[Helpc] Les applications Web, maillon faible de la sécurité
- From: "Shaka( Rudy)" <strub.rudy@xxxxxxxxx>
- To: <helpc@xxxxxxxxxxxxx>
- Date: Fri, 11 Oct 2002 05:12:45 +0200
Les applications Web, maillon faible de la sécurité
Antonin Billet, <http://www.01net.com/nous_ecrire> 01net., le
10/10/2002 à 18h45
Au salon de sécurité organisé par RSA Security, des experts
informatiques recommandent aux entreprises de surveiller de près leurs
applications Web, cibles favorites des pirates.
« Allons-nous attendre d'être victimes d'une attaque cyber-terroriste ou
agit-on maintenant ? », s'interrogeait Art Covello, le PDG de RSA
Security, en ouverture de son salon européen, mardi matin. Sans tomber
dans l'alarmisme d'Art Covello, les experts en sécurité, réunis à la
conférence européenne de RSA Security, s'accordent sur la réelle menace
que représentent les pirates informatiques.
« On distingue quatre types de méfaits prisés par les pirates
informatiques : le vol de biens (financiers, intellectuels comme le code
source d'un programme...), la falsification de transactions Web, la
récupération d'informations personnelles sur des clients et la
défiguration d'un site Web », observe Peggy Weigle, la PDG de
<http://www.sanctuminc.com/> Sanctum, un éditeur américain de logiciels
de sécurité. « Et, contrairement à ce que l'on pourrait penser,
défigurer un site est l'un des hacks les plus difficiles à réaliser.
Lorsque cela arrive à une entreprise, cela signifie qu'elle a de gros
problèmes de sécurité », ajoute-t-elle.
Les entreprises ont déjà beaucoup investi dans la sécurité ces dernières
années, la majorité d'entre elles protègent trois couches de leur
informatique. Le poste de travail est protégé à l'aide d'un antivirus,
la couche de transport est sécurisée grâce au cryptage informatique et
la couche réseau s'abrite derrière un pare-feu. Mais cela ne suffit pas.
« La seule couche que les entreprises ne sécurisent pas est celle des
applications Web. Or, plus de 75 % des attaques exploitent les failles
des applications Web, selon les chiffres du cabinet d'études Gartner,
analyse Peggy Weigle. Si l'on observe les méthodes les plus utilisées
par les pirates, on s'aperçoit que la plupart d'entre elles utilisent
des dépassements de mémoire tampon, des formulaires malicieux, des
cookies empoisonnés, etc. Des attaques contre lesquelles un pare-feu est
impuissant. »
S'informer pour mieux se protéger
Également présent sur le salon, Stuart Mc Lane, l'auteur du best-seller
« Halte aux hackers » et cofondateur de la société de sécurité
informatique <http://www.foundstone.com/> Foundstone, a rappelé
quelques principes de bases de la sécurité informatique.
« Toutes les attaques réussies sont fondées sur une vulnérabilité. Il
est donc important que les administrateurs système appliquent les
correctifs de sécurité fournis par les éditeurs et s'abonnent aux listes
de diffusion Web consacrées à la sécurité, a rappelé Stuart Mc Lane. Les
outils de détection automatique de failles de sécurité sont utiles mais
ne suffisent pas. Les attaques les plus nombreuses sont réalisées via
http, sur le port 80. Les attaques exploitant des failles SQL sont
également très populaires. »
Pour démontrer ce dernier point, Stuart Mc Lane a expliqué une méthode
d'attaque appelée « injection de SQL ». En entrant une commande SQL
particulière dans un type de formulaire utilisé par les banques en
ligne, il parvenait à accéder à la base de données des clients et à
leurs coordonnées bancaires.
Petit frisson dans la salle : au moins une vingtaine de personnes
assistant à la démonstration travaillaient pour des banques. Nul doute
qu'elles sont reparties avec quelques vérifications à effectuer sur
leurs systèmes, en guise de travaux pratiques !
--->
Shaka( Rudy)
Helpc list owner
<mailto:shaka.rudy@xxxxxxxxx> shaka.rudy@xxxxxxxxx
Other related posts:
- » [Helpc] Les applications Web, maillon faible de la sécurité
