IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    Juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Juillet 2009
    Messages : 1 547
    Points : 76 188
    Points
    76 188
    Par défaut Sécurité informatique : les attaques envers les sites en web 2.0 en augmentation, selon le WASC
    Sécurité informatique : les attaques envers les sites en web 2.0 en augmentation, selon le WASC

    Le WASC (Web Application Security Consortium), dans son rapport bi-annuel sorti en août 2009, indique une importante hausse des attaques sur les sites en web 2.0.

    Il est ainsi rapporté que dans le premier semestre 2009, les attaques envers les réseaux sociaux du web 2.0 (comme par exemple le populaire Twitter) consituaient 19% de toutes les attaques rencensées. Ces sites reposant sur le web 2.0 brassent généralement un grand nombre d'utilisateurs qui y ajoutent leur propre contenu, ce contenu pouvant ouvrir certaines failles et les offrir aux pirates (comme, par exemple, les très efficaces CSRF - attaques "cross-site request forgery" exploitant la confiance qu'une application montre à l'égard de ses clients en forçant le navigateur de la victime à envoyer une requête silencieuse à l'insu de l'internaute -).


    Viennent ensuite les sites commerciaux qui récoltent 16 % des attaques pour les organisations médiatiques, et 12 % pour les vendeurs de produits technologiques.

    Les résultats des sites politiques et gouvernementaux se sont effondrés de la première (en 2008) à la quatrième place avec 12%.

    Enfin viennent les sites de divertissement, avec 7%, et les sites financiers et d'éducation, tous deux avec 5%.

    Selon WASC, les attaques à injection SQL (comme dans le cas récent du vol de plus de 130 millions de numéros de cartes bancaires) sont les plus utilisées par les hackers, avec 19 %, suivies par diverses attaques inconnues (lorsqu'on ne peut pas détecter quelle vulnérabilité a été utilisée) à hauteur de 11 %. Les attaques par déni de service, le spoofing ainsi que les attaques par force brute arrivent à égalité en troisième position avec 10%.

    Ces chiffres sont apportés par la Web Hacking Incidents Database qui tient une liste des incidents de sécurité causés par des vulnérabilités, mais ne recense pas les vulnérabilités elle-mêmes.

    Source : http://www.breach.com/resources/whit...dents-2009.pdf

    Qu'est ce qui a provoqué, selon vous, une telle chute du nombre d'attaques sur les sites gouvernementaux et politiques ?

    Le web 2.0 est-il particulièrement vulnérable ?

  2. #2
    Membre émérite
    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 40
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Janvier 2007
    Messages : 1 448
    Points : 2 284
    Points
    2 284
    Par défaut
    Selon WASC, les attaques à injection SQL (comme dans le cas récent du vol de plus de 130 millions de numéros de cartes bancaires) sont les plus utilisées par les hackers,
    C'est encore possible sa ? Avec les ips, les méthodes de dév, et touuuusssss les efforts, la communication, il y à des sites internet qui éprouvent encore de telles erreurs ?
    Faut les virer ces développeurs ?

    Par contre ils ne font pas encore bruit d'escroquerie ou chantage sur des si ? Car pour le e-commerce notamment, c'est une des plus grandes craintes à avoir.

    Qu'est ce qui a provoqué, selon vous, une telle chute du nombre d'attaques sur les sites gouvernementaux et politiques ?
    Tensions politiques qui s'apaisent (chine/inde/japon/corée/usa/russie/georgie/pakistan ect (et non ce n'est pas une liste des forces du mal muhahaha, bref) )
    Actualité politique qui s'apaise aussi. Obama à moins d'ennemis que bush.
    Sa suit le mouvement.

    Le web 2.0 est-il particulièrement vulnérable ?
    Je dirais plutôt qu'à mesure qu'Internet devient de plus en plus présent (twitter est une action à réalisé tous les jours en permanence), les attaques sont plus nombreuses et donne l'impression d'être plus grave parce que cela touche tlm (de ppda à meme jaquemin).

    M'enfin le pire reste à venir !

  3. #3
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    Juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Juillet 2009
    Messages : 1 547
    Points : 76 188
    Points
    76 188
    Par défaut
    Merci pour tes participations récurrentes sur les sujets de sécurité Kaymak

  4. #4
    Membre régulier Avatar de mitnick2006
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Décembre 2006
    Messages
    163
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : Maroc

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Décembre 2006
    Messages : 163
    Points : 106
    Points
    106
    Par défaut
    d'après ce rapport on constate que malgré l'évolution du web en version 2.0, et le développement des outils de sécurité efficaces, les attaques des
    hackers ne cessent pas pour détruire ce type de sites!!

