Sécurité du développement d'applications COBOL | Secure Code Warrior

Il semble presque comique qu'en 2019, nous devions parler de travailler avec un langage informatique inventé en 1959. De nos jours, peu de séminaires ou de conventions sont consacrés à l'art de refiler les machines à coudre Singer classiques ou de remplacer le carter d'huile d'une Chevrolet Parkwood ou d'une Triumph Herald. La plupart de ces outils vieillissants ont depuis longtemps été retirés du marché et remplacés par de nouveaux modèles plus efficaces. Pourtant, ici, dans un monde technologique censé être à la pointe de la technologie par rapport à d'autres secteurs, nous travaillons toujours avec des langages comme le COBOL, qui est sorti à peu près à la même époque.

Bien entendu, il y a de très bonnes raisons à cela. Le langage commun orienté vers les affaires (COBOL) a peut-être 60 ans, mais il a été si bien construit qu'il est toujours d'actualité et largement utilisé aujourd'hui.

Le COBOL a été créé comme un moyen relativement simple, utilisant un langage clair regroupé en phrases et syntaxes spécifiques, pour programmer des systèmes dorsaux afin d'effectuer des tâches mathématiques et des formules. Pourquoi existe-t-il encore aujourd'hui ? En d'autres termes, il fait très bien son travail. D'une certaine manière, il fait désormais partie de la structure informatique de nombreux systèmes centraux et principaux dans des secteurs aussi divers que le secteur financier et l'industrie manufacturière.

Des mises à jour progressives ont été apportées au COBOL au fil des ans, notamment en 2002, lorsqu'il a été transformé en langage orienté objet afin de rendre la programmation de nouvelles applications un peu plus fluide. Mais dans l'ensemble, COBOL reste aujourd'hui ce qu'il était à l'époque : un héros méconnu et un langage de programmation hors pair qui fonctionne en arrière-plan pour étayer de nombreuses applications modernes au niveau du mainframe.

Dans quelle mesure le COBOL est-il sécurisé ?

Malheureusement, il n'y avait pas beaucoup de considérations de sécurité lorsque COBOL a été créé pour la première fois. Par exemple, de nombreuses applications COBOL disposent d'un programme de mot de passe qui les protège, mais elles ne sont presque jamais renforcées contre des éléments tels que la protection contre la force brute pour empêcher le craquage. Ajoutez à cela le fait que de nombreux outils de sécurité modernes qui surveillent le trafic réseau ne savent pas comment gérer ou évaluer les fonctions exécutées dans des programmes écrits dans des langages professionnels tels que le COBOL, et vous êtes confronté à un réel problème sur le point de se produire. De nombreuses violations modernes ont été couronnées de succès en raison de l'absence de supervision de la sécurité des systèmes utilisant des langages informatiques classiques. En 2015, les données de plus de quatre millions d'employés fédéraux américains ont été exposées lorsque le Bureau de la gestion du personnel (OPM) a été piraté, avec la faute en revient à leur utilisation de COBOL, invoquant une incapacité à mettre en œuvre des mesures de sécurité modernes sur un système aussi archaïque.

Il y a des années, la sécurité était assurée par une armée de programmeurs qui connaissaient le COBOL et d'autres langages populaires de l'époque. Dans les années 1960, COBOL était comme Java ou .Net d'aujourd'hui, et ceux qui le connaissaient étaient les stars de leur département. En 2019, ces personnes ont probablement pris leur retraite depuis longtemps, même si ce n'est pas le cas des systèmes qu'elles protégeaient.

