IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Sites web « sécurisés », en êtes-vous sûr ?


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Développeur informatique
    Inscrit en
    septembre 2014
    Messages
    194
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Algérie

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : septembre 2014
    Messages : 194
    Points : 12 283
    Points
    12 283
    Par défaut Sites web « sécurisés », en êtes-vous sûr ?
    Sites web « sécurisés », en êtes-vous sûr ?
    Des chercheurs en sécurité publient les résultats d’une inquiétante étude

    Des chercheurs en sécurité informatique ont publié un document dans lequel ils décrivent comment ils ont procédé pour tromper les services d’analyse de sites web utilisés pour rechercher de potentielles failles de sécurité. Dans leur rapport, ils expliquent que les fournisseurs de solutions de sécurité peuvent eux-mêmes constituer une vulnérabilité dont les hackers pourraient profiter pour récolter des statistiques sur le site web.

    Les chercheurs ont procédé à une série d’expériences sur 10 solutions de sécurité, dont Norton, McAfee, Trust-Guard, SecurityMetrics, etc. Dans une des expériences, les deux tiers de ces fournisseurs ont été incapables de découvrir des failles de sécurité basiques telles que l’utilisation de paramètres GET/POST non encodés, ce qui permet aux attaquants d’introduire du code malveillant. Dans un site de e-commerce construit par les chercheurs et qui était volontairement infecté par plusieurs virus et vulnérable à plusieurs types d’attaques (injections SQL, attaques XSS et CSRF), 8 des 10 fournisseurs ont approuvé le site comme étant « sûr », pire encore, 2 de ces fournisseurs n’ont détecté aucun virus alors que ceux-ci étaient catalogués dans des bases de données publiques comme VirusTotal.

    Dans une autre expérience, les scientifiques ont effectué des tests de pénétration manuels sur 9 sites web certifiés dont 4 sites e-commerce. Le test de pénétration a permis de montrer que 7 de ces 9 sites étaient sujets à des attaques XSS (cross-site scripting) et CSRF (Cross-Site Request Forgery ), et 3 des 4 sites e-commerce étaient sujets à des failles qui permettraient à des utilisateurs de changer les prix des produits.

    Dans une troisième expérience, les chercheurs ont montré comment à l’aide de statistiques recueillies grâce à un script automatisé, ils ont pu savoir quand certains sites se trouvaient vulnérables. En effet, le principe est simple : il suffit de vérifier la présence ou non du sceau qui montre que le site est sécurisé. Ce sceau est fourni par les fournisseurs de services d’analyse lorsque le site passe avec succès un test de pénétration. Il arrive souvent que cette marque disparaisse du site, c’est soit parce que le contrat avec le fournisseur de service de sécurité a été rompu, soit que le site a échoué dans le test de pénétration. Dans les deux cas, expliquent les chercheurs, cela veut dire que le site est plus vulnérable que d’habitude et que c’est le meilleur moment pour tenter une attaque. Du coup, ce sceau de sécurité qui avait pour but de rassurer les utilisateurs du site et dissuader les hackers de tenter une attaque, s’est transformé en un moyen qui permet à ces derniers de connaître l’état de sécurité du site.

    Source : article publié dans la Conference on Computer and Communications Security

    Et vous ?

    Utilisez-vous des services d’analyse de la sécurité des sites web ? Que pensez-vous des conclusions de cette étude ?

  2. #2
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    mai 2004
    Messages
    10 000
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 10 000
    Points : 27 330
    Points
    27 330
    Par défaut
    Bonjour,

    Rien de très surprenant là dedans malheureusement : "on" commence seulement à s'intéresser pour de vrai à la sécurité, que ce soient la PME du coin de la rue ou bien la multinationale. Et la raison est très simple, c'est que la sécurité, c'est un centre de coût.

    Alors oui, ça évite potentiellement de perdre beaucoup d'argent. Mais ça reste une perte potentielle, par rapport à un investissement bien réel.
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  3. #3
    Membre éprouvé Avatar de Algo D.DN
    Homme Profil pro
    WPM - Web Dev.
    Inscrit en
    août 2012
    Messages
    375
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : WPM - Web Dev.
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : août 2012
    Messages : 375
    Points : 1 172
    Points
    1 172
    Par défaut
    Citation Envoyé par gangsoleil Voir le message
    Rien de très surprenant là dedans malheureusement : "on" commence seulement à s'intéresser pour de vrai à la sécurité, que ce soient la PME du coin de la rue ou bien la multinationale. Et la raison est très simple, c'est que la sécurité, c'est un centre de coût.

    Alors oui, ça évite potentiellement de perdre beaucoup d'argent. Mais ça reste une perte potentielle, par rapport à un investissement bien réel.
    Bonjour ici,

    Tout à fait d'accord, j'ajouterais même que le coût est parfois estimé excessif sans même savoir ce que peut bien définir un périmètre de sécurité (physique/matériel/logiciel).

    D'ailleurs aborder la problématique sécurité avec un interlocuteur peu au fait est un exercice de style particulier, c'est un peu comme essayer de justifier l'intérêt d'un vaccin saisonnier pour un individu et le potentiel risque encouru.

Discussions similaires

  1. Réponses: 0
    Dernier message: 22/04/2010, 09h45
  2. Avec quel éditeur concevez-vous vos site web ?
    Par Marc-xhtml dans le forum Outils
    Réponses: 263
    Dernier message: 06/05/2009, 15h43
  3. Sautez-vous les intros en Flash des sites web ?
    Par Mat.M dans le forum La taverne du Club : Humour et divers
    Réponses: 47
    Dernier message: 05/10/2007, 23h53
  4. [Conception] Site Web et base de données -> quel stratégie adoptez-vous
    Par snipes dans le forum Général Conception Web
    Réponses: 5
    Dernier message: 30/04/2006, 02h51

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo