TRE vs Python : ton regex n'est pas à l'abri des attaques

Pourquoi ça devrait t'intéresser

Tu as une application qui laisse les utilisateurs entrer du texte à chercher ? Un formulaire de recherche avancée ? Une API publique ? Tu es exposé à une attaque ReDoS (Regular Expression Denial of Service).

L'idée : quelqu'un envoie un regex conçu pour exploiter l'algorithme de backtracking de Python, et boom, ton serveur tourne en boucle infinie. Pour 10 millions de caractères en entrée, c'est dix fois plus lent que sur du vrai contenu.

Comment TRE s'en sort mieux

TRE (Tre regexp engine) c'est une bibliothèque C ultra-fiable, utilisée par Redis et d'autres outils critiques. Elle n'a pas de backtracking — donc les attaques construites pour exploiter Python ne fonctionnent pas du tout.

Les chiffres : TRE traite un regex 'mauvais' sur 10 millions de caractères plus vite que Python re sur 1000 caractères. Et ça évolue linéairement, pas exponentiellement.

Le binding Python : comment l'utiliser

Simon Willison a demandé à Claude Code de créer un binding minimal en ctypes (zéro dépendances externes). C'est expérimental, mais ça marche : tu appelles TRE directement depuis Python.

Cas d'usage concrets :

• ▸Ton API accepte des patterns regex côté utilisateur → utilise TRE au lieu de re
• ▸Tu traites du texte massif → TRE sera plus stable
• ▸Tu veux dormir tranquille sans risquer une attaque ReDoS → c'est ici

Limitations

C'est un binding ctypes, donc moins fluide que des bibliothèques Python natives. Et TRE ne prend pas en charge 100% de la syntaxe regex Python (notamment les lookaheads, certains quantificateurs). À tester d'abord sur ton cas d'usage spécifique avant de passer en prod.