SWFScan : outil de sécurité pour Flash offert par HP

Annoncé lundi par HP, l'outil gratuit SWFScan pour Windows permet aux développeurs Flash de détecter la présence de vulnérabilités dans leurs applications et de les corriger. SWFScan est ainsi présenté par HP comme le premier outil du genre à décompiler les applications développées avec la plate-forme Flash d'Adobe et à fournir des analyses statistiques pour comprendre leurs comportements.

Un fois pointé le fichier SWF d'une application Flash, SWFScan va décompiler le bytecode ActionScript 2 ou ActionScript 3, revenir au code source d'origine afin de l'auditer pour une soixantaine de vulnérabilités dont l'exposition de données confidentielles, les vulnérabilités de type Cross-Site Scripting ou élévation de privilèges cross-domain. Il permet également de valider le respect des pratiques de sécurité édictées par Adobe.

Flash Player d'Adobe étant présent sur plus de 98 % des PC connectés à l'Internet, il est impératif pour HP que les applications Web conçues avec la technologie Fash soient développées de manière sûre. Selon Billy Hoffman, responsable du HP Web Security Research Group, sur près de 4 000 applications Flash téléchargées et auditées par SWFScan, 35 % d'entre elles ne respectaient pas les recommandations d'Adobe en matière de sécurité. Des données sensibles comme des clés de chiffrement, des identifiants et mots de passe sont ainsi stockées dans le code Flash côté client.

Ce n'est pas une première pour HP dans le domaine de la sécurité puisque au mois de juin 2008, la société avait collaboré avec Microsoft pour fournir un autre outil gratuit, Scrawlr, cette fois-ci dédié à l'identification de pages Web vulnérables aux attaques par injection SQL.

Télécharger SWFScan de HP
Plus de détails sur SWFScan