L’outil d’analyse statique de code de GrammaTech supporte le code binaire sur les processeurs ARM

L’éditeur américain GrammaTech annonce que son outil d’analyse statique de code CodeSonar est désormais capable d’analyser le code binaire embarqué sur les architectures ARM (y compris le mode Thumb). ...Une première sur le marché, selon la société. Cette évolution de la technologie d’analyse de CodeSonar permet ainsi de balayer l’ensemble d’une application sur ARM, du logiciel applicatif jusqu’au firmware (au niveau du code machine) en passant par le middleware. Selon GrammaTech, cette approche permet de mieux juguler les cyberattaques dans le domaine de l’Internet des objets, où désormais plus de la moitié du code embarqué provient de sources diverses, commerciales ou open source sans garantie d’un niveau de sécurité élevé.

« L’augmentation de la proportion de logiciels issus de tierces parties au sein du code embarqué dans les applications de l’IoT réduit de plus en plus le degré de sécurité de celles-ci, car les équipes de développement ne maîtrisent pas complétement ces codes qu'elles n’ont pas écrits, commente Marc Brown, directeur des ventes de GrammaTech. Pourtant c’est dans l’interaction entre un code propriétaire et du code externe que se nichent les failles de sécurité les plus dangereuses. D’où l’intérêt de réaliser une analyse statique du code binaire et de découvrir des failles que l’on ne voit pas dans le code source, pour mieux vérifier l’ensemble de l'application. »

Concrètement, CodeSonar travaille sur les pilotes logiciels et leur interaction avec un système d’exploitation et/ou des bibliothèques logicielles en mode binaire ou mixte, en identifiant des failles au niveau du code source et/ou du binaire. Les données recueillies sont ensuite traduites de manière graphique afin que les développeurs visualisent les chemins de données qui amènent aux failles détectées, en particulier au niveau du flot fonctionnel.

Parallèlement, Grammatech annonce que son outil CodeSonar est désormais certifié par l’organisme allemand TÜV vis-à-vis des normes internationales de sûreté de fonctionnement ISO 26262 (automobile), CEI 61508 (médical) et EN 50128 (applications ferroviaires).