Les fonctionnaires de l’Etat de New York semblent avoir apprécié la lecture du dernier document du Sans. Au début de cette semaine, les labos de Raleigh avaient en effet publié les résultats d’une étude approfondie dressant une liste des « 25 erreurs de programmation à ne plus commettre à l’avenir ». Si ces erreurs sont parfaitement connues, elles devraient pouvoir être évitées, pensent lesdits fonctionnaires. Ils envisagent alors d’utiliser ce document comme référentiel, intégré dans tout nouveau contrat de développement ou de sous-traitance informatique passé avec l’Etat. C’était simple, il suffisait d’y penser, nous apprend Security News. En précisant par contrat qu’il ne doit plus y avoir de risque de cross site scripting ou de possibilités de buffer overflow, les logiciels seront bien plus sûrs, car « coded security in mind ».
On ne peut que s’incliner devant la toute puissance imaginative de l’Amérique. Car qui, avant eux, aurait eu l’idée d’écarter tout risque d’erreur de programmation en ajoutant un simple avenant dans les contrats de service? C’est en précisant les choses, en les formulant qu’on évite tout malentendu. D’ailleurs, ne demande-t-on pas aux voyageurs traversant l’Atlantique de signer, sur l’honneur, un formulaire les engageant à n’avoir jamais été membre du parti Communiste ou Nazi, ou de n’échafauder aucun plan machiavélique dans le but d’attenter au Président des Etats-Unis ? Ainsi, engagé moralement par sa propre signature, le touriste passant devant la Maison Blanche sortira plus volontiers son Nikon Coolpix que son canon portatif de 105 sans recul. Tout comme le programmeur, qui hésitera à outrepasser la vérification des champs de saisie ou à faire fi des mécanismes de protection mémoire tels que DEP et ASLR. On sous-estime souvent la puissance pacificatrice d’un bon contrat soutenu par une horde d’avocats prêts à en découdre. Le codex l’emporte sur le debugger et la méthode de développement structurée.
Ce genre de bonne résolution, toutefois, risque fort de ne pas dépasser les frontières de l’Etat de New York. Car, si d’autres Etats, si le Gouvernement Fédéral, pire encore, si toutes les Administrations du monde Occidental Civilisé venaient à avoir la même idée, l’industrie informatique de ce même monde civilisé pourrait bien en vaciller sur ses bases, pour enfin s’écrouler. Il faut savoir que la collégiale chargée d’établir ces règles du « secure coding » susmentionnées compte des gourous sécurité émargeant chez Microsoft, Oracle, Apple, Red Hat… Et qu’adviendra-t-il lorsque l’Etat de New York ou lorsque leurs émules invoqueront ces nouvelles règles lors du renouvellement des licences des systèmes d’exploitation, outils bureautiques ou SGBD ? Pour que le monde logiciel puisse survivre aux impacts dévastateurs de cette « bug free software assurance », il faudrait lui adjoindre un addendum exonérant de toute obligation les entreprises ayant participé à la rédaction de ces bonnes pratiques. Une sorte de témoignage de reconnaissance pour services rendus à la cause du développement.
