Une faille de sécurité sur le site d'Adobe

Le site principal de l'éditeur de logiciels a présenté une faille critique permettant à des pirates de récupérer des données confidentielles. L'éditeur vient de colmater cette vulnérabilité.
Comme aux échecs, les pirates (en l'occurrence les blancs) ont toujours un coup d'avance. Informé dès le 26 septembre par différents cabinets d'experts en sécurité comme le CERT-LEXSI de l'existence d'une
faille de sécurité sur son site Web, Adobe a été très réactif. Sans avoir eu besoin de couper l'accès à
son site, l'éditeur vient aujourd'hui de colmater cette brèche. Mais sa réaction n'a, semble-t-il, pas été assez rapide puisque des pirates ont eu le temps de s'y
engouffrer.De quoi être inquiet pour les sites et les entreprises qui présentent des failles durant plusieurs semaines, voire des mois...
' C'est une vulnérabilité que l'on pourrait malheureusement qualifier de
"classique". Il s'agissait d'un petit programme qui ne testait pas suffisamment les données qui pouvaient lui être envoyées ', explique Cédric Pernet, analyste sécurité du CERT-LEXSI. Le programme en cause
serait un script CGI (Common Gateway Interface).Exécutée par le serveur Web, cette interface de passerelle commune envoie au navigateur de l'internaute un code HTML. Créé automatiquement par le serveur, il permet d'obtenir par exemple des pages personnalisées par
l'utilisateur. Mais les scripts CGI sont aussi connus pour être plus vulnérables que le PHP (Hypertext Preprocessor). Pour repérer les vulnérabilités il suffit d'utiliser un scanner de failles CGI comme on en trouve facilement sur
Internet.Officiellement, ces outils sont destinés à vérifier la sécurité d'un serveur. Mais en réalité, des pirates s'en servent pour chercher des moyens d'accéder à un serveur.
Votre opinion