En sécurité, rien ne remplace le regard extérieur

Naxsi NBS System

Expertise

NBS System fait auditer Naxsi

Nous ne le répéterons jamais trop : « Rien ne remplace un regard extérieur pour évaluer sa sécurité » .
Cette vérité, nous nous la sommes appliquée à nous-même une nouvelle fois, récemment avec l’audit de NAXSI, notre WAF libre et open source.

Il y a plus de 5 ans, NBS System publiait NAXSI sous licence libre et open source. Notre volonté première était bien sûr de faire profiter le plus grand nombre d’une sécurité renforcée pour les applications web.
Mais nous avions un autre motif : améliorer la robustesse et la sécurité de cette application qui joue un rôle clé dans la protection de nos clients CerberHost.

En effet, le modèle open source permet à quiconque s’y intéresse de vérifier lui-même la qualité du code. Au fil des années, nous avons ainsi pu incorporer dans Naxsi de nombreuses contributions issues des soumissions de nos utilisateurs sur github.
Cependant, lorsque nous avons souhaité passer NAXSI d’une version bêta à sa version 1.0, nous avons souhaité suivre nos propres conseils et engager une société externe, Synactiv, pour nous donner un nouveau regard extérieur.

En effet, l’écriture de logiciel, tout comme l’écriture en général, est toujours susceptible de produire des erreurs. Et tout comme il est plus facile de détecter les fautes dans les textes des autres que dans les siens, il est souvent plus facile de repérer des bugs dans les codes écrits par d’autres que dans le sien.
Comment dans ces conditions assurer une sécurité optimale ? C’est très simple : 1) par la prise en compte et la correction, aussi rapidement que possible, de toute anomalie signalée et 2) par une transparence totale au sujet de ces processus de vérification.
C’est dans cet esprit que nous avons autorisé Synactiv, qui nous en avait fait la demande, de diffuser un descriptif complet des anomalies que leurs consultants ont pu détecter.

Autre conseil que nous nous appliquons : rédiger systématiquement un test de non-régression afin de s’assurer que les futurs versions ne reproduiront pas ce bug.

A la manière des fautes de grammaire, une vulnérabilité prend bien souvent, une fois trouvée, une apparence triviale. « on aurait dû le voir ». Cette apparence est trompeuse.

Ainsi, si vous ne voyez aucun problème dans votre code, n’allez pas conclure à sa perfection. Soumettez-le plutôt sans relâche à des regards extérieurs. Croyez-nous, ils sont bons à prendre.