Des sites universitaires sous Flash vulnérables ?

Par 05 juillet 2010
Mots-clés : Smart city

La faculté de Worcester révèle des défaillances sécuritaires pour les sites estudiantins utilisant le logiciel. Des conclusions qui prêtent à la discussion : la sécurité tient beaucoup à la vigilance de ses administrateurs.

Les sites des universités américaines utilisent en grande majorité des applications Flash. Or, selon la faculté de Worcester, celles-ci pêcheraient à assurer une bonne sécurité. Ce qui rend les sites vulnérables. Pour affirmer cela, une équipe de chercheurs de l'institution a utilisé l'outil SwfScan mis en place par Windows. Après avoir analysé près de deux cents cinquante sites universitaires, les chercheurs ont reconnu que seulement deux d'entre eux n'avaient témoigné d'aucune faiblesse. Tous les autres montraient en revanche au moins une défaillance et 20 % atteignaient un niveau de sécurité moyen où des informations personnelles étaient accessibles à des pirates informatiques. Plus important, six sites ont été déclarés à un niveau de vulnérabilité maximum.
Détourner les politiques de sécurité
"Le problème avec la sécurité des sites universitaires est que les enseignants et organisations étudiantes créent régulièrement des systèmes informatiques cachés – shadow system", affirme Joanne Kuzma, l'un des chercheurs. Un membre universitaire peut ainsi créer une application flash pour collecter diverses informations sur l'utilisateur avec un minimum de considération sécuritaire et détourner les politiques de sécurité interne. Ainsi, même si l'université a un noyau d'applications et des politiques de sécurité communes, ce système caché détériore la sécurité de l'ensemble. Autant de constatations que nuance Matthieu Hentzien, sales manager et consultant chez HSC : "On ne peut pas totalement incriminer Adobe pour ces défauts de sécurité". Et d'ajouter : "Celui-ci met régulièrement à jour des règles de conduite que les développeurs se doivent de respecter avant d'établir de nouvelles applications".
Consulter les best practices
Cela quelque soit le système utilisé : "avec l'entrée du logiciel gratuit HTML5 nous allons voir apparaître d'autres défaillances sécuritaires", poursuit le consultant. Aspect validé par les chercheurs, qui rappellent dans leur étude l'impossibilité de mettre au point des applications sûres à 100 %. Et qu'il revient aux responsables des sites de déployer les moyens visant à sécuriser les interfaces. Pour Matthieu Hentzien, la véracité des résultats de SWFScan doit elle aussi être prise avec des pincettes. Pour lui, cet outil ne peut pas remplacer le travail d'un spécialiste qui va revoir à la main les codes informatiques.

Mentions légales © L’Atelier BNP Paribas