Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Sécurité informatique : les attaques envers les sites en web 2.0 en augmentation
Selon le WASC

Le , par Katleen Erna

0PARTAGES

1  0 
Sécurité informatique : les attaques envers les sites en web 2.0 en augmentation, selon le WASC

Le WASC (Web Application Security Consortium), dans son rapport bi-annuel sorti en août 2009, indique une importante hausse des attaques sur les sites en web 2.0.

Il est ainsi rapporté que dans le premier semestre 2009, les attaques envers les réseaux sociaux du web 2.0 (comme par exemple le populaire Twitter) consituaient 19% de toutes les attaques rencensées. Ces sites reposant sur le web 2.0 brassent généralement un grand nombre d'utilisateurs qui y ajoutent leur propre contenu, ce contenu pouvant ouvrir certaines failles et les offrir aux pirates (comme, par exemple, les très efficaces CSRF - attaques "cross-site request forgery" exploitant la confiance qu'une application montre à l'égard de ses clients en forçant le navigateur de la victime à envoyer une requête silencieuse à l'insu de l'internaute -).

Viennent ensuite les sites commerciaux qui récoltent 16 % des attaques pour les organisations médiatiques, et 12 % pour les vendeurs de produits technologiques.

Les résultats des sites politiques et gouvernementaux se sont effondrés de la première (en 2008) à la quatrième place avec 12%.

Enfin viennent les sites de divertissement, avec 7%, et les sites financiers et d'éducation, tous deux avec 5%.

Selon WASC, les attaques à injection SQL (comme dans le cas récent du vol de plus de 130 millions de numéros de cartes bancaires) sont les plus utilisées par les hackers, avec 19 %, suivies par diverses attaques inconnues (lorsqu'on ne peut pas détecter quelle vulnérabilité a été utilisée) à hauteur de 11 %. Les attaques par déni de service, le spoofing ainsi que les attaques par force brute arrivent à égalité en troisième position avec 10%.

Ces chiffres sont apportés par la Web Hacking Incidents Database qui tient une liste des incidents de sécurité causés par des vulnérabilités, mais ne recense pas les vulnérabilités elle-mêmes.

Source : http://www.breach.com/resources/whit...dents-2009.pdf

Qu'est ce qui a provoqué, selon vous, une telle chute du nombre d'attaques sur les sites gouvernementaux et politiques ?

Le web 2.0 est-il particulièrement vulnérable ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de kaymak
Membre chevronné https://www.developpez.com
Le 20/08/2009 à 18:10
Selon WASC, les attaques à injection SQL (comme dans le cas récent du vol de plus de 130 millions de numéros de cartes bancaires) sont les plus utilisées par les hackers,
C'est encore possible sa ? Avec les ips, les méthodes de dév, et touuuusssss les efforts, la communication, il y à des sites internet qui éprouvent encore de telles erreurs ?
Faut les virer ces développeurs ?

Par contre ils ne font pas encore bruit d'escroquerie ou chantage sur des si ? Car pour le e-commerce notamment, c'est une des plus grandes craintes à avoir.

Qu'est ce qui a provoqué, selon vous, une telle chute du nombre d'attaques sur les sites gouvernementaux et politiques ?
Tensions politiques qui s'apaisent (chine/inde/japon/corée/usa/russie/georgie/pakistan ect (et non ce n'est pas une liste des forces du mal muhahaha, bref) )
Actualité politique qui s'apaise aussi. Obama à moins d'ennemis que bush.
Sa suit le mouvement.

Le web 2.0 est-il particulièrement vulnérable ?
Je dirais plutôt qu'à mesure qu'Internet devient de plus en plus présent (twitter est une action à réalisé tous les jours en permanence), les attaques sont plus nombreuses et donne l'impression d'être plus grave parce que cela touche tlm (de ppda à meme jaquemin).

M'enfin le pire reste à venir !
1  0 
Avatar de Katleen Erna
Expert éminent sénior https://www.developpez.com
Le 20/08/2009 à 23:47
Merci pour tes participations récurrentes sur les sujets de sécurité Kaymak
1  0 
Avatar de mitnick2006
Membre régulier https://www.developpez.com
Le 21/08/2009 à 1:17
d'après ce rapport on constate que malgré l'évolution du web en version 2.0, et le développement des outils de sécurité efficaces, les attaques des
hackers ne cessent pas pour détruire ce type de sites!!
1  0 
Avatar de MadCat34
Membre habitué https://www.developpez.com
Le 21/08/2009 à 2:46
Dans un article du magasine Hakin9, il y a un sujet très intéressant qui concerne un framework d'audit d'application Web. Je ne peux qu'en recommander la lecture.

Il s'agit de W3AF (Web Application Attack and Audit Framework).
Cela pourrait être utile pour une grande partie des développeurs Web.

