+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Coriolan
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2016
    Messages
    498
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Maroc

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2016
    Messages : 498
    Points : 12 479
    Points
    12 479

    Par défaut Plus de 50 % des sites web de grandes entreprises françaises contiennent une faille grave

    Plus de 50 % des sites web de grandes entreprises françaises contiennent une faille grave
    Selon une étude sur la sécurité des sites web en France

    Les sites web sont partie intégrante de notre quotidien, qu’ils soient professionnels ou privés. Pour cette raison, le renforcement de leur sécurité s’avère décisif pour empêcher toute fuite d’information ou de fraude, qui pourrait être catastrophique pour la sécurité des internautes. Malheureusement l’actualité nous prouve que le web est loin d’être sûr, avec les attaques et les menaces de la cybercriminalité qui se font de plus en plus récurrentes.

    Selon une étude réalisée par le cabinet Wavestone, 100 % des sites web des grandes entreprises françaises ont des failles de sécurité avec 60 % présentant au moins une faille grave permettant la fuite de données en masse. Le cabinet a combiné les résultats de 128 audits de sécurité réalisés par les équipes Cybersécurité et Digital Trust auprès de 82 structures issues des 200 premières entreprises françaises dans huit secteurs d’activité (banque/assurance, santé, énergie, services, télécom, transport, institutions publiques) entre juin 2015 et juin 2016.

    Ce qui inquiète dans cette étude est l’ampleur du problème ; dans tous les sites web testés (84 sites internet et 43 sites sur des réseaux privés d’entreprise), pas un seul n’est sûr, tous ont contenu au moins l’une des 47 failles testées. Pire encore, plus de la moitié des sites web accessibles au grand public contiennent au moins une faille grave, permettant à des cybercriminels d’accéder à l’ensemble du contenu et/ou compromettre le serveur.

    Nom : Wavestone-risques.jpg
Affichages : 2250
Taille : 324,9 Ko

    44 % des sites concernés par cette étude ont des problèmes de cloisonnement, c’est-à-dire qu’ils contiennent des failles permettant d’accéder aux données des autres utilisateurs du site sans restriction. « Par exemple, sur un site bancaire, il était possible de consulter les sessions des autres personnes connectées en même temps, très simplement, à partir d'un compte piraté », explique Gérôme Billois, expert en sécurité chez Wavestone. Cela veut dire que le contrôle d’accès est défaillant et les privilèges octroyés aux utilisateurs sont peu vérifiés.

    Un autre vecteur d’attaque concerne cette fois le dépôt de fichiers permettant de compromettre le serveur applicatif par l’exécution d’un code malveillant. Un attaquant peut par exemple exploiter la fonctionnalité d’envoi de fichiers dans les sites afin de faire remonter des fichiers piégés pour lancer un programme malveillant sur le serveur, qui permettra au pirate d’en prendre le contrôle. « Un attaquant peut ainsi aisément prendre la main sur un serveur et accéder à la base de données du service, qui est très rarement chiffrée, car le serveur a besoin d'accéder en clair à certaines informations », explique Gérôme Billois.

    Les autres failles jugées moyennes ne sont pas moins problématiques, à l’image de la vulnérabilité du “cross site request forgery” qui touche deux tiers des sites français. Elle présente un grand intérêt pour les pirates puisqu’elle leur permet de consulter les autres onglets ouverts au sein du même navigateur (Chrome, Firefox, Internet Explorer…) lorsque l’internaute visite un site piégé. En conséquence, il sera possible de recueillir des informations sensibles (des coordonnées bancaires par exemple) si l’internaute a ouvert le portail en ligne de sa banque. De plus, la possibilité de rejouer des requêtes à l’insu d’un utilisateur (XSRF ou CSRF) aide le cybercriminel à réaliser des actions à l’insu de l’utilisateur comme le changement de l’adresse du contact pour réattribuer le mot de passe par email.

    L’étude a permis aussi de mettre au clair l’existence de failles dites mineures, qui ne permettent pas la fuite de données, mais peuvent aider les cybercriminels à mener des attaques plus élaborées en fournissant des indications sur la conception du site. Cette étude a montré également que le langage de développement a son rôle à jouer dans l’existence du risque. Ainsi, 75 % des sites développés en PHP contiennent au moins une faille grave, contre 40 % pour ceux développés en Java. Le nombre moyen de failles par site reste néanmoins identique, quel que soit le langage utilisé.

