Zscaler révèle l`existence de failles de sécurité au sein de

 Communiqué de presse
Zscaler révèle l’existence de failles de sécurité
au sein de l’application mobile ESPN,
Entertainment Sport Programming Network
Paris, le 29 janvier 2013 – Zscaler, leader des services de sécurité et de contrôle du trafic Web en
mode SaaS (« Security as a Service ») ou « in-the-cloud », annonce que ESPN ScoreCenter,
application mobile, de renommée mondiale, dédiée au sport possède des failles sérieuses en
matières de sécurité qui peuvent compromettre l’appareil mobile, incluant une menace de vol de
données. Ces défauts ont été découverts en utilisant l’application ZAP de Zscaler (Zscaler
Application Profiler), outil online gratuit permettant d’évaluer les risques sécuritaires liés aux
applications mobiles.
ESPN recherche actuellement une solution à ces malveillances.
Ce problème du manque de sécurité lié à l’application ESPN ScoreCenter montre que ces failles prolifèrent
sur les applications mobiles et que les mesures de sécurité les plus basiques sont souvent négligées dans la
procédure de développement.
« Il est important de savoir que la plupart des applications mobiles ne sont pas des applications natives. Ce
sont essentiellement des pages Web affichées dans le WebView control, ou simplement un contenu Web
mixé avec des contrôles natifs » explique Michael Sutton, vice-président de la recherche sur la sécurité chez
Zscaler. « Les vulnérabilités les plus communes des applications Web peuvent également exister dans les
applications mobiles. Les utilisateurs devraient être méfiants face à de telles menaces, souvent cachées
dans les applications mobiles. En effet, les applications ne possèdent pas le même indicateur annonçant
que les données ont été envoyées de manière sécurisée » ajoute-t-il.
D’une part, en affichant un contenu Web basique, sans nettoyer correctement les données entrantes des
utilisateurs, ESPN SportsCenter génère une vulnérabilité de type XSS (cross-site scripting). En
conséquence, le contenu actif de type Java peut être injecté dans l’application. D’autre part, ESPN
ScoreCenter délivre les identifiants de manière visible lorsque le compte est créé. En envoyant le mot de
passe de la sorte, ESPN permet à la personne qui espionne le trafic Web de voler cette donnée.
Ces imperfections ont été découvertes en utilisant ZAP (Zscaler’s Application Profiler). ZAP est un outil
online très simple d’utilisation sur lequel les utilisateurs peuvent trouver le nom des applications iOS ou
Android et recevoir immédiatement une alerte l’informant des risques de sécurité. Les utilisateurs peuvent
également utiliser ZAP pour scanner le trafic d’une application installée sur leur appareil afin de voir à quel
moment leurs données sont exposées. Aucune expertise en sécurité n’est exigée pour utiliser ZAP. Comme
de plus en plus d’utilisateurs soumettent leurs applications à l’analyse, le laboratoire ThreatLabZ de Zscaler
intègre les données mobiles permettant une sécurisation de centaines d’applications mobiles.
Communiqué de presse
Pour plus d’information sur ZAP : http://research.zscaler.com/2012/10/introducing-zap.html
À propos de Zscaler
Grâce à son infrastructure « Zscaler Cloud » déployée au niveau mondial, Zscaler fournit une solution complète de
sécurisation des flux Web, et délivre deux fois plus de fonctionnalités que les autres solutions de sécurité Web du
marché, et ce à un coût moindre. Fort d’une expertise reconnue de l’outil web, Zscaler garantit aux entreprises et aux
organisations de maitriser l'utilisation du web de leurs employés en leur fournissant l'accès qui leur est nécessaire,
depuis n'importe quel site, et sur n'importe quel dispositif / terminal. Zscaler Cloud est une solution reconnue par les
principaux cabinets d’analystes IT dont : Network World, Gartner, IDC, Forrester Research. Zscaler est l’une des
sociétés fondatrices du club « Cloud Security Alliance », une organisation à but non lucratif regroupant les acteurs
leaders du secteur de la sécurité informatique, afin de promouvoir les meilleures pratiques dans ce domaine.
Pour plus d'informations, rendez-vous sur le site : www.zscaler.com.
CONTACTS PRESSE
ZSCALER
Frédéric Benichou
Directeur Europe du Sud-Ouest
[email protected]
Tel.: 06 11 32 19 78
SCENARII
Sophie Lasbleis
Relations Presse
[email protected]
Tél.: 01 55 60 20 44