Sécurité informatique : les attaques envers les sites en web 2.0 en augmentation
Selon le WASC
Le 2009-08-20 17:46:05, par Katleen Erna, Expert éminent sénior
Sécurité informatique : les attaques envers les sites en web 2.0 en augmentation, selon le WASC
Le WASC (Web Application Security Consortium), dans son rapport bi-annuel sorti en août 2009, indique une importante hausse des attaques sur les sites en web 2.0.
Il est ainsi rapporté que dans le premier semestre 2009, les attaques envers les réseaux sociaux du web 2.0 (comme par exemple le populaire Twitter) consituaient 19% de toutes les attaques rencensées. Ces sites reposant sur le web 2.0 brassent généralement un grand nombre d'utilisateurs qui y ajoutent leur propre contenu, ce contenu pouvant ouvrir certaines failles et les offrir aux pirates (comme, par exemple, les très efficaces CSRF - attaques "cross-site request forgery" exploitant la confiance qu'une application montre à l'égard de ses clients en forçant le navigateur de la victime à envoyer une requête silencieuse à l'insu de l'internaute -).
Viennent ensuite les sites commerciaux qui récoltent 16 % des attaques pour les organisations médiatiques, et 12 % pour les vendeurs de produits technologiques.
Les résultats des sites politiques et gouvernementaux se sont effondrés de la première (en 2008) à la quatrième place avec 12%.
Enfin viennent les sites de divertissement, avec 7%, et les sites financiers et d'éducation, tous deux avec 5%.
Selon WASC, les attaques à injection SQL (comme dans le cas récent du vol de plus de 130 millions de numéros de cartes bancaires) sont les plus utilisées par les hackers, avec 19 %, suivies par diverses attaques inconnues (lorsqu'on ne peut pas détecter quelle vulnérabilité a été utilisée) à hauteur de 11 %. Les attaques par déni de service, le spoofing ainsi que les attaques par force brute arrivent à égalité en troisième position avec 10%.
Ces chiffres sont apportés par la Web Hacking Incidents Database qui tient une liste des incidents de sécurité causés par des vulnérabilités, mais ne recense pas les vulnérabilités elle-mêmes.
Source : http://www.breach.com/resources/whit...dents-2009.pdf
Qu'est ce qui a provoqué, selon vous, une telle chute du nombre d'attaques sur les sites gouvernementaux et politiques ?
Le web 2.0 est-il particulièrement vulnérable ?
Le WASC (Web Application Security Consortium), dans son rapport bi-annuel sorti en août 2009, indique une importante hausse des attaques sur les sites en web 2.0.
Il est ainsi rapporté que dans le premier semestre 2009, les attaques envers les réseaux sociaux du web 2.0 (comme par exemple le populaire Twitter) consituaient 19% de toutes les attaques rencensées. Ces sites reposant sur le web 2.0 brassent généralement un grand nombre d'utilisateurs qui y ajoutent leur propre contenu, ce contenu pouvant ouvrir certaines failles et les offrir aux pirates (comme, par exemple, les très efficaces CSRF - attaques "cross-site request forgery" exploitant la confiance qu'une application montre à l'égard de ses clients en forçant le navigateur de la victime à envoyer une requête silencieuse à l'insu de l'internaute -).
Viennent ensuite les sites commerciaux qui récoltent 16 % des attaques pour les organisations médiatiques, et 12 % pour les vendeurs de produits technologiques.
Les résultats des sites politiques et gouvernementaux se sont effondrés de la première (en 2008) à la quatrième place avec 12%.
Enfin viennent les sites de divertissement, avec 7%, et les sites financiers et d'éducation, tous deux avec 5%.
Selon WASC, les attaques à injection SQL (comme dans le cas récent du vol de plus de 130 millions de numéros de cartes bancaires) sont les plus utilisées par les hackers, avec 19 %, suivies par diverses attaques inconnues (lorsqu'on ne peut pas détecter quelle vulnérabilité a été utilisée) à hauteur de 11 %. Les attaques par déni de service, le spoofing ainsi que les attaques par force brute arrivent à égalité en troisième position avec 10%.
Ces chiffres sont apportés par la Web Hacking Incidents Database qui tient une liste des incidents de sécurité causés par des vulnérabilités, mais ne recense pas les vulnérabilités elle-mêmes.
Source : http://www.breach.com/resources/whit...dents-2009.pdf
-
kaymakMembre émériteSelon WASC, les attaques à injection SQL (comme dans le cas récent du vol de plus de 130 millions de numéros de cartes bancaires) sont les plus utilisées par les hackers,
Faut les virer ces développeurs ?
Par contre ils ne font pas encore bruit d'escroquerie ou chantage sur des si ? Car pour le e-commerce notamment, c'est une des plus grandes craintes à avoir.Qu'est ce qui a provoqué, selon vous, une telle chute du nombre d'attaques sur les sites gouvernementaux et politiques ?
Actualité politique qui s'apaise aussi. Obama à moins d'ennemis que bush.
Sa suit le mouvement.Le web 2.0 est-il particulièrement vulnérable ?
M'enfin le pire reste à venir !le 20/08/2009 à 18:10 -
Katleen ErnaExpert éminent séniorMerci pour tes participations récurrentes sur les sujets de sécurité Kaymakle 20/08/2009 à 23:47
-
mitnick2006Membre régulierd'après ce rapport on constate que malgré l'évolution du web en version 2.0, et le développement des outils de sécurité efficaces, les attaques des
hackers ne cessent pas pour détruire ce type de sites!!le 21/08/2009 à 1:17 -
MadCat34Membre habituéDans un article du magasine Hakin9, il y a un sujet très intéressant qui concerne un framework d'audit d'application Web. Je ne peux qu'en recommander la lecture.
Il s'agit de W3AF (Web Application Attack and Audit Framework).
Cela pourrait être utile pour une grande partie des développeurs Web.
Si quelqu'un connait et s'en est déjà servi, cela pourrait être intéressant de nous pondre un petit tutole 21/08/2009 à 2:46 -
Patriarch24Membre expérimentéLes attaques par injection SQL sont si fréquentes que cela ? C'est une vraie misère...le 21/08/2009 à 9:11
-
LycheExpert éminentAlors que pour lutter contre les SQL Injection c'est pas ce qu'il y a de plus compliqué quand même.. Je trouve ça navrant. Et parfois c'est même flippant, parce que ceux qui vont patir de ces rapports c'est nous. Si les attaques sur les sites web se font plus fréquentes c'est qu'il y a un problème au niveau sécurité. Et qui gère la sécurité des sites? Les développeurs.
On va me dire "oui mais on a pas les délais pour le faire" Mais ça, l'opinion publique s'en fou. Pour lui, étant donné qu'on ne lui racontes pas tout, il va se dire "nos sites sont mal conçus", il va être de plus en plus difficile de faire son trou dans le dev web.
Le Web 2.0 n'est pas plus vulnérable, pour moi c'est le protocole http qui l'est. Pourquoi? Simplement parce qu'a l'origine il n'était pas prévu pour s'étendre, qu'a l'origine ce protocole à juste été conçut sans sécurité puisqu'il s'étendait uniquement entre certaines fac US et qu'ils n'ont pas jugé utile de crypter et de sécuriser ce protocole. La petite anecdote c'est quand même qu'il y a plus de ligne de code pour patcher les failles de sécurité de ce protocole qu'il n'y a de lignes code pour le protocole en lui même.
C'est navrant de voir que tout un système est basé sur un protocole totalement non sécurisé et vulnérable aux attaques de tout type. (je suis pas hacker je ne connais pas les différents types d'attaques sauf les plus connu style SQL Injection ou détournement et modification de données de flux.)
