RUBRIQUES
- Annuaires
- Comparer les prix
- Cours de Bourse
- Encyclopédie
- Fiches pratiques
- Guides d'achat
- Hotspot Wi-fi
- Lettres types
- Livres blancs
- Offres d'emploi
- Reprise d'entreprise
- Réseau professionnel
- Téléchargement
- Test ADSL
- Voeux professionnels
- RSS
- Newsletters
|
Sécurité
03/08/2007
Les failles Web, objet de toutes les préoccupations à la Black Hat
Comme à chaque édition, la Black Hat 2007 - qui se tient du 28 juillet au 6 août à Las Vegas aux Etats-Unis - a été l'occasion pour les experts en sécurité de lever le voile sur de nouveaux exploits. Une présentation était notamment annoncée sur une faille récemment découverte dans l'iPhone - permettant d'accéder aux applications et données stockées sur l'appareil depuis un point d'accés Wifi. Durant la semaine précédent l'événement, Apple s'était lancé dans une course contre la montre avec pour objectif d'apporter un correctif avant que la conférence n'ait lieu. Objectifs pour le groupe : éviter de voir l'un de ses produits phares pointé du doigt, et conserver sa crédibilité en matière de sécurité. Peine perdue. Certes, le constructeur est parvenu en début de semaine à publier un patch réglant le problème technique. Cependant, l'installation du correctif entraîne la suppression de l'ensemble des paramètres de personnalisation utilisateurs. Les ingénieurs d'Apple seraient allés au plus rapide, en optant pour une méthode radicale (la réinstallation des composants modifiés), et ce sans prendre sans doute le temps de réaliser les tests applicatifs qui s'imposent lors d'une telle opération. Parmi les autres exploits présentés à la Black Hat, le spécialiste de la sécurité informatique iSEC a notamment montré comment casser les logiciels Forensics, connus pour être utilisés par les agences américaines pour l'investigation. Cette technologie permet par exemple de parser des systèmes de fichiers, des bases de données ou des formats binaires. iSEC pointe notamment du doigt la faiblesse des tests logiciels mis en œuvre par les organisations utilisant cette solution en vue d'en éprouver la fiabilité.
Dévoilé à l'occasion de la conférence, le dernier rapport de l'éditeur de sécurité Cenzic met en valeur l'augmentation de la part des failles relatives aux plates-formes Web. Cenzic répertorie 1 484 nouvelles failles publiées au deuxième trimestre 2007. 72% d'entre elles relèveraient des technologies Web, soit une augmentation de 7% comparé à l'année précédente. Dans son rapport, la société indique que 60% des applications Web sont vulnérables aux attaques de cross site scripting, et 20% aux injonctions SQL. Les éditeurs ont profité de la Black Hat pour annoncer la disponibilité de nouveaux outils de sécurité. La fondation Mozilla a dévoilé une solution de détection de failles. Baptisée JavaScript fuzzer Mozilla, elle aurait permis de découvrir une dizaine de failles dans le navigateur Firefox. Comme son nom l'indique, cet outil, capable d'exécuter des millions de tests, est centré sur la technologie JavaScript. Pour compléter sa panoplie, Mozilla prévoit également de diffuser des fuzzer pour les protocoles HTTP et FTP.
Parmi les autres nouveautés de la Black Hat, une application Open Source de Core Security Technologies conçue pour protéger les applications Web écrites en PHP des attaques sous forme d'injonctions SQL. Enfin, SecureWorks a présenté deux nouveaux produits. L'un dessiné pour détecter les sites Web hébergeant des codes JavaScript malicieux. Le second constituant une aide au débogage du noyau Windows.
|
||||||||||||||||||||||||||||