IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Plus de 50 % des sites web de grandes entreprises françaises contiennent une faille grave
Selon une étude sur la sécurité des sites web en France

Le , par Coriolan

145PARTAGES

7  0 
Les sites web sont partie intégrante de notre quotidien, qu’ils soient professionnels ou privés. Pour cette raison, le renforcement de leur sécurité s’avère décisif pour empêcher toute fuite d’information ou de fraude, qui pourrait être catastrophique pour la sécurité des internautes. Malheureusement l’actualité nous prouve que le web est loin d’être sûr, avec les attaques et les menaces de la cybercriminalité qui se font de plus en plus récurrentes.

Selon une étude réalisée par le cabinet Wavestone, 100 % des sites web des grandes entreprises françaises ont des failles de sécurité avec 60 % présentant au moins une faille grave permettant la fuite de données en masse. Le cabinet a combiné les résultats de 128 audits de sécurité réalisés par les équipes Cybersécurité et Digital Trust auprès de 82 structures issues des 200 premières entreprises françaises dans huit secteurs d’activité (banque/assurance, santé, énergie, services, télécom, transport, institutions publiques) entre juin 2015 et juin 2016.

Ce qui inquiète dans cette étude est l’ampleur du problème ; dans tous les sites web testés (84 sites internet et 43 sites sur des réseaux privés d’entreprise), pas un seul n’est sûr, tous ont contenu au moins l’une des 47 failles testées. Pire encore, plus de la moitié des sites web accessibles au grand public contiennent au moins une faille grave, permettant à des cybercriminels d’accéder à l’ensemble du contenu et/ou compromettre le serveur.


44 % des sites concernés par cette étude ont des problèmes de cloisonnement, c’est-à-dire qu’ils contiennent des failles permettant d’accéder aux données des autres utilisateurs du site sans restriction. « Par exemple, sur un site bancaire, il était possible de consulter les sessions des autres personnes connectées en même temps, très simplement, à partir d'un compte piraté », explique Gérôme Billois, expert en sécurité chez Wavestone. Cela veut dire que le contrôle d’accès est défaillant et les privilèges octroyés aux utilisateurs sont peu vérifiés.

Un autre vecteur d’attaque concerne cette fois le dépôt de fichiers permettant de compromettre le serveur applicatif par l’exécution d’un code malveillant. Un attaquant peut par exemple exploiter la fonctionnalité d’envoi de fichiers dans les sites afin de faire remonter des fichiers piégés pour lancer un programme malveillant sur le serveur, qui permettra au pirate d’en prendre le contrôle. « Un attaquant peut ainsi aisément prendre la main sur un serveur et accéder à la base de données du service, qui est très rarement chiffrée, car le serveur a besoin d'accéder en clair à certaines informations », explique Gérôme Billois.

Les autres failles jugées moyennes ne sont pas moins problématiques, à l’image de la vulnérabilité du “cross site request forgery” qui touche deux tiers des sites français. Elle présente un grand intérêt pour les pirates puisqu’elle leur permet de consulter les autres onglets ouverts au sein du même navigateur (Chrome, Firefox, Internet Explorer…) lorsque l’internaute visite un site piégé. En conséquence, il sera possible de recueillir des informations sensibles (des coordonnées bancaires par exemple) si l’internaute a ouvert le portail en ligne de sa banque. De plus, la possibilité de rejouer des requêtes à l’insu d’un utilisateur (XSRF ou CSRF) aide le cybercriminel à réaliser des actions à l’insu de l’utilisateur comme le changement de l’adresse du contact pour réattribuer le mot de passe par email.

L’étude a permis aussi de mettre au clair l’existence de failles dites mineures, qui ne permettent pas la fuite de données, mais peuvent aider les cybercriminels à mener des attaques plus élaborées en fournissant des indications sur la conception du site. Cette étude a montré également que le langage de développement a son rôle à jouer dans l’existence du risque. Ainsi, 75 % des sites développés en PHP contiennent au moins une faille grave, contre 40 % pour ceux développés en Java. Le nombre moyen de failles par site reste néanmoins identique, quel que soit le langage utilisé.

La plupart des sites web concernés par cette étude ont été défaillants dès leur conception, en raison de la non-participation des équipes responsables de la sécurité des systèmes d'information dans la prise de décision. « Les sites sont réalisés à la va-vite, pour une campagne markéting ou un lancement de produit », dénonce Gérôme Billois. « Faute d'un "crash test" avant la mise en ligne, comme dans l'automobile, il faut absolument que les donneurs d'ordre se mobilisent sur ces questions de cybersécurité. Les affaires récentes, de Yahoo! à LinkedIn, ont fait progresser les choses, mais trop de dirigeants pensent que cela reste un problème limité à ces entreprises technologiques, de la Silicon Valley ».

Pour Yann Filliat, responsable de l’équipe d’audit de sécurité de Wavestone « la gestion actuelle des projets ne laisse pas beaucoup de place à la sécurité : mise en production urgente, projet dont on apprend l’existence à sa sortie, etc. L’intégration de la sécurité dès le début du projet est l’une des clés à maitriser pour améliorer ce chiffre », écrit-il. « Cependant le rythme ne cesse de s’accélérer avec l’essor des méthodes agiles, DevOps… Pourrait-on réaliser un test tous les 15 jours alors qu’il n’est pas possible aujourd’hui d’en faire un seul avant la mise en production ? Ces nouvelles méthodologies sont pourtant une opportunité d’appliquer ce qui n’a jamais été possible : intégrer la sécurité en continu dans le processus de développement en rapprochant les contrôles des développeurs. »

Autrement dit, seul l’investissement dans les compétences des équipes, en particulier les développeurs, sera en mesure d’instaurer la sécurité comme une composante clé dans chaque instant des projets au lieu d’une simple étape dans des processus peu suivis.

Source : Les Echos

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

WordPress est de loin le CMS le plus ciblé par les cyberattaques, en grande partie en raison du mauvais entretien et la négligence des webmasters

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Doksuri
Expert confirmé https://www.developpez.com
Le 06/10/2016 à 17:18
Qu'en pensez-vous ?
qu'on fait trop confiance. Je crois que beaucoup de gens se disent "c'est un grand groupe, ils doivent mettre les moyen en securite" ou alors "c'est une banque, ca doit etre 200% fiable"

peut-etre que ce genre d'etude permettra d'alerter les gens sur le fait que meme virtuellement, le risque zero n'existe pas (meme pour les grosses boites).
2  0 
Avatar de Wyl_Coding
Membre du Club https://www.developpez.com
Le 08/10/2016 à 11:56
Normal quand on ne veux pas payer les dév ou alors au rabais...
1  1 
Avatar de autran
Rédacteur https://www.developpez.com
Le 02/01/2017 à 19:56
Le SQL injection !
On ne peut le faire que sur des sites développés par des gens qui n'ont jamais entendu parler de l'objet. Même en PHP une simple classe connexion permet de s'en affranchir.
La DSI doit former les bricolos qui font du shadow IT aux techniques de production de code propre.
1  1