Si quelqu'un connait et s'en est déjà servi, cela pourrait être intéressant de nous pondre un petit tuto
1  0 
Avatar de Patriarch24
Membre expérimenté https://www.developpez.com
Le 21/08/2009 à 9:11
Les attaques par injection SQL sont si fréquentes que cela ? C'est une vraie misère...
1  0 
Avatar de Lyche
Expert confirmé https://www.developpez.com
Le 21/08/2009 à 9:21
Alors que pour lutter contre les SQL Injection c'est pas ce qu'il y a de plus compliqué quand même.. Je trouve ça navrant. Et parfois c'est même flippant, parce que ceux qui vont patir de ces rapports c'est nous. Si les attaques sur les sites web se font plus fréquentes c'est qu'il y a un problème au niveau sécurité. Et qui gère la sécurité des sites? Les développeurs.
On va me dire "oui mais on a pas les délais pour le faire" Mais ça, l'opinion publique s'en fou. Pour lui, étant donné qu'on ne lui racontes pas tout, il va se dire "nos sites sont mal conçus", il va être de plus en plus difficile de faire son trou dans le dev web.
Le Web 2.0 n'est pas plus vulnérable, pour moi c'est le protocole http qui l'est. Pourquoi? Simplement parce qu'a l'origine il n'était pas prévu pour s'étendre, qu'a l'origine ce protocole à juste été conçut sans sécurité puisqu'il s'étendait uniquement entre certaines fac US et qu'ils n'ont pas jugé utile de crypter et de sécuriser ce protocole. La petite anecdote c'est quand même qu'il y a plus de ligne de code pour patcher les failles de sécurité de ce protocole qu'il n'y a de lignes code pour le protocole en lui même.
C'est navrant de voir que tout un système est basé sur un protocole totalement non sécurisé et vulnérable aux attaques de tout type. (je suis pas hacker je ne connais pas les différents types d'attaques sauf les plus connu style SQL Injection ou détournement et modification de données de flux.)
Pour moi, je pense que tout le système du web tel qu'il est conçut à l'heure actuel devrait être repensé, et refait. Mais cela demanderais beaucoup de temps, beaucoup d'argent et surtout, cela demanderais de faire un gros RàZ du web, et ça, c'est pas possible dans l'état actuel des choses.
1  0 
Avatar de MadCat34
Membre habitué https://www.developpez.com
Le 21/08/2009 à 10:48
Il ne faut pas oublier qu'a la base, le protocole HTTP a été créé pour simplement transférer des données...(sous forme de pages HTML).
Ce sont les développeurs qui ont, en quelque sorte, "détourné" l'utilisation du protocole HTTP.
1  0 
Avatar de kaymak
Membre chevronné https://www.developpez.com
Le 21/08/2009 à 19:51
Comme dns, tcp, pop/smtp ect qui sont tous de vieux protocoles poussés à leurs limites.
Le problème de ces protocoles c'est qu'ils semblent appartenir au domaine public, et que chacun ajoute sa pierre, pour le meilleur ou pour le pire.
Aujourd'hui ils rendent le service qu'ont leur demande, même plutôt bien.
Mais à quel prix ?
Celui de la sécurité, simplicité, cohérence ect ?

M'enfin bon c'est un problème bien compliqué qui s'augure. Qui pourrait prendre en charge l'évolution, le support, la standardisation de ces protocoles pour le compte au final de société aussi diverses qu'adversaires. Je pense à microsoft et google pour le mail par exemple. Microsoft cisco sur la partie réseau. Chacun voulant aller dans son sens....

Citation Envoyé par Katleen Erna Voir le message
Merci pour tes participations récurrentes sur les sujets de sécurité Kaymak
Héhé elles sont sympas ces news !
Mais si y'avait quelques pontes qui rodaient dans le coin pour élever le niveau se serait sympa aussi.
1  0 
Avatar de zul
Membre éclairé https://www.developpez.com
Le 22/08/2009 à 1:06
Quelles sont les failles de sécurités imputés au protocole HTTP ?

Comme ça personnellement je ne vois pas. Pour la majorité des autres protocoles cités, il n'y a pas eu de vrais failles (on peut évidemment critiquer la possibilité d'éditer FROM TO cependant, mais bon ).

Les SQL injections sont un problème de développment, ce n'est pas vraiment lié à HTTP. On peut avoir le même genre de chose avec des applis lourdes. Et ça reste assez alarmant qu'ils existent encore ce genre de problèmes, vu que c'est un problème assez "simple" à corriger.

Sinon je suis assez d'accord sur le fait que HTTP n'est probablement pas un protocole adapté au "web 2.0", des choses comme XMPP seraient probablement plus adaptés, mais bon, le passif est là maintenant. Au passage, tout Internet marche sur la tête : c'était censé être un réseau massivement décentralisé, en point à point. Au final, on a des informations massivement centralisés, et on fait des contorsions dans tous les sens pour les problèmes de NAT dans tous les sens (problèmes qu'on aurait pu éliminer depuis un moment avec IPv6).
1  0 
Avatar de olaxius
Membre averti https://www.developpez.com
Le 22/08/2009 à 15:08

C'est encore possible sa ? Avec les ips, les méthodes de dév, et touuuusssss les efforts, la communication, il y à des sites internet qui éprouvent encore de telles erreurs ?
Faut les virer ces développeurs ?
Bon je vais precher pour ma chapelle , je suis developpeur dans une pme !
Mais dans ce genre de boite on fait tout !
Developpement certe mais aussi on fait de la maintenance, assistance,réparation,réseaux .
Biensur on est multi plateforme, on gère aussi le parefeu, on déplace les ordi, on s'occupe du téléphone, on cable, on teste les onduleurs , on change même les ampoules electriques (si,si) et on fait même de la traduction pour le service commercial ...
En etant aussi polyvalent eh bien moi je vous dis que l'on a pas trop le temps de se plonger dans la litterature et de palier les deficiences des divers application que l'on utilise.
Tous les informaticiens travaillant dans le même genre de boite que moi vous le dirons on repond à l'urgence tout le temps alors les SQL INJECTION pffff on s'en tamponne un peu le coquillard et tant pis si on est pas doué pour le developpement mais en tout cas la boite elle continue de tourner même avec de potentialité de SQL INJECTION !!!
1  0