    La plupart des sites web concernés par cette étude ont été défaillants dès leur conception, en raison de la non-participation des équipes responsables de la sécurité des systèmes d'information dans la prise de décision. « Les sites sont réalisés à la va-vite, pour une campagne markéting ou un lancement de produit », dénonce Gérôme Billois. « Faute d'un "crash test" avant la mise en ligne, comme dans l'automobile, il faut absolument que les donneurs d'ordre se mobilisent sur ces questions de cybersécurité. Les affaires récentes, de Yahoo! à LinkedIn, ont fait progresser les choses, mais trop de dirigeants pensent que cela reste un problème limité à ces entreprises technologiques, de la Silicon Valley ».

    Pour Yann Filliat, responsable de l’équipe d’audit de sécurité de Wavestone « la gestion actuelle des projets ne laisse pas beaucoup de place à la sécurité : mise en production urgente, projet dont on apprend l’existence à sa sortie, etc. L’intégration de la sécurité dès le début du projet est l’une des clés à maitriser pour améliorer ce chiffre », écrit-il. « Cependant le rythme ne cesse de s’accélérer avec l’essor des méthodes agiles, DevOps… Pourrait-on réaliser un test tous les 15 jours alors qu’il n’est pas possible aujourd’hui d’en faire un seul avant la mise en production ? Ces nouvelles méthodologies sont pourtant une opportunité d’appliquer ce qui n’a jamais été possible : intégrer la sécurité en continu dans le processus de développement en rapprochant les contrôles des développeurs. »

    Autrement dit, seul l’investissement dans les compétences des équipes, en particulier les développeurs, sera en mesure d’instaurer la sécurité comme une composante clé dans chaque instant des projets au lieu d’une simple étape dans des processus peu suivis.

    Source : Les Echos

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    WordPress est de loin le CMS le plus ciblé par les cyberattaques, en grande partie en raison du mauvais entretien et la négligence des webmasters
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre chevronné
    Avatar de Doksuri
    Développeur Web
    Inscrit en
    juin 2006
    Messages
    1 432
    Détails du profil
    Informations personnelles :
    Âge : 47

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : juin 2006
    Messages : 1 432
    Points : 1 883
    Points
    1 883

    Par défaut

    Qu'en pensez-vous ?
    qu'on fait trop confiance. Je crois que beaucoup de gens se disent "c'est un grand groupe, ils doivent mettre les moyen en securite" ou alors "c'est une banque, ca doit etre 200% fiable"

    peut-etre que ce genre d'etude permettra d'alerter les gens sur le fait que meme virtuellement, le risque zero n'existe pas (meme pour les grosses boites).
    La forme des pyramides prouve que l'Homme a toujours tendance a en faire de moins en moins.

    N'oubliez pas le Le tag resolu.

  3. #3
    Membre du Club
    Homme Profil pro
    Développeur Web
    Inscrit en
    février 2013
    Messages
    21
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : février 2013
    Messages : 21
    Points : 47
    Points
    47

    Par défaut Radins

    Normal quand on ne veux pas payer les dév ou alors au rabais...

  4. #4
    Rédacteur

    Avatar de autran
    Homme Profil pro
    Développeur Java
    Inscrit en
    février 2015
    Messages
    1 203
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : février 2015
    Messages : 1 203
    Points : 7 265
    Points
    7 265
    Billets dans le blog
    71

    Par défaut

    Le SQL injection !
    On ne peut le faire que sur des sites développés par des gens qui n'ont jamais entendu parler de l'objet. Même en PHP une simple classe connexion permet de s'en affranchir.
    La DSI doit former les bricolos qui font du shadow IT aux techniques de production de code propre.
    Développeur Java/Python
    Site Web

Discussions similaires

  1. Bloquer des sites web
    Par Naruto_kun dans le forum Autres Logiciels
    Réponses: 5
    Dernier message: 22/05/2006, 18h28
  2. [Struts] gestion du contenu des sites web
    Par 17mounir dans le forum Struts
    Réponses: 5
    Dernier message: 14/04/2006, 15h12
  3. heberger des sites web
    Par bethier dans le forum IIS
    Réponses: 2
    Dernier message: 30/12/2005, 18h13
  4. Analyse de la fréquentation des sites web
    Par mika0102 dans le forum Statistiques
    Réponses: 7
    Dernier message: 15/09/2005, 21h15

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo