Plus de 300 000 sites internet vulnérables à cause de WordPress Statistics. Également, tous ceux utilisant le célèbre CMS et qui n’ont pas encore fait la mise à jour en 4.8.2 sont vulnérables à pas moins de 9 failles de sécurité. Constamment exposées, et alors que les utilisateurs attachent de plus en plus d’importance à la sécurité de leurs données, les entreprises peinent à rester protégées. Pour exemple, les attaques par injections restent les plus courantes alors qu’un simple codage rigoureux pourrait les éviter. Comment fonctionne les attaques par injections et notamment par injections dites SQL (Structured Query Language), et comment les éviter ? Si WordPress continu d’être une cible de choix par les injections SQL et apporte encore régulièrement des correctifs, ce n’est pas pour rien.

Outre les injections SQL, les plus simples à mettre en oeuvre et les plus répandues, d’autres plus complexes peuvent également être lancées comme les injections XPath, LDAP (dont Joomla vient d’être victime), XML (XXE), de commandes ou de logs… Ce sont des failles facilement exploitables aux conséquences pouvant être lourdes : corruption ou vol de données, déni d’accès, pouvant aller jusqu’à la prise en charge totale de l’hôte C’est pourquoi les injections sont toujours le principal risque selon le top 10 édité par l’OWASP.

Les injections SQL (qui représentaient 51% des cyberattaques menées sur les applications web lors du deuxième trimestre 2017, selon le rapport Akamai) sont souvent lancées par l’intermédiaire d’un formulaire présent sur le site internet attaqué. De ce fait, en injectant des caractères ou des lignes de codes, les hackers peuvent se connecter à des espaces clients sans les mots de passe par exemple. A plus haut niveau, les attaquants peuvent atteindre et corrompre les bases de données des sites internet (bases de données clients ou internes). Le langage SQL est varié et permet de mener de nombreuses actions. Les entreprises doivent se méfier des doubles requêtes, injections aveugles ou partiellement aveugles, plus dangereuses.

Le PSN PlayStation Network avait d’ailleurs été attaqué de cette façon en 2011, exposant les données personnelles de 77 millions de joueurs à travers le monde ainsi que les cartes bancaires d’une dizaine de milliers d’entre eux.

C’est également grâce à une injection SQL que des pirates russes ont volés plus de 1,2 milliard d’identifiants et de mots de passe sur plus de 420 000 sites web à travers le monde. (Lien vers l’article du blog si possible) (ajouter chiffre d’actualité)

Les conséquences pour les entreprises sont diverses. Leurs négligences de sécurité, rendues public par les attaques, impactent négativement leurs images d’une part et entraînent des pertes financières (compensations aux victimes, baisse d’activité) d’autre part. En effet, selon une étude NTT Com Security publiée l’année dernière, le coût moyen d’une cyberattaque s’élèverait à 773 000€ et une entreprise mettrait neuf mois pour s’en remettre. Avec l’entrée en vigueur le 25 mai 2018 du RGPD, une amélioration est à espérer puisqu’il imposera aux entreprises une meilleure protection des données personnelles de leurs clients. Elles en seront pénalement responsables. Le risque est donc à prendre au sérieux puisque les amendes pourront représenter 4% du chiffre d’affaires, jusqu’à 20 millions d’euros.

Les cyberattaques par injections sont, paradoxalement aux dégâts qu’elles peuvent causer, très simples à éviter. Quelques mesures doivent être appliquées pour empêcher les attaques par injections SQL :

– Ne plus utiliser de requêtes dynamiques

  • Intégrer des vérifications de sécurité (input validation)
  • Prévoir des requêtes de bases de données paramétrées : adaptées à chaque langage de code, elles permettent d’empêcher les attaquants de changer l’intention d’une requête (même si les commandes SQL ont été insérées par un hacker)
  • Utiliser des procédures stockées : elles ne sont pas toujours efficaces mais certaines peuvent avoir le même effet que les requêtes paramétrées. La différence avec celles-ci est que le code SQL est défini et stocké dans une base de données.
  • Utiliser les validations d’entrée de la “White list” : à utiliser si les techniques précédentes ne conviennent pas et à appliquer en solution secondaire.
  • Utiliser des requêtes captcha (caractères à recopier, cases “je ne suis pas un robot” à cocher) : largement utilisées pour protéger les formulaires et permettre un meilleur traitement de l’information en interne.

Lors de la construction du site internet, l’application des bonnes pratiques de sécurité dès les premières lignes de code constitue le premier rempart pour une bonne protection. Un site internet correctement sécurisé mettra plus de temps a être réalisé mais procurera une certaine sérénité.

La difficulté pour les entreprises réside dans le fait de savoir si leur SI est vulnérable. Peu connaissent leur niveau de risque réel et les failles de sécurité que les hackers peuvent exploiter. Afin de vérifier exhaustivement son IT, il est nécessaire de se tourner vers les solutions d’évaluation des cyber risques. Ce sera l’occasion d’analyser l’intégralité de son infrastructure pour déceler toutes les mauvaises configurations ou vulnérabilités, notamment sur les serveurs éteints qui attendent d’être relancés. “Pour aller plus loin, il est recommandé de choisir une solution qui effectue ces analyses en continu afin d’être alerté dès qu’une nouvelle faille sera détectée. Les entreprises ont besoin de solutions qui s’adaptent à leur environnement et facilitent le travail des équipes sécurité pour la détection de failles.

Si les solutions sont simples, pourquoi ne sont-elles pas appliquées ? La faute à une chasse aux failles trop chronophage, à un manqu e de moyens et de prise de conscience du danger par les entreprises. Celles-ci ne se rendent pas compte qu’elles peuvent devenir l’Equifax de demain, particulièrement les PME. En effet, rappelons que 77% des cyberattaques concernent les PME et en font donc les principales cibles des hackers. On dit qu’il vaut mieux prévenir que guérir. Les analyses préventives sont la première étape et peuvent permettent d’éviter les cyberattaques très répandues comme les injections. Alors pourquoi s’en priver ?

__________
Sergio Loureiro est PDG de SecludIT