Press release

RealVNC devient la première et l’unique solution d’accès à distance à effectuer un audit en boîte blanche pour valider la sécurité

0
Sponsorisé par Businesswire

VNC Connect de RealVNC, le service d’accès à distance utilisé par des centaines de millions de personnes à travers le monde, a été audité par Cure53, un cabinet de conseil en sécurité informatique basé à Berlin, en Allemagne, qui a également audité d’autres logiciels chefs de file du secteur comme Mozilla VPN, 1Password et Bitwarden.L’audit complet, qui a pris 86 jours-personnes et qui a porté sur VNC Server et VNC Viewer sur Linux, Windows et Mac, VNC Viewer pour iOS et Android, le portail de gestion VNC Connect et les services backend, a permis 38 découvertes pertinentes en termes de sécurité, dont aucune n’était critique ; seules trois ont été jugées de gravité élevée, et celles-ci ont été corrigées immédiatement Le rapport indique, en conclusion, que RealVNC accorde une grande importance à la posture de sécurité de tous ses composants.

« En tant que technologues chargés d’apporter l’accès à distance au marché de masse, nous sommes en train d’établir aujourd’hui de nouvelles normes et attentes en matière de sécurité face aux défis auxquels est confronté le monde informatique moderne. Les acheteurs informatiques de technologies d’accès à distance ne devraient attendre rien de moins qu’une validation indépendante et exhaustive par des tiers des revendications des fournisseurs. Ceci est particulièrement vrai pour les logiciels d’accès à distance où les enjeux sont élevés, et une erreur pourrait nuire à la réputation ou même se révéler dévastatrice. Avec le rapport de Cure53, les acheteurs peuvent être certains de ne jamais regretter le choix de RealVNC comme fournisseur d’accès à distance », a déclaré Adam Greenwood-Byrne, PDG de RealVNC.

Un audit de sécurité en boîte blanche est nettement plus approfondi qu’un test d’intrusion en boîte noire plus courant (que RealVNC commande également chaque année à une organisation externe), car les auditeurs ont accès à l’ensemble du code source, aux fichiers binaires et à la documentation relative aux API/au protocole. Sur les 38 vulnérabilités trouvées dans la gamme de logiciels et de services testés, 32 ont été correctement corrigées – avec les correctifs confirmés par Cure53 – tandis que les six autres ont été signalées comme de fausses alertes ou fonctionnant comme prévu et jugées comme présentant un moindre niveau de risque.

« Chez RealVNC, nous partons du principe qu’aucune entreprise ne devrait jamais croire un fournisseur sur parole lorsqu’il prétend que son logiciel est sécurisé. Aussi nous avons choisi de faire réaliser un audit en boîte blanche par un cabinet de conseil en sécurité très réputé pour le prouver », a déclaré Andrew Woodhouse, DSI chez RealVNC.

L’équipe de Cure53 est très motivée pour trouver des problèmes lorsqu’elle réalise des tests d’intrusion en boîte blanche. Le fait qu’aucune menace critique n’ait été détectée renforce la volonté de RealVNC de veiller à ce que ses clients soient protégés des menaces lorsqu’ils utilisent VNC Connect.

« Cure53 est heureuse de confirmer que la préparation et l’exécution des tests ainsi que la vérification des correctifs (l’une des parties les plus importantes d’un audit) se sont déroulées sans heurts et de manière professionnelle. Il est clair que RealVNC cherche avant tout à assurer la sécurité de VNC Connect et que l’entreprise est prête et déterminée à maintenir les normes élevées que nous avons observées », a déclaré Dr -Ing. Mario Heiderich, fondateur de Cure53.

Basés à Cambridge, les produits de RealVNC pour les plates-formes de bureau, mobiles et embarquées, permettent aux utilisateurs d’accéder et d’utiliser facilement les appareils à distance, tout en permettant aux utilisateurs distants de travailler avec des techniciens pour résoudre facilement les problèmes.

« Nous ne nous dérobons pas face aux problèmes relevés dans le rapport. Nous avons activement résolu les problèmes au fur et à mesure qu’ils se sont présentés et, comme la sécurité est un paysage en constante évolution, nous allons continuer à assurer la sécurité de VNC Connect dans les futures itérations du service », a déclaré Ben May, responsable de la cybersécurité chez RealVNC.

Pour consulter le résumé de l’audit de Cure53, cliquez ici, et pour en savoir plus sur les raisons pour lesquelles RealVNC a choisi de mener un audit avec Cure53, cliquez ici.

À PROPOS DE REALVNC

Le logiciel d’accès et de gestion à distance sécurisés de RealVNC est utilisé par des centaines de millions de personnes à travers le monde. Ce logiciel aide les organisations à réduire leurs coûts et à améliorer la qualité de la prise en charge des appareils et des applications distants, ainsi qu’à rendre possible le télétravail. Basée au Royaume-Uni, RealVNC est à l’origine de l’invention du logiciel d’accès à distance VNC et l’entreprise prend en charge une combinaison inégalée de plates-formes de bureau, mobiles et embarquées.

À PROPOS DE CURE53

Cure53 propose des tests d’intrusion classiques en boîte noire (avec apport nul de connaissance), ainsi que des tests en boîte blanche et des audits de code. Les développeurs d’applications Web et d’applications mobiles parlent plusieurs langues et nous aussi. Qu’il s’agisse de langages classiques comme PHP, JavaScript, ActionScript, Java, Ruby, Python et Perl ou de développements plus exotiques, tels que les back-ends Web écrits en C++ et Delphi, nous les maîtrisons.

Depuis la création de Cure53 en 2007, nous avons effectué des centaines de tests d’intrusion sur toutes sortes d’applications Web, de services en ligne, d’interfaces matérielles, d’applications mobiles, de bibliothèques et d’outils cryptographiques. Nous privilégions les tests manuels et approfondis, ainsi que les interactions et les communications humaines, et entendons proposer des rapports de test d’intrusion courts mais précis, sans frais généraux ni diagrammes circulaires que personne ne souhaite voir.

Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.