Filemaker a des problèmes sur le Web
Une base de données publiée sur le Web à l’aide du module Web Companion pourrait révéler bien trop facilement son contenu. Filemaker reconnaît le problème et travaille sur un correctif.
Après un communiqué d’alerte publié par Blue World Communications, une société spécialisée dans les bases de données au format Web, Filemaker a reconnu que les bases de données intégrées à un site Web à l’aide de son utilitaire Web Companion, fourni avec la dernière version 5 de son logiciel, n’étaient pas totalement sécurisées. Blue World a détecté trois problèmes. Tout d’abord, n’importe quel internaute peut accéder à l’ensemble des données de la base, quels que soient les réglages choisis dans les préférences de sécurité de bases de données Web. Lié aux capacités de publication XML du logiciel, ce problème, selon les propres termes de Blue World, « permet à tout un chacun de visualiser des données sensibles tels des numéros de cartes bancaires, des mots de passe, des dossiers sur des employés ou des secrets commerciaux qui ne sont pas destinés au grand public ».
Ensuite, n’importe qui peut utiliser la fonction de courrier électronique du module Web Companion pour récupérer toutes les données incluses dans une base publiée à l’aide de ce même module. Enfin, des internautes non autorisés peuvent utiliser cette même fonction de courrier pour envoyer des messages anonymes, ou même en empruntant l’identité de quelqu’un d’autre. On le voit, il ne s’agit pas là de mini-bogues…
Chez Filemaker, on cherche bien sûr à minimiser l’impact de cette découverte. La réponse officielle commence d’ailleurs en ces termes : « Pour le moment, nous n’avons eu connaissance d’aucun de nos clients qui auraient subi les problèmes décrits, et ces problèmes ne concernent que la publication de bases de données à l’aide de Web Companion ». Mais d’indiquer tout de même que la résolution de ces problèmes est une priorité absolue pour l’éditeur. Dans l’attente, Filemaker conseille à ses clients quelques mesures de prudence, comme la protection de l’accès à une base par un mot de passe, plutôt que restreindre l’accès à certains champs. Concernant les problèmes de courriers électroniques anonymes, Filemaker propose aux webmestres d’activer la fonction de « journal de bord », qui enregistre toutes les requêtes envoyé au Web Companion. Et donc de tracer les utilisateurs indélicats. Ceux qui la possèdent peuvent également revenir à la version antérieure de Filemaker, jusqu’à ce qu’un correctif ait été publié. « Dans moins d’une semaine, vu le caractère limité du problème », indique-t-on chez Filemaker.
Pour en savoir plus :