 |
Emploi
|
|
Start-up
|
|
Evénements 01 | |
Avis d'expert | |
Vidéos | |
Indicateurs
|
|
Distribution
|
|
Telecharger Pro
|
|
Livres blancs | |||||||||||||||||||||
IBM propose une suite pour repérer les failles dans les applications web
par mail
l'article
Les failles dans les sites ayant pignon sur le Web sont de plus en plus d’actualité, comme le montrent celles de Facebook (vol des codes d’accès aux comptes) et d’Adobe (service de vidéo en streaming). Pour les entreprises qui gèrent des sites, il est donc indispensable de vérifier la sécurité en faisant des tests. C’est ce que propose IBM Rational AppScan Express Edition.
Destinée aux petites et moyennes entreprises, cette suite d’outils de tests et d’audits a été développée par Watchfire, un éditeur canadien qui est tombé dans l’escarcelle de Big Blue en juin 2007. Elle permet de tester les applications Web en cours de développement et avant leur mise en ligne.
Il existe déjà des scanners de vulnérabilité, comme Nessus, mais ils ne recherchent des vulnérabilités que dans une application, un système d'exploitation ou un réseau. Compatible avec différents systèmes d’exploitation de Microsoft (Windows XP, Windows 2000, Windows 2003 Enterprise Edition et Vista), Rational AppScan Developer est plus élaboré puisqu’il traque les failles dans de nombreuses applications en ligne (JavaScript, Ajax, Flash, SSL…), des mécanismes d'authentification (HTTP, formulaires HTML, certificats) et des services Web (WSDL, SOAP 1.1 et 1.2).
Un outil très cher
Pour vérifier le niveau de sécurité, les développeurs de sites peuvent lancer manuellement ou automatiquement différents tests : reproduction de toutes les techniques d'attaque connues, exploitation des vulnérabilités (comme la faille Cross Site Scripting), test d'infrastructure sur des centaines de produits commerciaux et open source et analyse des privilèges.
Une fois les failles et problèmes de sécurité trouvés, Rational AppScan Express génère un rapport incluant des conseils et des recommandations sur les corrections à réaliser. Il permet aussi au développeur de tester ses transactions et services dés leur mise au point, depuis son environnement de travail.
Cette offre présente deux atouts principaux. Elle est très complète. Et elle a le mérite de proposer différents niveaux de lecture pour que les informations soient interprétées sans erreur par des responsables informatiques qui ne maîtrisent pas parfaitement la sécurité.
En revanche, son prix élevé (13 000 euros environ) va rebuter plus d’une entreprise pour lesquelles la sécurité n’est pas un investissement prioritaire. Elles pourraient alors se tourner vers des solutions moins complètes et accessibles mais gratuites comme Wapiti, Screaming CSS, qui comme son nom l’indique se limite aux failles Cross Site Scripting, ou pour terminer RPVS (Remote Php Vulnerabilities Scanner), qui détecte les failles PHP les plus recensées sur le web.
01net. - 01men - RMC - BFM Radio - BFM TV - La Tribune - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
