Tests de sécurité et support

Chez Blackboard, nous effectuons continuellement des tests de sécurité internes au niveau du code (analyse statique) et des applications (analyse dynamique) pour vérifier qu'ils répondent à nos attentes, ainsi qu'à celles de nos clients. De plus, pour garder constamment un regard neuf sur l'application, Blackboard récupère des tests de pénétration de sécurité de la part de fournisseurs tiers. Nous corrigeons rapidement chaque problème identifié.

Blackboard utilise des scanners d'analyse statique (logiciel) libre et commerciaux pour évaluer le code source de Blackboard en permanence. Ces outils permettent à Blackboard d'identifier les vulnérabilités potentielles dans le code source lorsque le système évolue via l'intégration avec les environnements de création. Blackboard associe l'analyse automatique des failles de sécurité du code source à une révision manuelle du code.

Blackboard utilise des scanners d'analyse dynamique (logiciels) libres et commerciaux pour évaluer l'appli Blackboard en permanence. Les analyseurs de sécurité automatisés testent les vulnérabilités courantes des applications Web du point de vue d'un utilisateur final.

Les outils de sécurité des applications statiques et dynamiques ne peuvent pas détecter tous les problèmes de sécurité. Pour réduire encore davantage les risques de sécurité, Blackboard effectue des tests d'intrusion pour identifier les failles de sécurité plus complexes et les problèmes de logique métier, tels que les autorisations incorrectes.

Blackboard s'engage à identifier, à communiquer et à résoudre rapidement les failles de sécurité identifiées dans ses produits. Blackboard publie des correctifs de sécurité et des avis via Anthology Global Support.

Les avis de sécurité sont publiés avec les informations suivantes :

Les avis sont suivis d'un aperçu de la vulnérabilité détaillant la nature de la faille de sécurité, d'un aperçu des problèmes fonctionnels qui décrit la manière dont le système peut être affecté, d'une liste des versions du produit touchées, d'une description de la découverte et d'une description de la solution avec un lien vers les correctifs applicables. Blackboard suit et informe également ses clients de toute exploitation ou utilisation malveillante connue de failles de sécurité. La section sur les mesures d'atténuation et les solutions de contournement décrit toutes les mesures d'atténuation que les clients peuvent prendre ou indique si une solution de contournement est disponible. Si plusieurs révisions sont apportées à un avis, un bref résumé de la mise à jour est fourni.

Ce filtre de validation de saisie fait office de première ligne de défense avec des règles configurables pour protéger Blackboard Learn. En un sens, c'est comme un pare-feu pour Blackboard. Il vérifie que les demandes entrantes des utilisateurs sont sûres en assainissant les données par le biais d'un ensemble de règles par défaut.

L'affichage des fichiers téléchargés par des utilisateurs depuis un domaine alternatif exige un contrôle de sécurité fiable. En téléchargeant un contenu contenant des scripts potentiellement malveillants, un utilisateur peut potentiellement pirater la session principale de Blackboard une fois qu'un utilisateur cible accède au contenu concerné.

Pour se prémunir de ce genre de risque, les utilisateurs peuvent désormais accéder aux fichiers téléchargés par des utilisateurs et y ajouter du contenu HTML personnalisé via un domaine alternatif. Ce contrôle de sécurité s'appuie sur une fonction de sécurité de votre navigateur appelée « same-origin policy » (ou politique de même origine). Par conséquent, les scripts malveillants contenus dans les fichiers chargés par l'utilisateur et rendus dans un domaine ou un sous-domaine sont séparés des cookies, et donc des informations de session, de la session Blackboard principale.

Ce contrôle de sécurité renforce la sécurité de Blackboard grâce à une couche de défense supplémentaire afin de protéger encore mieux les utilisateurs contre les fichiers potentiellement malveillants téléchargés par des utilisateurs.

Blackboard recommande aux administrateurs de configurer ce contrôle de sécurité sur toutes leurs implémentations Blackboard. Il s'agit d'une bonne pratique de sécurité de Blackboard.

Un domaine ou un sous-domaine distinct constitue un moyen plus sûr d'accéder aux fichiers téléchargés par des utilisateurs à partir d'un serveur Blackboard Learn. Ce domaine distinct empêche que le contenu téléchargé par un utilisateur et comportant du script malveillant ne puisse être utilisé pour compromettre la session Blackboard Learn d'un utilisateur et, par conséquent, ses données. Lorsqu'un domaine ou un sous-domaine distinct est configuré, l'ensemble du contenu fourni par le domaine d'origine s'affiche dans le domaine distinct auquel il est simplement transféré. Ce processus est imperceptible par l'utilisateur.

Si un fichier téléchargé par un utilisateur contient des scripts malveillants visant à compromettre une session, les contrôles de sécurité du navigateur, appelés « same-origin policy » (politique de même origine), empêchent que la session dans laquelle s'affiche le fichier téléchargé par l'utilisateur ne puisse accéder à la session principale de ce dernier. La session principale de l'utilisateur sert à différentes activités, notamment pour passer des évaluations et consulter des notes. En cas d'attaque, celle-ci serait donc compartimentée et son impact limité. Et quand bien même des attaquants parviendraient à accéder à du contenu non autorisé, ils n'auront pas accès à la session principale de la victime ni à l'ensemble du site.