Neuf grandes menaces pour les applications web

0

Des vulnérabilités dans les applications web touchent plusieurs domaines, notamment les outils d’administration de bases de données (par exemple, phpMyAdmin), les applications SaaS ou encore les systèmes de gestion de contenu, tels que WordPress. Les applications web, faisant partie intégrante des processus métiers, sont une cible facile pour les cybercriminels lorsqu’elles ne sont pas sécurisées.

Les neuf vecteurs décrits ci-dessous sont les plus couramment utilisés par des concurrents ou des acteurs malveillants pour dérober des données ou perturber des applications web d’autres entreprises. Cette liste aidera les équipes de sécurité – et les responsables informatiques – à planifier leurs stratégies pour contrer ces attaques.

Une analyse qui peut être retrouvée dans son intégralité ici

  1. Web Scraping – L’extraction de données de sites web est utile à plusieurs égards, que ce soit pour réaliser une étude de marché ou pour l’indexation des pages par les moteurs de recherche.
  2. Backdoor – Un backdoor est une forme de malware qui permet de contourner l’authentification par identifiant pour pénétrer dans un système. De nombreuses entreprises offrent à leurs collaborateurs et partenaires un accès distant aux ressources de leurs applications, notamment les serveurs de fichiers et les bases de données. Grâce à un backdoor, des acteurs malveillants peuvent déclencher des commandes dans un système piraté et mettre à jour leur malware. Les fichiers des attaquants sont généralement très bien masqués, ce qui les rend difficiles à détecter.
  3. SQL Injection (SQLI) – Du code SQL est utilisé pour manipuler les back-ends de base de données. Celui-ci accède à des données que votre entreprise n’avait pas l’intention de rendre publiques, par exemple des informations confidentielles, des bases d’utilisateurs ou des fichiers clients. L’effacement inopportun de documents fait aussi partie des risques. Les attaquants peuvent même s’octroyer des droits d’administrateur. C’est ce qui est arrivé en 2017 à WordPress, Hetzner en Afrique du Sud, GoDaddy et, bien entendu, Equifax. Rien que dans ce dernier cas, quelque 145 millions d’enregistrements ont été piratés.
  4. Cross-Site Scripting (XSS) – Cette méthode courante consiste à insérer du code malveillant dans une application web où une vulnérabilité a été découverte. A la différence d’autres types d’attaques web, telles que SQLI, celle-ci ne cible pas votre application web mais plutôt ses utilisateurs, ce qui se traduit par un préjudice pour vos clients et pour la réputation de votre entreprise.
  5. Reflected XSS – Ces attaques (également dites « non persistantes ») emploient un script malveillant pour renvoyer le trafic vers le navigateur d’un visiteur depuis votre application web. Déclenchée via un lien, une requête est adressée à un site web vulnérable, éventuellement le vôtre. Votre application web est alors manipulée pour activer des scripts nuisibles.
  6. Cross-Site Request Forgery (CSRF) – Une attaque CSRF (également appelée XSRF, Sea Surf ou Session Riding), trompe le navigateur de l’utilisateur – connecté à votre application web – afin de lui faire exécuter une action non autorisée. L’objectif peut être un transfert de fonds illicite, un changement de mot de passe ou encore le vol de cookies de session et de données d’entreprise.
  7. Man in the Middle (MITM) – Ce type d’attaque peut se produire lorsqu’un acteur malveillant s’intercale entre votre application et un utilisateur sans méfiance. Il peut servir à intercepter des échanges ou à usurper une identité, sans que rien ne le laisse soupçonner. L’attaquant peut ainsi facilement pirater des identifiants de compte, numéros de carte de crédit et autres informations personnelles.
  8. Phishing – Le phishing demeure l’une des techniques d’ingénierie sociale les plus répandues. Comme les attaques MITM, il peut avoir pour but le vol de données des utilisateurs (numéros de carte de crédit, identifiants…). Les auteurs, se faisant passer pour un interlocuteur de confiance, incitent par ruse leurs proies à ouvrir un e-mail, un texte ou un message instantané, puis à cliquer sur un lien dissimulant une charge malveillante. Il peut en résulter l’installation discrète d’un malware, le blocage du PC de l’utilisateur par un ransomware ou encore l’exfiltration de données sensibles. L’un des principaux exemples en est le piratage de Target qui a touché plus de 40 millions de cartes de paiement pendant les fêtes. Les auteurs de l’attaque n’ont eu qu’à dérober les identifiants d’un sous-traitant en charge des systèmes de climatisation de l’entreprise. En effet, pour pouvoir en effectuer la maintenance à distance, ce sous-traitant avait accès au réseau interne de Target et c’est via son compte que cet accès a été piraté.
  9. Remote File Inclusion (RFI) – Cette attaque exploite les failles des applications web qui font des appels dynamiques à des scripts externes. Elle en profite pour y implanter un malware et prendre le contrôle du système.

About Author

Daniel Svartman

Daniel Svartman est chercheur en sécurité chez Imperva avec plus de quinze ans d'expérience. Avant de rejoindre Imperva, il a travaillé chez Deloitte en tant que pen-tester. Sa spécialité, la recherche de nouveaux bugs dans les sites internet et les infrastructures avec à son palmarès, la découverte de dix vulnérabilités zéro day.

Leave A Reply