Contribution de SYNETIS à la sécurité d’Adobe
Dans le cadre de leurs activités quotidiennes, les consultants de SYNETIS peuvent être amenés à déceler des vulnérabilités aussi bien :
- Au travers de leurs missions d’audit des SI de nos clients ;
- Au sein des produits des éditeurs partenaires, avec la volonté d’améliorer constamment la sécurité des solutions proposées aux clients ;
- Sur des projets communautaires, notamment opensource, tels ceux dont nous vous relayions les informations ;
- Sur des sites internationaux de grande renommée, afin d’apporter une petite pierre à l’édifice de la sécurité globale de l’Internet.
Détection des vunérabilité
Dès que des vulnérabilités sont détectées, des mesures de préventions, de sensibilisation et de corrections sont proposées par nos consultants aux équipes techniques, communautaires ou de support pour combler les brèches au mieux.
C’est en ce sens que SYNETIS vous informe d’une très récente contribution d’un de nos collaborateurs au programme « Security Researchers » d’Adobe.
Après la détection d’une vulnérabilité au sein de la plateforme d’Adobe et la mise en place d’un « Proof Of Concept » pour illustrer les faits, les équipes de sécurité du site ont bloqué le vecteur d’attaque potentiel et crédité le contributeur sur la page de remerciement des « Chercheurs en sécurité ».
Il est important de rappeler que le « pentest » est une étude/analyse différente de « l’audit ». Le « pentest sauvage » est un acte puni par la loi comme atteinte aux systèmes de traitement automatisé de données (Article 323).
Audit : Test complet d’une infrastructure, étude globale d’un système donné, à la fois technique et organisationnelle, permettant d’apprécier la sécurité de façon globale, devant déboucher sur une politique de sécurité.
Pentest : Test, tentative de pénétration d’un système à la façon d’un attaquant, limité dans le temps et dans l’espace.
Les mœurs en termes de « pentest sauvage » tendent à évoluer ces dernières années, notamment au travers des « bug bounty program » que de nombreux sites de renoms proposent (Paypal, Microsoft, Etsy, Square, Magento, etc.).
Pour plus d’information quant à l’analyse de vulnérabilités, l’audit de système (boite-blanche, boite-noire) et l’évaluation globale de la sécurité de votre SI, n’hésitez pas à nous contacter.
Sources & ressources :
- Acknowledgements – Adobe
- ASafety PoC & details
- Des atteintes aux systèmes de traitement automatisé de données – article 323 du code pénal
- Les contours juridiques du Pentest – HackerZVoice
Yann
Consultant Sécurité