  5. #5
    Membre habitué
    Homme Profil pro
    Inscrit en
    Août 2005
    Messages
    161
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2005
    Messages : 161
    Points : 193
    Points
    193
    Par défaut
    Dans un article du magasine Hakin9, il y a un sujet très intéressant qui concerne un framework d'audit d'application Web. Je ne peux qu'en recommander la lecture.

    Il s'agit de W3AF (Web Application Attack and Audit Framework).
    Cela pourrait être utile pour une grande partie des développeurs Web.

    Si quelqu'un connait et s'en est déjà servi, cela pourrait être intéressant de nous pondre un petit tuto

  6. #6
    Membre expérimenté
    Avatar de Patriarch24
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Septembre 2003
    Messages
    1 047
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Industrie

    Informations forums :
    Inscription : Septembre 2003
    Messages : 1 047
    Points : 1 640
    Points
    1 640
    Par défaut
    Les attaques par injection SQL sont si fréquentes que cela ? C'est une vraie misère...

  7. #7
    Expert éminent
    Avatar de Lyche
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Janvier 2007
    Messages
    2 523
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Janvier 2007
    Messages : 2 523
    Points : 6 790
    Points
    6 790
    Billets dans le blog
    4
    Par défaut
    Alors que pour lutter contre les SQL Injection c'est pas ce qu'il y a de plus compliqué quand même.. Je trouve ça navrant. Et parfois c'est même flippant, parce que ceux qui vont patir de ces rapports c'est nous. Si les attaques sur les sites web se font plus fréquentes c'est qu'il y a un problème au niveau sécurité. Et qui gère la sécurité des sites? Les développeurs.
    On va me dire "oui mais on a pas les délais pour le faire" Mais ça, l'opinion publique s'en fou. Pour lui, étant donné qu'on ne lui racontes pas tout, il va se dire "nos sites sont mal conçus", il va être de plus en plus difficile de faire son trou dans le dev web.
    Le Web 2.0 n'est pas plus vulnérable, pour moi c'est le protocole http qui l'est. Pourquoi? Simplement parce qu'a l'origine il n'était pas prévu pour s'étendre, qu'a l'origine ce protocole à juste été conçut sans sécurité puisqu'il s'étendait uniquement entre certaines fac US et qu'ils n'ont pas jugé utile de crypter et de sécuriser ce protocole. La petite anecdote c'est quand même qu'il y a plus de ligne de code pour patcher les failles de sécurité de ce protocole qu'il n'y a de lignes code pour le protocole en lui même.
    C'est navrant de voir que tout un système est basé sur un protocole totalement non sécurisé et vulnérable aux attaques de tout type. (je suis pas hacker je ne connais pas les différents types d'attaques sauf les plus connu style SQL Injection ou détournement et modification de données de flux.)
    Pour moi, je pense que tout le système du web tel qu'il est conçut à l'heure actuel devrait être repensé, et refait. Mais cela demanderais beaucoup de temps, beaucoup d'argent et surtout, cela demanderais de faire un gros RàZ du web, et ça, c'est pas possible dans l'état actuel des choses.

  8. #8
    Membre habitué
    Homme Profil pro
    Inscrit en
    Août 2005
    Messages
    161
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2005
    Messages : 161
    Points : 193
    Points
    193
    Par défaut
    Il ne faut pas oublier qu'a la base, le protocole HTTP a été créé pour simplement transférer des données...(sous forme de pages HTML).
    Ce sont les développeurs qui ont, en quelque sorte, "détourné" l'utilisation du protocole HTTP.

  9. #9
    Membre émérite
    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 40
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Janvier 2007
    Messages : 1 448
    Points : 2 284
    Points
    2 284
    Par défaut
    Comme dns, tcp, pop/smtp ect qui sont tous de vieux protocoles poussés à leurs limites.
    Le problème de ces protocoles c'est qu'ils semblent appartenir au domaine public, et que chacun ajoute sa pierre, pour le meilleur ou pour le pire.
    Aujourd'hui ils rendent le service qu'ont leur demande, même plutôt bien.
    Mais à quel prix ?
    Celui de la sécurité, simplicité, cohérence ect ?

    M'enfin bon c'est un problème bien compliqué qui s'augure. Qui pourrait prendre en charge l'évolution, le support, la standardisation de ces protocoles pour le compte au final de société aussi diverses qu'adversaires. Je pense à microsoft et google pour le mail par exemple. Microsoft cisco sur la partie réseau. Chacun voulant aller dans son sens....

    Citation Envoyé par Katleen Erna Voir le message
    Merci pour tes participations récurrentes sur les sujets de sécurité Kaymak
    Héhé elles sont sympas ces news !
    Mais si y'avait quelques pontes qui rodaient dans le coin pour élever le niveau se serait sympa aussi.

