Developpez.com

Télécharger gratuitement le magazine des développeurs, le bimestriel des développeurs avec une sélection des meilleurs tutoriels

Sites web « sécurisés », en êtes-vous sûr ?
Des chercheurs en sécurité publient des résultats inquiétantes, suite à une étude

Le , par Amine Horseman, Expert éminent sénior
Des chercheurs en sécurité informatique ont publié un document dans lequel ils décrivent comment ils ont procédé pour tromper les services d’analyse de sites web utilisés pour rechercher de potentielles failles de sécurité. Dans leur rapport, ils expliquent que les fournisseurs de solutions de sécurité peuvent eux-mêmes constituer une vulnérabilité dont les hackers pourraient profiter pour récolter des statistiques sur le site web.

Les chercheurs ont procédé à une série d’expériences sur 10 solutions de sécurité, dont Norton, McAfee, Trust-Guard, SecurityMetrics, etc. Dans une des expériences, les deux tiers de ces fournisseurs ont été incapables de découvrir des failles de sécurité basiques telles que l’utilisation de paramètres GET/POST non encodés, ce qui permet aux attaquants d’introduire du code malveillant. Dans un site de e-commerce construit par les chercheurs et qui était volontairement infecté par plusieurs virus et vulnérable à plusieurs types d’attaques (injections SQL, attaques XSS et CSRF), 8 des 10 fournisseurs ont approuvé le site comme étant « sûr », pire encore, 2 de ces fournisseurs n’ont détecté aucun virus alors que ceux-ci étaient catalogués dans des bases de données publiques comme VirusTotal.

Dans une autre expérience, les scientifiques ont effectué des tests de pénétration manuels sur 9 sites web certifiés dont 4 sites e-commerce. Le test de pénétration a permis de montrer que 7 de ces 9 sites étaient sujets à des attaques XSS (cross-site scripting) et CSRF (Cross-Site Request Forgery ), et 3 des 4 sites e-commerce étaient sujets à des failles qui permettraient à des utilisateurs de changer les prix des produits.

Dans une troisième expérience, les chercheurs ont montré comment à l’aide de statistiques recueillies grâce à un script automatisé, ils ont pu savoir quand certains sites se trouvaient vulnérables. En effet, le principe est simple : il suffit de vérifier la présence ou non du sceau qui montre que le site est sécurisé. Ce sceau est fourni par les fournisseurs de services d’analyse lorsque le site passe avec succès un test de pénétration. Il arrive souvent que cette marque disparaisse du site, c’est soit parce que le contrat avec le fournisseur de service de sécurité a été rompu, soit que le site a échoué dans le test de pénétration. Dans les deux cas, expliquent les chercheurs, cela veut dire que le site est plus vulnérable que d’habitude et que c’est le meilleur moment pour tenter une attaque. Du coup, ce sceau de sécurité qui avait pour but de rassurer les utilisateurs du site et dissuader les hackers de tenter une attaque, s’est transformé en un moyen qui permet à ces derniers de connaître l’état de sécurité du site.

Source : article publié dans la Conference on Computer and Communications Security

Et vous ?

Utilisez-vous des services d’analyse de la sécurité des sites web ? Que pensez-vous des conclusions de cette étude ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de gangsoleil gangsoleil - Modérateur http://www.developpez.com
le 10/12/2014 à 10:56
Bonjour,

Rien de très surprenant là dedans malheureusement : "on" commence seulement à s'intéresser pour de vrai à la sécurité, que ce soient la PME du coin de la rue ou bien la multinationale. Et la raison est très simple, c'est que la sécurité, c'est un centre de coût.

Alors oui, ça évite potentiellement de perdre beaucoup d'argent. Mais ça reste une perte potentielle, par rapport à un investissement bien réel.
Avatar de Algo D.DN Algo D.DN - Membre éprouvé http://www.developpez.com
le 11/12/2014 à 17:37
Citation Envoyé par gangsoleil  Voir le message
Rien de très surprenant là dedans malheureusement : "on" commence seulement à s'intéresser pour de vrai à la sécurité, que ce soient la PME du coin de la rue ou bien la multinationale. Et la raison est très simple, c'est que la sécurité, c'est un centre de coût.

Alors oui, ça évite potentiellement de perdre beaucoup d'argent. Mais ça reste une perte potentielle, par rapport à un investissement bien réel.

Bonjour ici,

Tout à fait d'accord, j'ajouterais même que le coût est parfois estimé excessif sans même savoir ce que peut bien définir un périmètre de sécurité (physique/matériel/logiciel).

D'ailleurs aborder la problématique sécurité avec un interlocuteur peu au fait est un exercice de style particulier, c'est un peu comme essayer de justifier l'intérêt d'un vaccin saisonnier pour un individu et le potentiel risque encouru.
Offres d'emploi IT
Développeur c# asp.net h/f
NEXTGEN RH - Aquitaine - Bordeaux (33000)
Business Manager Energie (H/F)
Alten - Ile de France - Boulogne
Technicien en Fibre Optique FRANCE
Links IT SERVICES - Ile de France - FRANCE

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil