Sites web « sécurisés », en êtes-vous sûr ?
Sites web « sécurisés », en êtes-vous sûr ?
Des chercheurs en sécurité publient les résultats d’une inquiétante étude
Des chercheurs en sécurité informatique ont publié un document dans lequel ils décrivent comment ils ont procédé pour tromper les services d’analyse de sites web utilisés pour rechercher de potentielles failles de sécurité. Dans leur rapport, ils expliquent que les fournisseurs de solutions de sécurité peuvent eux-mêmes constituer une vulnérabilité dont les hackers pourraient profiter pour récolter des statistiques sur le site web.
Les chercheurs ont procédé à une série d’expériences sur 10 solutions de sécurité, dont Norton, McAfee, Trust-Guard, SecurityMetrics, etc. Dans une des expériences, les deux tiers de ces fournisseurs ont été incapables de découvrir des failles de sécurité basiques telles que l’utilisation de paramètres GET/POST non encodés, ce qui permet aux attaquants d’introduire du code malveillant. Dans un site de e-commerce construit par les chercheurs et qui était volontairement infecté par plusieurs virus et vulnérable à plusieurs types d’attaques (injections SQL, attaques XSS et CSRF), 8 des 10 fournisseurs ont approuvé le site comme étant « sûr », pire encore, 2 de ces fournisseurs n’ont détecté aucun virus alors que ceux-ci étaient catalogués dans des bases de données publiques comme VirusTotal.
Dans une autre expérience, les scientifiques ont effectué des tests de pénétration manuels sur 9 sites web certifiés dont 4 sites e-commerce. Le test de pénétration a permis de montrer que 7 de ces 9 sites étaient sujets à des attaques XSS (cross-site scripting) et CSRF (Cross-Site Request Forgery ), et 3 des 4 sites e-commerce étaient sujets à des failles qui permettraient à des utilisateurs de changer les prix des produits.
Dans une troisième expérience, les chercheurs ont montré comment à l’aide de statistiques recueillies grâce à un script automatisé, ils ont pu savoir quand certains sites se trouvaient vulnérables. En effet, le principe est simple : il suffit de vérifier la présence ou non du sceau qui montre que le site est sécurisé. Ce sceau est fourni par les fournisseurs de services d’analyse lorsque le site passe avec succès un test de pénétration. Il arrive souvent que cette marque disparaisse du site, c’est soit parce que le contrat avec le fournisseur de service de sécurité a été rompu, soit que le site a échoué dans le test de pénétration. Dans les deux cas, expliquent les chercheurs, cela veut dire que le site est plus vulnérable que d’habitude et que c’est le meilleur moment pour tenter une attaque. Du coup, ce sceau de sécurité qui avait pour but de rassurer les utilisateurs du site et dissuader les hackers de tenter une attaque, s’est transformé en un moyen qui permet à ces derniers de connaître l’état de sécurité du site.
Source : article publié dans la Conference on Computer and Communications Security
Et vous ?
Utilisez-vous des services d’analyse de la sécurité des sites web ? Que pensez-vous des conclusions de cette étude ?
Répondre avec citation
Envoyé par gangsoleil
Partager