Résolution de faille informatique : MuleSoft donne le bon exemple
L’éditeur informatique MuleSoft vient d’appliquer une nouvelle approche proactive et efficace qui constitue, pour ses pairs, un bon exemple à suivre qu’unesimple matière à réflexion, pour gérer toute faille informatique importante.
Un bug découvert et corrigé rapidement
Une faille de sécurité a été découverte très récemment dans deux produits vedettes proposéspar MuleSoft à sa clientèle. Cela concerne les environnements d’Exécution Mule et les interfaces de programmation API. La faille a été identifiée par les informaticiens et fut appelée bug de traversée de répertoire ou de chemin. Des correctifs ont étéapportés au niveau du code de MuleSoft.
Toute faille représente un énorme danger, car les pirates informatiques peuvent installer et contrôler des fichiers malveillants sur un système. Ils peuvent accéder à des données secrètes et à des emails confidentiels. Les hackers peuvent s’en approprier rapidement, à distance et à des endroits différents.
En piratant le code, il leur suffit ensuite de télécharger les fichiers convoités sous Windows ou Linux.Les experts de Mulesoft ont découvert que, les hackers pouvaient agir à travers les middlewares dans les serveurs connectés en permanence sur Internet.
Réaction rapide de MuleSoft suivant le protocole
MuleSoft a été rachetée l’année dernière par Salesforce, une société spécialisée justement dans le développement de middlewares destinés à lier les applications Cloud utilisées par des millions d’internautes et des milliers de serveurs. Ils appartiennent à des sociétés, de grande ou de petite envergure, à travers le monde.
La boîte a vite réagi suivant le protocole d’usage en pareil incident. Elle a corrigé le bug informatique dans la plus grande discrétion et célérité. Les sociétés partenaires ont ensuite été informées des correctifs opérés. MuleSoft a envoyé une alerte annonçant l’existence de la faille et les correctifs apportés par courrier électronique à quelques clients choisis et qui utilisent les « runtimes Mule on premise ».
Les responsables de MuleSoft leur ont demandé de ne pas divulguer l’information et de ne pas hésiter à prendre contact avec leurs techniciens si besoin. L’objectif est de pouvoir expliquer personnellement les détails de ce bug dont la gravité a été confirmée par des techniciens comme John, un ingénieur informaticien qui a participé à la première réunion d’information organisée d’urgence par MuleSoft.
Les responsables de cette plateforme d’intégration ont envisagé dans un premier temps de n’informer le grand public qu’après un mois.Ils ont voulu donner ainsi aux sociétés partenaires un délai pour affiner les correctifs. Les clients de Mulesoft sont composés, entre autres, de sociétés qui exercent dans des domaines sensibles où la confidentialité des fichiers est de mise : banques, des sociétés de paiement en ligne et fournisseurs de Cloud.
L’information a cependant fuité sur la toile par divers canaux : Twitter, Slack, Discord et Telegram et il a fallu en parler.
La bonne stratégie de MuleSoft
Mesurant la gravité de la situation, Mulesoft a pris la bonne attitude : la transparence, le suivi et la responsabilisation :
- Le problème et le mode d’emploi des correctifs sont expliqués en détail à chaque société concernée.
- Les techniciens en réunionéchangent leurs expériences et leurs informations sur les bugs.
- Le public est largement informé et sensibilisé.
L’objectif est également de barrer tout accès aux attaques informatiques.Ces mesures proactives ont été bien reçues par les clients. L’attitude de MuleSoft est un bon enseignement et un exemple à suivre pour tous les éditeurs.
