* Agence Typo3 Nice
***Web2007 est un bureau indépendant situé à Genève et a l'habitude de travailler pour des entreprises PARTOUT en France et en Europe
Agence Typo3 Nice
Article:
Pour concevoir la progression d'une boîte blanche, afin de s'assurer qu'elle est sans doute une boîte blanche, il est convenable de procéder à des tests structurels connus sous le nom « test par boîte blanche », de l'anglais : white-box testing (on trouve aussi les expressions anglaises glass-box testing ou encore clear-box testing). En informatique, c'est une méthode de test logiciel intéressant l'analyse d'un programme informatique dont on connaît exactement le fonctionnement interne. On peut utiliser le code source du programme. En matière de la sécurité informatique, on parle de test d'intrusion ou de vulnérabilités. Cette méthode permet de trouver des erreurs subtiles qu'il est difficile de localiser avec des outils d'analyse automatique (tels que SPlint, Rats ou Flawfinder). On peut reprocher à cette méthode d'être coûteuse en temps car l'analyse manuelle est lente. De plus, dans le cas où l'on trouve une erreur, on ne sait que difficilement si elle sera exploitable en pratique. Le test à données aléatoires1 (ou fuzzing) est une technique pour tester des logiciels. l'idée est de diriger des données aléatoires dans les entrées d'un programme. Au cas où le programme rate (par exemple en plantant ou en générant une erreur), alors il y a des défauts à corriger. Le grand avantage du test à données aléatoires est que l'écriture de tests est extrêmement simple, ne demande aucune connaissance du fonctionnement du système et permet de trouver des vulnérabilités facilement. Du reste, le test à données aléatoires permet également de traquer des failles de sécurité ou dans la rétro-ingénierie. La première trace du test à données aléatoires est la publication datant du 12 décembre 1990 : « An EmpiricalStudy of the Reliability of UNIX Utilities » [1] écrite par Barton P. Miller, Lars Fredriksen, et Bryan So. Le résumé indique que durant les essais ils ont été à mesure de faire planter « entre 25 et 33 % des programmes utilitaires de n'importe quelle version d'UNIX ». Le rapport propose les outils de test mais également l'origine des erreurs. Le test à données aléatoires permet de localiser efficacement des vulnérabilités que le chercheur en sécurité informatique Charlie Miller a refusé de divulguer les vulnérabilités zeroday trouvées dans le code de logiciels célèbres (contrairement au règlement du concours de sécurité informatique Pwn2Own), afin de protester contre les éditeurs qui n'utilisent pas assez cette technique simple selon lui2. Inversement au test à données aléatoires qui est une méthode de test par boîte noire, la méthode de test par boîte blanche explique un système dont on connaît absolument le fonctionnement.