Black Hat Europe 2009, Amsterdam. « Développer des logiciels sécurisés n’est pas une décision business raisonnable ».

Ce n’est pas nous qui le disons, mais Jon Miller & cie, venus présenter une taxinomie des méthodes d’analyse de code aux participants de la conférence Black Hat.

Pour étayer ses dires l’équipe propose une formule toute simple :

(ABC) = X

A est le nombre d’application développées par un éditeur particulier. B le pourcentage de chances qu’un exploit viable soit découvert dans l’une ou l’autre de ces applications. Et C le coût additionnel lié au développement d’un patch et à la perte de revenue éventuelle causée par ces défauts.

Selon l’équipe de Jon Miller, tant que X ne sera pas supérieur au coût supplémentaire induit par un véritable processus de Q/A sécurité, de formation des développeurs et d’audit de code, il sera plus logique pour un éditeur de publier des appliactions trouées. CQFD.

A chaque éditeur, bien entendu, de calculer son X !