Pour moi, je pense que tout le système du web tel qu'il est conçut à l'heure actuel devrait être repensé, et refait. Mais cela demanderais beaucoup de temps, beaucoup d'argent et surtout, cela demanderais de faire un gros RàZ du web, et ça, c'est pas possible dans l'état actuel des choses.le 21/08/2009 à 9:21 -
MadCat34Membre habituéIl ne faut pas oublier qu'a la base, le protocole HTTP a été créé pour simplement transférer des données...(sous forme de pages HTML).
Ce sont les développeurs qui ont, en quelque sorte, "détourné" l'utilisation du protocole HTTP.le 21/08/2009 à 10:48 -
kaymakMembre émériteComme dns, tcp, pop/smtp ect qui sont tous de vieux protocoles poussés à leurs limites.
Le problème de ces protocoles c'est qu'ils semblent appartenir au domaine public, et que chacun ajoute sa pierre, pour le meilleur ou pour le pire.
Aujourd'hui ils rendent le service qu'ont leur demande, même plutôt bien.
Mais à quel prix ?
Celui de la sécurité, simplicité, cohérence ect ?
M'enfin bon c'est un problème bien compliqué qui s'augure. Qui pourrait prendre en charge l'évolution, le support, la standardisation de ces protocoles pour le compte au final de société aussi diverses qu'adversaires. Je pense à microsoft et google pour le mail par exemple. Microsoft cisco sur la partie réseau. Chacun voulant aller dans son sens....
Héhé elles sont sympas ces news !
Mais si y'avait quelques pontes qui rodaient dans le coin pour élever le niveau se serait sympa aussi.le 21/08/2009 à 19:51 -
zulMembre éclairéQuelles sont les failles de sécurités imputés au protocole HTTP ?
Comme ça personnellement je ne vois pas. Pour la majorité des autres protocoles cités, il n'y a pas eu de vrais failles (on peut évidemment critiquer la possibilité d'éditer FROM TO cependant, mais bon).
Les SQL injections sont un problème de développment, ce n'est pas vraiment lié à HTTP. On peut avoir le même genre de chose avec des applis lourdes. Et ça reste assez alarmant qu'ils existent encore ce genre de problèmes, vu que c'est un problème assez "simple" à corriger.
Sinon je suis assez d'accord sur le fait que HTTP n'est probablement pas un protocole adapté au "web 2.0", des choses comme XMPP seraient probablement plus adaptés, mais bon, le passif est là maintenant. Au passage, tout Internet marche sur la tête : c'était censé être un réseau massivement décentralisé, en point à point. Au final, on a des informations massivement centralisés, et on fait des contorsions dans tous les sens pour les problèmes de NAT dans tous les sens (problèmes qu'on aurait pu éliminer depuis un moment avec IPv6).le 22/08/2009 à 1:06 -
olaxiusMembre éclairé
C'est encore possible sa ? Avec les ips, les méthodes de dév, et touuuusssss les efforts, la communication, il y à des sites internet qui éprouvent encore de telles erreurs ?
Faut les virer ces développeurs ?
Mais dans ce genre de boite on fait tout !
Developpement certe mais aussi on fait de la maintenance, assistance,réparation,réseaux .
Biensur on est multi plateforme, on gère aussi le parefeu, on déplace les ordi, on s'occupe du téléphone, on cable, on teste les onduleurs , on change même les ampoules electriques (si,si) et on fait même de la traduction pour le service commercial ...
En etant aussi polyvalent eh bien moi je vous dis que l'on a pas trop le temps de se plonger dans la litterature et de palier les deficiences des divers application que l'on utilise.
Tous les informaticiens travaillant dans le même genre de boite que moi vous le dirons on repond à l'urgence tout le temps alors les SQL INJECTION pffff on s'en tamponne un peu le coquillard et tant pis si on est pas doué pour le developpement mais en tout cas la boite elle continue de tourner même avec de potentialité de SQL INJECTION !!!le 22/08/2009 à 15:08