Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Sites web « sécurisés », en êtes-vous sûr ?
Des chercheurs en sécurité publient des résultats inquiétantes, suite à une étude

Le , par Amine Horseman

20PARTAGES

6  0 
Des chercheurs en sécurité informatique ont publié un document dans lequel ils décrivent comment ils ont procédé pour tromper les services d’analyse de sites web utilisés pour rechercher de potentielles failles de sécurité. Dans leur rapport, ils expliquent que les fournisseurs de solutions de sécurité peuvent eux-mêmes constituer une vulnérabilité dont les hackers pourraient profiter pour récolter des statistiques sur le site web.

Les chercheurs ont procédé à une série d’expériences sur 10 solutions de sécurité, dont Norton, McAfee, Trust-Guard, SecurityMetrics, etc. Dans une des expériences, les deux tiers de ces fournisseurs ont été incapables de découvrir des failles de sécurité basiques telles que l’utilisation de paramètres GET/POST non encodés, ce qui permet aux attaquants d’introduire du code malveillant. Dans un site de e-commerce construit par les chercheurs et qui était volontairement infecté par plusieurs virus et vulnérable à plusieurs types d’attaques (injections SQL, attaques XSS et CSRF), 8 des 10 fournisseurs ont approuvé le site comme étant « sûr », pire encore, 2 de ces fournisseurs n’ont détecté aucun virus alors que ceux-ci étaient catalogués dans des bases de données publiques comme VirusTotal.

Dans une autre expérience, les scientifiques ont effectué des tests de pénétration manuels sur 9 sites web certifiés dont 4 sites e-commerce. Le test de pénétration a permis de montrer que 7 de ces 9 sites étaient sujets à des attaques XSS (cross-site scripting) et CSRF (Cross-Site Request Forgery ), et 3 des 4 sites e-commerce étaient sujets à des failles qui permettraient à des utilisateurs de changer les prix des produits.

Dans une troisième expérience, les chercheurs ont montré comment à l’aide de statistiques recueillies grâce à un script automatisé, ils ont pu savoir quand certains sites se trouvaient vulnérables. En effet, le principe est simple : il suffit de vérifier la présence ou non du sceau qui montre que le site est sécurisé. Ce sceau est fourni par les fournisseurs de services d’analyse lorsque le site passe avec succès un test de pénétration. Il arrive souvent que cette marque disparaisse du site, c’est soit parce que le contrat avec le fournisseur de service de sécurité a été rompu, soit que le site a échoué dans le test de pénétration. Dans les deux cas, expliquent les chercheurs, cela veut dire que le site est plus vulnérable que d’habitude et que c’est le meilleur moment pour tenter une attaque. Du coup, ce sceau de sécurité qui avait pour but de rassurer les utilisateurs du site et dissuader les hackers de tenter une attaque, s’est transformé en un moyen qui permet à ces derniers de connaître l’état de sécurité du site.

Source : article publié dans la Conference on Computer and Communications Security

Et vous ?

Utilisez-vous des services d’analyse de la sécurité des sites web ? Que pensez-vous des conclusions de cette étude ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 10/12/2014 à 10:56
Bonjour,

Rien de très surprenant là dedans malheureusement : "on" commence seulement à s'intéresser pour de vrai à la sécurité, que ce soient la PME du coin de la rue ou bien la multinationale. Et la raison est très simple, c'est que la sécurité, c'est un centre de coût.

Alors oui, ça évite potentiellement de perdre beaucoup d'argent. Mais ça reste une perte potentielle, par rapport à un investissement bien réel.
2  0 
Avatar de Algo D.DN
Membre éprouvé https://www.developpez.com
Le 11/12/2014 à 17:37
Citation Envoyé par gangsoleil Voir le message
Rien de très surprenant là dedans malheureusement : "on" commence seulement à s'intéresser pour de vrai à la sécurité, que ce soient la PME du coin de la rue ou bien la multinationale. Et la raison est très simple, c'est que la sécurité, c'est un centre de coût.

Alors oui, ça évite potentiellement de perdre beaucoup d'argent. Mais ça reste une perte potentielle, par rapport à un investissement bien réel.
Bonjour ici,

Tout à fait d'accord, j'ajouterais même que le coût est parfois estimé excessif sans même savoir ce que peut bien définir un périmètre de sécurité (physique/matériel/logiciel).

D'ailleurs aborder la problématique sécurité avec un interlocuteur peu au fait est un exercice de style particulier, c'est un peu comme essayer de justifier l'intérêt d'un vaccin saisonnier pour un individu et le potentiel risque encouru.
1  0