Ces derniers temps, le coût des cyberattaques a enregistré une forte hausse. D’ici à 2021, les dommages causés par la cybercriminalité devraient se chiffrer à 6 000 milliards de dollars. L’impact négatif sur les entreprises est si préoccupant que les cyberattaques ont été qualifiées de risque numéro un en 2018 par le Forum économique mondial. Les attaques sur le Web constituent un problème majeur. Sachant que la plupart des entreprises exercent leur activité via le Web, maintenir une visibilité et une sécurité totale peut se révéler difficile. Qu’il s’agisse de défaçage de site Web pour porter atteinte à l’image d’une entreprise, de vol d’informations sensibles ou d’attaques par déni de service, les chances de subir une cyberattaque ont considérablement augmenté et les sites Web sont les premières cibles visées.
Principales menaces et vulnérabilités
En tête de liste des menaces Web figurent le Cross-Site Scripting (XSS) et les injections SQL (Structured Query Language). Ce sont les deux principales méthodes utilisées par les cybercriminels et elles représentent 50% des attaques.
Une attaque par injection SQL se produit lorsqu’une requête SQL est insérée dans un champ de données de formulaire d’un serveur par exemple. Le but du hacker : tirer parti d’une mauvaise configuration du serveur afin de le modifier ou de télécharger des données. Le piratage de la société TalkTalk, qui a touché 157 000 clients en 2015, est l’exemple type d’une attaque par injection SQL. Cette attaque a été rendue possible grâce à l’exploitation d’une vulnérabilité dans l’application de base de données. Cette technique d’attaque a également été utilisée par des hackers lors des élections présidentielles américaines de 2016.
Une attaque XSS cible quant à elle le coté utilisateur plutôt que serveur. Elle vise à prendre le contrôle des applications, des périphériques ou des données d’un utilisateur. Ce type d’injection cible aussi bien des sites Web anodins que de confiance. Le mode opératoire est le suivant, un hacker insère un script de commande à la fin d’une entrée de texte dans une page web (un lien dans un message de forum par exemple, invitant les lecteurs à visiter un autre site), quand la victime clique dessus, son navigateur web l’amène à l’adresse indiquée mais surtout exécute le script de commande du hacker. L’attaquant peut alors par la suite faire télécharger au navigateur web de la victime – et sans que cette dernière ne s’en aperçoive – un malware qui va réaliser des actions malveillantes telles qu’enregistrer ses frappes au clavier ou voler ses cookies (login et mot de passe temporaires) pour se faire passer pour lui auprès de site web commerciaux. Des vulnérabilités telles que SQL et XSS sont dues au mauvais filtrage des caractères de script ou de format des données lors de la création des applications Web. Chaque site étant unique et géré individuellement, il est régulièrement actualisé. Les hackers saisissent cette opportunité étant donné la faible fréquence des mises à jour de sécurité ou des tests des sites Web. Ils continuent à employer cette méthode d’attaque en raison de la multitude de sites Web disponibles.
Instaurer des mesures de sécurité efficaces
Dans un monde idéal, les mesures de sécurité requises seraient intégrées aux sites Web. Les équipes de sécurité et les développeurs travailleraient en tandem pour s’assurer que les systèmes sont en permanence surveillés, mis à jour et que des correctifs leur sont appliqués. Dans le cadre des bonnes pratiques de sécurité, la mise en place d’un pare-feu pour applications Web (WAF) afin de protéger les sites Web contre les vulnérabilités connues, comme les attaques par injection XSS et SQL, réduit les risques potentiels.
Les entreprises qui exploitent un site simple, aux fonctionnalités limitées, peuvent confier la gestion, l’examen et la conduite fréquente de tests de sécurité à des spécialistes de la sécurité et du Web. En revanche, dans le cas de sites Web plus exigeants et complexes en perpétuelle évolution, des tests réguliers ne suffisent pas. Une surveillance constante des menaces et une analyse continue des vulnérabilités du site Web sont nécessaires. La question est également de savoir si l’entreprise délègue ou non la gestion et la maintenance de son site à une société d’hébergement. Si tel est le cas, elle doit se renseigner sur les mesures de sécurité offertes par le prestataire ainsi que sur les processus d’intervention face aux attaques, et savoir qui veillera à l’application des mécanismes de défense. Ces informations sont vitales, en particulier pour les petites entreprises qui sont généralement plus exposées à des attaques visant leur site Web.
Si l’entreprise héberge elle-même son site Web sans passer par un prestataire, ses autres systèmes d’informations doivent impérativement être protégés et isolés des serveurs Web. Cela limite les risques qu’un hacker n’utilise le serveur Web en tant que portail pour s’attaquer aux systèmes opérationnels.
Enfin, lors des discussions autour de la sécurité Web, il est important de ne pas négliger la sécurité de la chaîne logistique. L’omission de cet aspect peut permettre aux hackers de modifier le code des outils de création de sites Web afin d’y introduire des portes dérobées ou des malwares. Pour éviter ce problème, il convient de s’assurer que le fournisseur Web met rigoureusement en œuvre des mesures de sécurité et des tests adéquats.
Il n’existe pas de méthode simple pour garantir la sécurité, en particulier lorsqu’il s’agit d’un site Web. Face à des hackers qui renouvellent sans cesse leurs techniques d’attaque, les défis auxquels les entreprises sont confrontées ne peuvent que s’accentuer. La sécurité ne doit pas être reléguée au second plan, mais être prise en compte tout au long de la phase de développement d’un système. Pour parvenir à une véritable cyber-résilience, les entreprises doivent évaluer les menaces, bien comprendre leurs besoins et cerner leurs exigences afin de déterminer comment remédier aux vulnérabilités.
___________
Julien Ménissez est Cyberdefence Product Manager, Airbus CyberSecurity