Fuzzing : une méthode efficace pour identifier les bugs

Le fuzzing est un procédé de vérification de failles qui consiste à introduire des données aléatoires dans les entrées d’un programme. Au cas où le programme ne fonctionne pas, ou plante ou génère des erreurs, c’est qu’il comporte un certain nombre de failles qui nécessitent d’être corrigées.

Cette opération nécessite l’intervention d’un programme appelé « fuzzer » pour se charger de l’envoi de codes aléatoires au logiciel que l’on souhaite mettre à l’épreuve. Le code aléatoire injecté à l’entrée d’un programme peut être composé de caractères spéciaux, des donnés longues et complexes ou encore d’une partie de code générateur de bugs pour provoquer des erreurs au niveau du logiciel ou programme testé, et localiser les failles.

Le fuzzing est normalement utilisé pour tester des logiciels avant leur commercialisation ou localiser des failles de sécurité d’un système, mais il peut également être utilisé par des pirates informatiques pour découvrir et exploiter des failles au niveau des navigateurs web.

Le fuzzing : une arme à double tranchant

Si d’un côté le fuzzing contribue au renforcement de la sécurisation d’un système informatique, de l’autre côté, il constitue également une arme permettant à des pirates informatiques d’exploiter les vulnérabilités d’un système en concevant des codes d’exploitation avant la mise à disposition de correctifs par l’éditeur (c’est ce qu’on appelle généralement « faille zéro day » ou découverte de l’existence d’une faille par un hacker avant la date de publication officielle des correctifs par l’éditeur concerné).Le fuzzing est une opération qui requiert une connaissance informatique très avancée et est plutôt réservée aux développeurs.

Si vous avez été victime d’une attaque informatique résultant de l’exploitation d’un bug par des pirates informatiques ou si vous voulez chercher des moyens efficaces pour sécuriser durablement votre système informatique, vous pouvez faire appel à l’agence Anti Cybercriminalité.