Groupe Action Télécom

Cyberattaques : mieux comprendre pour mieux contrer

 

Parler des attaques sur le Web est presque devenue une habitude. "Defacement" (défiguration, en français), fuite de données, attaque par "déni de service" sont des termes qui jalonnent les éditos pour nous expliquer comment des pirates se sont « débrouillés » pour voler ou détruire des données, pour rendre inaccessible un site web ou le défigurer et provoquer des impacts ô combien lourds pour les entreprises et utilisateurs.

 

  • Comprendre les mécanismes : 

Comme en architecture du bâtiment, l'informatique peut connaître des défauts de construction. Telle une fissure dans un mur qui le fragilise, et dont un coup de burin bien placé suffit à le faire tomber, le hacker malveillant n'a qu'à chercher les failles et taper dedans. Dans le Top 10 des failles de sécurité dont on dit qu'elles sont « exploitées » par les attaquants figurent le Cross-Site Scripting (XSS, en abrégé) et "l'injection SQL" (SQLi). Des termes certes un peu barbares, mais qu'il convient de bien retenir en ce qu'ils représentent aujourd'hui la porte d'entrée de plus de la moitié des attaques.

> Qu'est-ce qu'une injection SQL ? Le SQL (Structured Query Language) est un langage permettant de communiquer avec une base de données. Ainsi, lorsqu'un site Web comprend une base de données, le modus operandi de l'attaquant consiste souvent, via un formulaire Web ou couple Login / password à introduire des commandes dans ce langage, dans le but de dialoguer avec la base, de la modifier ou d'en télécharger le contenu.

> Le Cross-Site Scripting permet à un utilisateur légitime, par exemple un utilisateur de blog, d'ajouter une commande de script à la fin d'une entrée de données textuelles. Lorsqu'un autre utilisateur clique dessus, la commande s'exécute avec les autorisations de cet utilisateur. La finalité pour un attaquant peut être de dérober les informations personnelles de l'utilisateur légitime ou de lui envoyer des malwares.

Si ces failles sont connues, pourquoi alors ne pas les contrer ? Ces failles existent en raison du filtrage insuffisant et peu robuste des données attendues par l'application web, lors de la phase de développement (c'est-à-dire l'étape des fondations, pour reprendre notre analogie du début avec le BTP). Ces failles se perpétuent dans le temps, dans la mesure où chaque site Web est conçu sur mesure et continuellement mis à jour.

Il faut dire que, malheureusement, la sécurité est rarement prise en compte dès la conception des applications et que les phases de configuration et de test des sites Web ne sont pas toujours aussi approfondies qu'on le souhaiterait en tant qu'experts de la sécurité. C'est heureusement moins le cas lorsqu'il s'agit d'applications commerciales grand public.

  • Quels remèdes pour contrer ces modes opératoires ?

Selon la nature du site :

-S'il s'agit d'un site web simple avec des fonctions minimales ; possible de s'en remettre à un développeur compétent en développement sécurisé web qui saura comment configurer le serveur de façon sécurisée et pourra entreprendre une évaluation rigoureuse du code.

-Site web plus complexe en perpétuelle évolution ; mettre en place un processus de vérification des failles en continu.

-La sécurité à la conception (security by design) ; si vous avez recours à un hébergeur pour votre site web et que vous n'avez pas d'équipe dédiée à la sécurité, il est important de vérifier que l'offre de votre prestataire comprend des contrôles de sécurité, des réductions d'attaques DDoS (déni de service) 

Si vous hébergez vous-mêmes votre site web ; il faut s'assurer que vos propres systèmes sont bien protégés et bien séparés du serveur Web, et ce, pour empêcher l'utilisation du serveur Web comme cheval de Troie dans le but d'attaquer les systèmes informatiques de votre entreprise.

 

Source et Article complet sur : La Tribune