Élargir les lignes de défense de première ligne des COBOL

Un bon nombre de ces soi-disant barbes grises ont été ramenés dans leurs organisations en tant que sous-traitants pour défendre les mêmes ordinateurs centraux sur lesquels ils travaillaient auparavant. Dans bien des endroits, ils ont existé de manière un peu anormale : une cabale secrète de sorciers vieillissants dans un coin arrière du bureau, leur tenue étrange (cravates larges et costumes trois pièces) et leurs manières étrangement polies qui ne correspondaient pas vraiment à celles de tous les hipsters modernes arborant des jeans skinny et des brioches pour homme. Pourtant, ils étaient absolument nécessaires, car peu de programmeurs modernes créaient du code en COBOL et dans d'autres langages anciens. Malheureusement, même ces dernières sentinelles sorcières sont en train de disparaître pour finalement rendre l'âme et déménager à Boca Raton, où elles profitent d'une véritable retraite.

Il existe donc un besoin urgent de personnes qui comprennent les langues anciennes et les failles de sécurité qu'elles contiennent. Même si les jeunes ne savent pas comment écrire du code dans des langages classiques, ils devraient au moins comprendre leur fonctionnement et leurs vulnérabilités potentielles. Parce que si le développement du COBOL est resté relativement stable, les menaces qui pèsent sur les réseaux ont continué d'évoluer. Essayer d'utiliser d'anciennes techniques de cybersécurité programmées il y a soixante ans, comme l'application de mot de passe COBOL susmentionnée, pour défendre un ordinateur central contre des attaquants modernes revient à déployer une phalange de lanciers pour combattre un peloton de Space Marines. À moins d'un miracle hollywoodien, cela va mal se terminer pour les gars aux lances.

Qu'il soit ancien ou nouveau, il doit également être sécurisé.

C'est pourquoi nous croyons en l'importance d'un système de formation avancé qui couvre une large gamme de langages et de frameworks de programmation. Vous voyez, l'un des problèmes flagrants liés à de nombreuses options de formation à la sécurité est que les informations sont tout simplement trop génériques, ou pire encore, totalement hors de propos dans le travail quotidien du développeur qui y participe. Passer une demi-journée à découvrir les vulnérabilités qui ne concernent que Java n'aidera pas un développeur COBOL à renforcer son système, et cela ne fera que perpétuer l'idée que la « sécurité » est un exercice à cocher à oublier une fois le cours obligatoire terminé. J'ajouterais que former quelqu'un aux bogues de sécurité Java n'est pas toujours applicable à un développeur Java Spring. Le codage sécurisé est simplement différent dans chaque langue, même au niveau du framework.

Dans le cadre de notre mission visant à permettre à tous les développeurs de devenir des super-héros de la sécurité, nous n'oublierons pas un langage informatique valide qui est toujours utilisé dans certaines des installations les plus ciblées et les plus critiques au monde. En explorant notre plateforme, vous trouverez des défis pratiques et des formations modernes liés au COBOL, proposés ainsi que certains des outils de programmation les plus modernes disponibles aujourd'hui, tels que Golang de Google. Cette flexibilité garantit que la formation est adaptée à un individu et contextuelle, imitant son environnement de travail pour un engagement et une efficacité maximaux. Après tout, la mise en place d'une solide culture de la sécurité est primordiale dans la lutte contre les cybermenaces. La formation doit donc être pratique (et amusante, bien sûr !).

Nous voulons que notre secteur parvienne à un stade où peu importe que des menaces de sécurité soient proférées contre des systèmes utilisant des langages vieillissants ou contre les applications de mobilité les plus modernes. Nous voulons que chaque développeur dispose des meilleures informations sur ces vulnérabilités, sur les outils et les techniques utilisés par les attaquants pour les exploiter et sur la manière de les stopper. Nous ne céderons jamais et ne renoncerons jamais face aux menaces de cybersécurité. Quelle que soit la modernité ou l'ancienneté des menaces ou des vulnérabilités, vous pouvez toujours vous tourner vers Secure Code Warrior pour apprendre à les vaincre, à chaque fois.

PS : Vous pensez qu'un langage ancien échappe à la sensibilité à l'injection SQL ? Détrompez-vous. Voyez si vous pouvez localisez-en un et corrigez-en un en COBOL en ce moment.