Un outil libre pour tester la sécurité applicative

La start-up française Toucan System vient de publier, sous licence Apache 2.0, le code source d’un outil open source permettant de procéder à des tests amicaux d’exploitation de vulnérabilités sur les applications. 

Baptisé Pmcma - pour Post Memory Corruption Memory Analysis -, l’outil est présenté comme un débugger basé sur l’appel système ptrace utilisé pour suivre l’exécution d’un processus. L’outil permet de chercher et de tester des scénarios d’exploitation en examinant les bugs susceptibles de provoquer un accès invalide à des zones de mémoire.  Selon Jonathan Brossard, co-fondateur de Toucan System, «Pmcma est capable de déterminer si une écriture en mémoire peut être transformée en exécution de code arbitraire, c’est à dire en un exploit.»

Pmcma est disponible gratuitement sur le site pmcma.org, pour Linux et Android, avec des processeurs 32 et 64 bits. Des versions Mac OS X et BSD sont prévues pour la fin de l’année.