L’audit de sécurité Cure53 conclut que le service d’accès à distance VNC Connect est solide et stable en ce qui concerne la posture de sécurité.
CAMBRIDGE, Angleterre–(BUSINESS WIRE)–VNC Connect by RealVNC, le service d’accès à distance utilisé par des centaines de millions de personnes dans le monde, a été audité par Cure53, le cabinet de conseil en sécurité informatique basé à Berlin, en Allemagne, qui a également audité d’autres logiciels leaders du secteur tels que Mozilla VPN, 1Password et Bitwarden. L’audit complet, qui a duré 86 jours-personnes et a porté sur VNC Server et VNC Viewer sur Linux, Windows et Mac, VNC Viewer pour iOS et Android, le portail de gestion VNC Connect et les services back-end, a mis en évidence 38 constats liés à la sécurité, dont aucune n’était critique et seulement trois ont été jugées de haute gravité, et ces dernières ont été corrigées immédiatement. Le rapport indique, en conclusion, que RealVNC accorde une grande importance à la posture de sécurité de tous ses composants.
« En tant que technologues responsables de l’introduction de l’accès à distance au plus grand nombre, nous établissons aujourd’hui de nouvelles normes et attentes en matière de Security face aux défis de l’environnement informatique moderne. Les acheteurs de technologies d’accès à distance doivent s’attendre à une validation indépendante et complète des déclarations des fournisseurs par des tiers. C’est particulièrement vrai pour les logiciels d’accès à distance, où les enjeux sont élevés et où une erreur pourrait nuire à la réputation, voire être fatale. Grâce au rapport de Cure53, les acheteurs peuvent être sûrs qu’ils ne regretteront jamais d’avoir choisi RealVNC comme fournisseur d’accès à distance », déclare Adam Greenwood-Byrne, PDG de RealVNC.
Un audit de sécurité en boîte blanche est nettement plus approfondi que le test de pénétration en boîte noire plus courant (que RealVNC fait également réaliser chaque année par une organisation externe), car les auditeurs ont accès à l’ensemble du code source, des binaires et de la documentation relative aux API/protocoles. Sur les 38 vulnérabilités trouvées dans l’ensemble des logiciels et services testés, 32 ont été correctement corrigées – les correctifs ayant été confirmés par Cure53 – tandis que les six autres ont été signalées comme étant de fausses alertes ou comme fonctionnant comme prévu et ont été évaluées comme présentant un risque moindre.
« Chez RealVNC, nous partons du principe qu’aucune entreprise ne devrait jamais croire un vendeur sur parole lorsqu’il affirme que son logiciel est sécurisé. C’est pourquoi nous avons choisi de réaliser un audit en boîte blanche avec une société de conseil en sécurité très réputée pour le prouver », a déclaré Andrew Woodhouse, CIO de RealVNC.
L’équipe de Cure53 est très motivée pour trouver des problèmes lorsqu’elle effectue des tests de pénétration en boîte blanche. Le fait qu’aucune menace critique n’ait été trouvée renforce la volonté de RealVNC de s’assurer que ses clients restent à l’abri des menaces lorsqu’ils utilisent VNC Connect.
« Cure53 est heureux d’affirmer que la préparation et l’exécution des tests, mais aussi la vérification des correctifs, qui est l’une des parties les plus importantes d’un tel audit, se sont déroulées sans problème et de manière professionnelle. Il est clair que RealVNC a fait preuve d’un véritable intérêt pour la garantie de la sécurité de VNC Connect et qu’elle est prête à maintenir ces normes élevées sur la durée les normes élevées que nous avons observées », a déclaré Dr.-Ing. Mario Heiderich, fondateur de Cure53.
Basée à Cambridge, RealVNC propose des produits pour les plateformes de bureau, mobiles et embarquées qui facilitent l’accès et l’utilisation de dispositifs à distance tout en permettant aux utilisateurs à distance de travailler avec des techniciens pour résoudre facilement les problèmes.
« Nous ne reculons devant aucun des problèmes relevés par le rapport. Nous avons activement corrigé les problèmes au fur et à mesure qu’ils sont apparus et, comme la sécurité est un domaine en constante évolution, nous continuerons à garantir la sécurité de VNC Connect dans les futures itérations du service\ », a déclaré Ben May, responsable de la sécurité chez RealVNC.
Pour consulter le résumé de l’audit réalisé par Cure53, cliquez ici, et pour en savoir plus sur les raisons pour lesquelles RealVNC a choisi de réaliser un audit Cure53, cliquez ici.
À PROPOS DE REALVNC
Le logiciel de gestion et d’accès à distance sécurisé de RealVNC est utilisé par des centaines de millions de personnes dans le monde. Ce logiciel aide les organisations à réduire les coûts et à améliorer la qualité de l’assistance apportée à distance pour les dispositifs et applications, ainsi qu’à permettre le travail à distance. RealVNC est l’inventeur original, basé au Royaume-Uni, du logiciel d’accès à distance VNC et prend en charge un mélange inégalé de plateformes de bureau, mobiles et embarquées.
À PROPOS DE CURE53
Cure53 propose des tests de pénétration classiques en boîte noire (sans connaissance préalable) ainsi que des tests en boîte blanche et des audits de code. Les développeurs d’applications web et mobiles travaillent dans de nombreux langages de programmation, et nous aussi. Des langages classiques tels que PHP, JavaScript, ActionScript, Java, Ruby, Python et Perl aux candidats plus exotiques tels que les back-ends web écrits en C++ et Delphi – nous les avons vus.
Depuis que Cure53 a été fondée en 2007, nous avons réalisé des centaines de tests de pénétration contre toutes sortes d’applications web, de services en ligne, d’interfaces matérielles, d’applications mobiles, de bibliothèques et d’outils cryptographiques. Nous privilégions les tests manuels et approfondis, l’interaction et la communication humaines, ainsi qu’un rapport de test d’intrusion court mais précis, sans éléments superflus ni graphiques à secteurs que personne ne souhaite voir.
