Je vois bien que vous maîtrisez le langage de programmation java, je ne prétends pas détenir la science infuse et malgré 7 ans d’expériences professionnelles en tant qu’administrateur réseau au sein d’une SS2I, je sais parfaitement que je ne suis pas le meilleur de ma catégorie... loin de là.

Très souvent, la sécurité d’un serveur est à la mesure des connaissances de l’admin qui le gère... j’ai commis pas mal d’erreurs en configurant JBoss AS par exemple, en laissant la configuration par défaut, pour aller plus vite et aussi par peur de tout « péter ».

Par expérience, je sais maintenant qu’il faut sécuriser le MBean Server et donc sécuriser l’adaptateur pour empêcher toute intrusion par navigateur web... et depuis, quelque soit les versions updates, je n’ai jamais vu une intrusion par voie des failles de sécurités applicatives.

Mais j’avoue que j’apprends tous les jours.

Les attaques les plus courantes sont les dénis de services sur le serveur MBean (attaque ddos) ou comme vous dites par injection SQL... mais là encore, si le programme de l’ingénieur en base de données est solide, cette attaque sera mise en échec.

En ce qui concerne Flame, ce n’étais qu’un exemple pour montrer que des gouvernements pouvaient embaucher les meilleurs informaticiens au monde pour réaliser leurs objectifs... ils ont les moyens financiers et technologiques pour « insérer » des petits programmes complètement invisible. (Kaspersky pense que Flame a été créé en 2010, il est donc rester indécelable pendant 2 ans... ce qui est énorme !).

Cordialement.