Plus de 50 % des sites web de grandes entreprises françaises contiennent une faille grave
Plus de 50 % des sites web de grandes entreprises françaises contiennent une faille grave
Selon une étude sur la sécurité des sites web en France
Les sites web sont partie intégrante de notre quotidien, qu’ils soient professionnels ou privés. Pour cette raison, le renforcement de leur sécurité s’avère décisif pour empêcher toute fuite d’information ou de fraude, qui pourrait être catastrophique pour la sécurité des internautes. Malheureusement l’actualité nous prouve que le web est loin d’être sûr, avec les attaques et les menaces de la cybercriminalité qui se font de plus en plus récurrentes.
Selon une étude réalisée par le cabinet Wavestone, 100 % des sites web des grandes entreprises françaises ont des failles de sécurité avec 60 % présentant au moins une faille grave permettant la fuite de données en masse. Le cabinet a combiné les résultats de 128 audits de sécurité réalisés par les équipes Cybersécurité et Digital Trust auprès de 82 structures issues des 200 premières entreprises françaises dans huit secteurs d’activité (banque/assurance, santé, énergie, services, télécom, transport, institutions publiques) entre juin 2015 et juin 2016.
Ce qui inquiète dans cette étude est l’ampleur du problème ; dans tous les sites web testés (84 sites internet et 43 sites sur des réseaux privés d’entreprise), pas un seul n’est sûr, tous ont contenu au moins l’une des 47 failles testées. Pire encore, plus de la moitié des sites web accessibles au grand public contiennent au moins une faille grave, permettant à des cybercriminels d’accéder à l’ensemble du contenu et/ou compromettre le serveur.
44 % des sites concernés par cette étude ont des problèmes de cloisonnement, c’est-à-dire qu’ils contiennent des failles permettant d’accéder aux données des autres utilisateurs du site sans restriction. « Par exemple, sur un site bancaire, il était possible de consulter les sessions des autres personnes connectées en même temps, très simplement, à partir d'un compte piraté », explique Gérôme Billois, expert en sécurité chez Wavestone. Cela veut dire que le contrôle d’accès est défaillant et les privilèges octroyés aux utilisateurs sont peu vérifiés.
Un autre vecteur d’attaque concerne cette fois le dépôt de fichiers permettant de compromettre le serveur applicatif par l’exécution d’un code malveillant. Un attaquant peut par exemple exploiter la fonctionnalité d’envoi de fichiers dans les sites afin de faire remonter des fichiers piégés pour lancer un programme malveillant sur le serveur, qui permettra au pirate d’en prendre le contrôle. « Un attaquant peut ainsi aisément prendre la main sur un serveur et accéder à la base de données du service, qui est très rarement chiffrée, car le serveur a besoin d'accéder en clair à certaines informations », explique Gérôme Billois.
Les autres failles jugées moyennes ne sont pas moins problématiques, à l’image de la vulnérabilité du “cross site request forgery” qui touche deux tiers des sites français. Elle présente un grand intérêt pour les pirates puisqu’elle leur permet de consulter les autres onglets ouverts au sein du même navigateur (Chrome, Firefox, Internet Explorer…) lorsque l’internaute visite un site piégé. En conséquence, il sera possible de recueillir des informations sensibles (des coordonnées bancaires par exemple) si l’internaute a ouvert le portail en ligne de sa banque. De plus, la possibilité de rejouer des requêtes à l’insu d’un utilisateur (XSRF ou CSRF) aide le cybercriminel à réaliser des actions à l’insu de l’utilisateur comme le changement de l’adresse du contact pour réattribuer le mot de passe par email.
L’étude a permis aussi de mettre au clair l’existence de failles dites mineures, qui ne permettent pas la fuite de données, mais peuvent aider les cybercriminels à mener des attaques plus élaborées en fournissant des indications sur la conception du site. Cette étude a montré également que le langage de développement a son rôle à jouer dans l’existence du risque. Ainsi, 75 % des sites développés en PHP contiennent au moins une faille grave, contre 40 % pour ceux développés en Java. Le nombre moyen de failles par site reste néanmoins identique, quel que soit le langage utilisé.
La plupart des sites web concernés par cette étude ont été défaillants dès leur conception, en raison de la non-participation des équipes responsables de la sécurité des systèmes d'information dans la prise de décision. « Les sites sont réalisés à la va-vite, pour une campagne markéting ou un lancement de produit », dénonce Gérôme Billois. « Faute d'un "crash test" avant la mise en ligne, comme dans l'automobile, il faut absolument que les donneurs d'ordre se mobilisent sur ces questions de cybersécurité. Les affaires récentes, de Yahoo! à LinkedIn, ont fait progresser les choses, mais trop de dirigeants pensent que cela reste un problème limité à ces entreprises technologiques, de la Silicon Valley ».
Pour Yann Filliat, responsable de l’équipe d’audit de sécurité de Wavestone « la gestion actuelle des projets ne laisse pas beaucoup de place à la sécurité : mise en production urgente, projet dont on apprend l’existence à sa sortie, etc. L’intégration de la sécurité dès le début du projet est l’une des clés à maitriser pour améliorer ce chiffre », écrit-il. « Cependant le rythme ne cesse de s’accélérer avec l’essor des méthodes agiles, DevOps… Pourrait-on réaliser un test tous les 15 jours alors qu’il n’est pas possible aujourd’hui d’en faire un seul avant la mise en production ? Ces nouvelles méthodologies sont pourtant une opportunité d’appliquer ce qui n’a jamais été possible : intégrer la sécurité en continu dans le processus de développement en rapprochant les contrôles des développeurs. »
Autrement dit, seul l’investissement dans les compétences des équipes, en particulier les développeurs, sera en mesure d’instaurer la sécurité comme une composante clé dans chaque instant des projets au lieu d’une simple étape dans des processus peu suivis.
Source : Les Echos
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
Répondre avec citation
Partager