Zscaler révèle l`existence de failles de sécurité au sein de
Transcription
Zscaler révèle l`existence de failles de sécurité au sein de
Communiqué de presse Zscaler révèle l’existence de failles de sécurité au sein de l’application mobile ESPN, Entertainment Sport Programming Network Paris, le 29 janvier 2013 – Zscaler, leader des services de sécurité et de contrôle du trafic Web en mode SaaS (« Security as a Service ») ou « in-the-cloud », annonce que ESPN ScoreCenter, application mobile, de renommée mondiale, dédiée au sport possède des failles sérieuses en matières de sécurité qui peuvent compromettre l’appareil mobile, incluant une menace de vol de données. Ces défauts ont été découverts en utilisant l’application ZAP de Zscaler (Zscaler Application Profiler), outil online gratuit permettant d’évaluer les risques sécuritaires liés aux applications mobiles. ESPN recherche actuellement une solution à ces malveillances. Ce problème du manque de sécurité lié à l’application ESPN ScoreCenter montre que ces failles prolifèrent sur les applications mobiles et que les mesures de sécurité les plus basiques sont souvent négligées dans la procédure de développement. « Il est important de savoir que la plupart des applications mobiles ne sont pas des applications natives. Ce sont essentiellement des pages Web affichées dans le WebView control, ou simplement un contenu Web mixé avec des contrôles natifs » explique Michael Sutton, vice-président de la recherche sur la sécurité chez Zscaler. « Les vulnérabilités les plus communes des applications Web peuvent également exister dans les applications mobiles. Les utilisateurs devraient être méfiants face à de telles menaces, souvent cachées dans les applications mobiles. En effet, les applications ne possèdent pas le même indicateur annonçant que les données ont été envoyées de manière sécurisée » ajoute-t-il. D’une part, en affichant un contenu Web basique, sans nettoyer correctement les données entrantes des utilisateurs, ESPN SportsCenter génère une vulnérabilité de type XSS (cross-site scripting). En conséquence, le contenu actif de type Java peut être injecté dans l’application. D’autre part, ESPN ScoreCenter délivre les identifiants de manière visible lorsque le compte est créé. En envoyant le mot de passe de la sorte, ESPN permet à la personne qui espionne le trafic Web de voler cette donnée. Ces imperfections ont été découvertes en utilisant ZAP (Zscaler’s Application Profiler). ZAP est un outil online très simple d’utilisation sur lequel les utilisateurs peuvent trouver le nom des applications iOS ou Android et recevoir immédiatement une alerte l’informant des risques de sécurité. Les utilisateurs peuvent également utiliser ZAP pour scanner le trafic d’une application installée sur leur appareil afin de voir à quel moment leurs données sont exposées. Aucune expertise en sécurité n’est exigée pour utiliser ZAP. Comme de plus en plus d’utilisateurs soumettent leurs applications à l’analyse, le laboratoire ThreatLabZ de Zscaler intègre les données mobiles permettant une sécurisation de centaines d’applications mobiles. Communiqué de presse Pour plus d’information sur ZAP : http://research.zscaler.com/2012/10/introducing-zap.html À propos de Zscaler Grâce à son infrastructure « Zscaler Cloud » déployée au niveau mondial, Zscaler fournit une solution complète de sécurisation des flux Web, et délivre deux fois plus de fonctionnalités que les autres solutions de sécurité Web du marché, et ce à un coût moindre. Fort d’une expertise reconnue de l’outil web, Zscaler garantit aux entreprises et aux organisations de maitriser l'utilisation du web de leurs employés en leur fournissant l'accès qui leur est nécessaire, depuis n'importe quel site, et sur n'importe quel dispositif / terminal. Zscaler Cloud est une solution reconnue par les principaux cabinets d’analystes IT dont : Network World, Gartner, IDC, Forrester Research. Zscaler est l’une des sociétés fondatrices du club « Cloud Security Alliance », une organisation à but non lucratif regroupant les acteurs leaders du secteur de la sécurité informatique, afin de promouvoir les meilleures pratiques dans ce domaine. Pour plus d'informations, rendez-vous sur le site : www.zscaler.com. CONTACTS PRESSE ZSCALER Frédéric Benichou Directeur Europe du Sud-Ouest [email protected] Tel.: 06 11 32 19 78 SCENARII Sophie Lasbleis Relations Presse [email protected] Tél.: 01 55 60 20 44