabilités facilement. Par ailleurs, on utilise le test à données aléatoires pour traquer des failles de sécurité ou dans la rétro-ingénierie.
La première trace du test à données aléatoires est à vrai dire la publication datant du 12 décembre 1990 : « An EmpiricalStudy of the Reliability of UNIX Utilities » [1] écrite par Barton P. Miller, Lars Fredriksen, et Bryan So. Le condensé laisse entrevoir que durant les essais ils ont été capables de faire planter « entre 25 et 33 % des programmes utilitaires de n'importe quelle version d'UNIX ». Le rapport présente les outils de test mais également l'origine des erreurs.
Le test à données aléatoires est un procédé simple et efficace pour discerner des vulnérabilités que le chercheur en sécurité informatique Charlie Miller a refusé de dévoiler les vulnérabilités zeroday trouvées dans le code de logiciels célèbres (contrairement au règlement du concours de sécurité informatique Pwn2Own), afin de protester contre les éditeurs qui n'utilisent pas assez cette technique simple selon lui2.
Par rapport au test à données aléatoires qui est une méthode de test par boîte noire, la méthode de test par boîte blanche parcourt un système dont on connaît exactement le fonctionnement.