* Agence Wordpress Nice

***Web2007 est un bureau indépendant situé à Genève et a l'habitude de travailler pour des entreprises PARTOUT en France et en Europe

Agence Wordpress Nice

Article:

Pour décrypter le fonctionnement d'une boîte blanche, afin de s'assurer qu'elle est sûrement une boîte blanche, des tests structurels connus sous le nom « test par boîte blanche », de l'anglais : white-box testing (on trouve aussi les expressions anglaises glass-box testing ou encore clear-box testing) sont exigibles. En informatique, c'est un moyen de test logiciel visant à étudier un programme informatique dont on connaît exactement le fonctionnement interne. On peut utiliser le code source du programme.
Dans le secteur de la sécurité informatique, c'est le test d'intrusion ou de vulnérabilités. Cette méthode permet de trouver des erreurs subtiles qui sont difficiles à circonscrire avec des outils d'analyse automatique (tels que SPlint, Rats ou Flawfinder). On peut reprocher à cette méthode d'être coûteuse en temps car l'analyse manuelle est lente. En plus, dans le cas où l'on trouve une erreur, on ne sait que difficilement si elle sera exploitable en pratique.
Le test à données aléatoires1 (ou fuzzing) est un réel procédé pour tester des logiciels. Le concept est de diriger des données aléatoires dans les entrées d'un programme. Si le programme échoue (par exemple en plantant ou en générant une erreur), alors il y a des défauts à corriger. Le grand avantage du test à données aléatoires est que l'écriture de tests est extrêmement simple, ne demande aucune connaissance du fonctionnement du système et permet de trouver des vulnérabilités facilement. D'ailleurs, le test à données aléatoires est également utilisé pour traquer des failles de sécurité ou dans la rétro-ingénierie.
La première trace du test à données aléatoires constitue la publication datant du 12 décembre 1990 : « An EmpiricalStudy of the Reliability of UNIX Utilities » [1] écrite par Barton P. Miller, Lars Fredriksen, et Bryan So. Le résumé fait découvrir que durant les essais ils ont été rompus de faire planter « entre 25 et 33 % des programmes utilitaires de n'importe quelle version d'UNIX ». Le rapport présente les outils de test mais également l'origine des erreurs.
Le test à données aléatoires est tellement simple à employer et si efficace pour trouver des vulnérabilités que le chercheur en sécurité informatique Charlie Miller a refusé de dévoiler les vulnérabilités zeroday trouvées dans le code de logiciels célèbres (contrairement au règlement du concours de sécurité informatique Pwn2Own), afin de protester contre les éditeurs qui n'utilisent pas assez cette technique simple selon lui2.
Inversement au test à données aléatoires qui est une méthode de test par boîte noire, la méthode de test par boîte blanche examine un système dont on connaît parfaitement le fonctionnement.