Vous pouvez souvent lire que 70 % des sites web sont piratables. La triste vérité est, cependant, que chaque site web et chaque application web peut être piraté, si l’on dispose de suffisamment de temps et de ressources.

Ce qui fait qu’un site web ou une application web se situe dans les 70 % mentionnés ci-dessus n’est pas seulement une question de vulnérabilité.

La sécurité de vos ressources web dépend également en grande partie des capacités et de la motivation du pirate.

Catégories d’attaquants et de victimes

Pour comprendre les risques de sécurité, vous devez d’abord savoir quels types de pirates vous pouvez rencontrer et comment ils choisissent leurs cibles.

Les attaquants peuvent être classés en trois catégories principales en fonction de leurs connaissances techniques, de leurs motifs et de leurs modes opératoires :

  • Script Kiddies : Ce terme désigne les attaquants amateurs, dont la motivation première est soit de semer le chaos (par exemple, par des attaques de déni de service), soit de gagner en réputation – plus rarement pour obtenir des gains financiers. Leurs connaissances techniques sont limitées et ils utilisent principalement les outils existants et cherchent à obtenir des gains faciles. Ils n’ont pas l’ambition d’accéder à des données sensibles, sauf si celles-ci ont une valeur financière directe, par exemple les numéros de cartes de crédit.
  • Black-hat hackers : Ce terme désigne les pirates professionnels, dont la motivation première est financière et dont les modes opératoires sont illégaux et contraires à l’éthique. Leurs connaissances techniques peuvent être vastes et ils peuvent employer des modes opératoires très complexes et efficaces. Malheureusement, de plus en plus de pirates informatiques sont maintenant impliqués dans le trafic illicite, ce qui les rend encore plus dangereux.
  • White-hat hackers : Ce terme fait référence aux attaquants professionnels, dont la motivation est financière, mais dont les modes opératoires sont légaux et éthiques. Ils vous aident à éliminer vos vulnérabilités en les trouvant et en vous informant à leur sujet. Les hackers en chapeau blanc ne causent aucun mal, bien au contraire. Vous devez les respecter et les inviter à tester vos défenses en offrant des primes pour les bugs trouvés (cette activité s’appelle “Bug Bounty”).

Les attaques peuvent également être divisées en deux catégories principales en fonction de la manière dont la victime est choisie :

  • Opportunistic attacks : Ce terme s’applique lorsque les victimes sont choisies au hasard en fonction de leur potentiel d’exploitation. L’attaquant scanne une série de victimes et trouve celles qui sont vulnérables à une technique d’attaque particulière. Par exemple, l’attaquant peut rechercher toutes les installations WordPress 1.5 qui sont vulnérables à l’injection SQL (CVE-2005-1687). De telles attaques sont très répandues chez les Script Kiddies.
  • Targeted attacks : Ce terme s’applique lorsque les victimes sont sélectionnées spécifiquement sur base d’une particularité pour l’attaquant. L’attaquant tente de trouver des problèmes de sécurité pour atteindre son objectif. Par exemple, l’attaquant peut essayer d’accéder à des données sensibles telles que la liste détaillée des clients d’une entreprise et sa motivation peut être l’espionnage industriel. Ce type d’attaque est le domaine des black hat hackers.

Même si vous pensez que votre activité n’a que peu de valeur pour les pirates professionnels, vous pouvez toujours être une cible potentielle pour une attaque opportuniste.

Et si la valeur de vos informations sensibles est suffisamment élevée, même un contrôle d’accès solide et des mécanismes de protection de pointe peuvent s’avérer insuffisants pour dissuader un pirate professionnel malveillant.

Plus vous faites pour vous protéger, moins il y a de chances que l’attaquant réussisse. Et la plus grande erreur que vous pouvez commettre est de penser que cela ne s’applique pas à vous.

L’importance de la sécurité des applications web

Quoique les attaques sur le web ne soient pas le seul type d’attaques pouvant conduire à un compromis de sécurité, elles sont l’un des types les plus courants avec toutes les formes d’ingénierie sociale (y compris le phishing) et les logiciels malveillants.

Ces types sont souvent utilisés conjointement. Toutefois, malgré l’importance de la sécurité des applications web, de nombreuses organisations ont encore du mal à la maintenir.

Voici mes recommandations sur la manière d’atteindre les meilleurs niveaux de sécurité :

  • Utiliser un système de détection heuristique : Si vous n’utilisez que des systèmes de détection basés sur la signature, vous ne protégez vos biens que contre les script-kiddies. Les Hackers professionnels s’appuient sur la recherche de vulnérabilités d’applications web qui ne peuvent être découvertes qu’à l’aide d’un scanner heuristique de vulnérabilité web, tel que BurpSuite, ou d’un test de pénétration manuel.
  • Privilégier la sécurité du web à celle des réseaux : Si vous vous concentrez davantage sur la sécurité des réseaux que sur la sécurité du web, vous devriez vous rendre compte qu’il y a eu très peu de violations majeures au cours des dernières années qui étaient dues à des problèmes de sécurité du réseau, comme celles associées aux erreurs SSL/TLS. En revanche, il y a eu un certain nombre de violations majeures causées par des problèmes de sécurité web figurant dans la OWASP, TOP 10 Vulnerabilities comme les attaques par injection SQL, le Cross-site Scripting (XSS), le CSRF, la mauvaise configuration des serveurs web et des conteneurs, etc.
  • Éliminer la source du problème : Si vous estimez qu’un pare-feu d’application web suffit à protéger vos données, vous devez savoir que les règles du WAF peuvent souvent être contournées à l’aide de codes malveillants et d’une saisie utilisateur bien élaborée. En utilisant un WAF sans autre mesure, vous n’éliminez pas la source du problème mais vous appliquez seulement un pansement temporaire.

La sécurité des applications web ne consiste pas seulement à découvrir les vulnérabilités de sécurité et à les éliminer, mais aussi à les prévenir.

Il s’agit de changer vos habitudes en matière de développement et d’exploitation du web :

  • Éduquer : La manière la plus efficace de réduire les risques d’attaque est d’éduquer toute votre équipe. Vos développeurs, administrateurs, testeurs, ainsi que le personnel non technique doivent être conscients des problèmes potentiels de sécurité du web et doivent savoir comment éviter d’introduire de tels problèmes.
  • Faire un recule afin de mieux avancer : Vous devez vous efforcer d’éliminer les problèmes de sécurité du web dès que possible et en incluant la sécurité du web dans le cycle de vie de votre développement logiciel. Si vous découvrez un problème sur votre serveur web de production et pas avant, cela peut être le signe que vos processus ne sont pas optimisés.
  • Être compréhensif : N’oubliez pas que la sécurité sur le web s’applique non seulement au contenu côté serveur et côté client accessible directement via les navigateurs web, mais aussi aux services web, aux API, aux services mobiles, aux dispositifs IoT, etc.

Si cet article vous parles, laissez un commentaire et partagez au max !

Total
0
Shares
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Related Posts