Code Apex non protégé : Varonis appelle les entreprises à la vigilance

Table des matières

Apex, le langage informatique employé pour plusieurs fonctionnalités de Salesforces, présenterait des brèches. Varonis avise les entreprises quant aux potentiels dangers représentés par ces points faibles d’Apex. Ces lacunes concernent essentiellement le code et les classes du langage de codage informatique. Que ce soit les agences gouvernementales ou les entreprises privées : aucune n’échappe à ces éventuelles menaces.

Faisant appel à la même syntaxe que Java, Apex est un langage de codage objet. Il est particulièrement utile pour mettre en œuvre les fonctionnalités de Salesforce. En raison de ses performances et de sa notoriété, non moins de 150 000 organisations du monde entier, font appel à cette plateforme CRM reconnue. Pourtant, il semblerait que les codes et les classes Apex présentent des failles. Ces lacunes au niveau de la sécurité pourraient coûter cher aux professionnels du public et du privé qui se déploient sur Salesforce. C’est pourquoi Varonis, le professionnel de la détection de menaces informatiques lance le signal d’alerte aux organisations.

Les failles au niveau du code Apex

En se penchant sur le recours à Salesforce, les spécialistes de Varonis découvrent des occurrences de code Apex non sécurisées. Cette brèche de sécurité concerne les mises en œuvre Salesforce au sein de plusieurs compagnies. Les entreprises concernées appartiendraient au Fortune 500. Certaines agences de l’administration publique seraient également touchées. En tant que consultant informatique, la menace est à prendre au sérieux.  Pour cause : les processus automatisés des professionnels et la sécurité des bases de données sont en cause.

Pour rappel, le langage de programmation permet aux développeurs de :

  • Passer des appels via l’API Salesforce ;
  • Réaliser des opérations de flux et de contrôle sur les serveurs.

Selon les experts de Varonis, les failles de sécurité peuvent aboutir à la divulgation d’informations confidentielles ou à l’altération de données. Ils avertissent les professionnels en concluant :

« C’est la raison pour laquelle, il est essentiel de garder une trace des classes Apex et de leurs propriétés, de savoir qui peut les exécuter et comment elles sont utilisées ».

Puissant instrument entre les mains des développeurs, Apex possède néanmoins des capacités limitées. En outre, il est essentiel de gérer l’accès aux classes.

Les classes Apex, un autre point de vigilance pour les utilisateurs de Salesforce

Pour se prémunir d’éventuels usages malhonnêtes ou d’intrusions, les chercheurs de Varonis sollicitent la prudence des professionnels. Pour chaque classe Apex, ils recommandent notamment un contrôle rigoureux des utilisateurs autorisés à émettre des appels. Une attention particulière est demandée pour les classes de type sans partage. Contrairement au mode avec partage, celui-ci ne tient pas compte des restrictions d’accès. Autrement dit, tous les utilisateurs peuvent atteindre les enregistrements et les éditer, et ce sans devoir présenter d’autorisation. Pour savoir si une classe fonctionne en mode sans partage, une analyse du code source peut renseigner le consultant informatique.

Pour ce qui est de la vérification des accès aux appels, les experts de Varonis recommandent l’approche suivante :

« Pour déterminer qui peut appeler une classe Apex, il faut vérifier à la fois les profils et les ensembles de permissions (depuis Winter, si l’on clique sur « Sécurité » en examinant la classe Apex elle-même, on ne peut voir que les profils, ce qui n’est pas suffisant pour déterminer qui peut appeler une classe Apex) ».

Ces mesures sont essentielles pour préserver le système sans partage auquel des utilisateurs non internes peuvent accéder. Les classes sans partage sont en proie :

  • Aux IDOR (Insecure Direct Object References), permettant aux cyber criminels de visionner et de contrôler les données ;
  • Aux injections SOSL dont les brèches au niveau du code peuvent servir de points d’infiltration pour voler des données.

Cet article vous a-t-il été utile ?

Note moyenne 0 / 5. Nombre de votes 0

Actualité du portage salarial