  10. #10
    zul
    zul est déconnecté
    Membre éclairé Avatar de zul
    Profil pro
    Inscrit en
    Juin 2002
    Messages
    498
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2002
    Messages : 498
    Points : 699
    Points
    699
    Par défaut
    Quelles sont les failles de sécurités imputés au protocole HTTP ?

    Comme ça personnellement je ne vois pas. Pour la majorité des autres protocoles cités, il n'y a pas eu de vrais failles (on peut évidemment critiquer la possibilité d'éditer FROM TO cependant, mais bon ).

    Les SQL injections sont un problème de développment, ce n'est pas vraiment lié à HTTP. On peut avoir le même genre de chose avec des applis lourdes. Et ça reste assez alarmant qu'ils existent encore ce genre de problèmes, vu que c'est un problème assez "simple" à corriger.

    Sinon je suis assez d'accord sur le fait que HTTP n'est probablement pas un protocole adapté au "web 2.0", des choses comme XMPP seraient probablement plus adaptés, mais bon, le passif est là maintenant. Au passage, tout Internet marche sur la tête : c'était censé être un réseau massivement décentralisé, en point à point. Au final, on a des informations massivement centralisés, et on fait des contorsions dans tous les sens pour les problèmes de NAT dans tous les sens (problèmes qu'on aurait pu éliminer depuis un moment avec IPv6).

  11. #11
    Membre éclairé
    Profil pro
    maçon
    Inscrit en
    Novembre 2004
    Messages
    276
    Détails du profil
    Informations personnelles :
    Localisation : France, Haute Loire (Auvergne)

    Informations professionnelles :
    Activité : maçon

    Informations forums :
    Inscription : Novembre 2004
    Messages : 276
    Points : 720
    Points
    720
    Par défaut
    C'est encore possible sa ? Avec les ips, les méthodes de dév, et touuuusssss les efforts, la communication, il y à des sites internet qui éprouvent encore de telles erreurs ?
    Faut les virer ces développeurs ?
    Bon je vais precher pour ma chapelle , je suis developpeur dans une pme !
    Mais dans ce genre de boite on fait tout !
    Developpement certe mais aussi on fait de la maintenance, assistance,réparation,réseaux .
    Biensur on est multi plateforme, on gère aussi le parefeu, on déplace les ordi, on s'occupe du téléphone, on cable, on teste les onduleurs , on change même les ampoules electriques (si,si) et on fait même de la traduction pour le service commercial ...
    En etant aussi polyvalent eh bien moi je vous dis que l'on a pas trop le temps de se plonger dans la litterature et de palier les deficiences des divers application que l'on utilise.
    Tous les informaticiens travaillant dans le même genre de boite que moi vous le dirons on repond à l'urgence tout le temps alors les SQL INJECTION pffff on s'en tamponne un peu le coquillard et tant pis si on est pas doué pour le developpement mais en tout cas la boite elle continue de tourner même avec de potentialité de SQL INJECTION !!!

  12. #12
    Membre averti
    Avatar de cahnory
    Profil pro
    Inscrit en
    Mai 2007
    Messages
    203
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France

    Informations forums :
    Inscription : Mai 2007
    Messages : 203
    Points : 401
    Points
    401
    Par défaut
    Citation Envoyé par olaxius Voir le message
    et on fait même de la traduction pour le service commercial
    Ah bon toi aussi ? ^^
    Bon les sql injections disons que pour beaucoup c'est quand même devenu une habitude de les traiter (ou plutot on a tous des mécanisme pour un peu automatiser ça). Mais après il est clair que dans certaines boites le développer est devenu l'homme à tout faire sans pour autant qu'on lui laisse plus de temps pour le faire. À partir de là il y a plusieurs discours, celui du pompier qui va sauver une pauvre victime pendant ses heures de congés (à savoir prendre de son temps libre pour faire bien ce pour quoi on nous laisse pas le temps), c'est louable mais en même temps sur le long terme on laisse penser aux autres intervenants (patron, client) qu'ils utilisent un model qui fonctionne.
    Soit on laisse courir en se disant que s'ils payent pour du discount ils doivent s'attendre à des produits à la durée de vie limitée (mais là encore rien ne dit que le client paye moins cher, ça peut être le patron qui se gave). Si l'on résonne comme ça il est quand même de notre devoir de mettre en garde (moi perso je suis intégrateur web mais je fait tout ce qui est php, base de donnée, server... je préviens bien mon patron que je le fait mais que je suis pas spécialiste. Ça n'empeche pas de me reprendre les reproches en pleine tronche mais j'ai la conscience tranquille).
    Soit et ça je pense que c'est ce qui reflète la réalité, on fait le pompier les jours où ça va, et les jours où on supporte mal de faire des choses qui mériterai un spécialiste ou d'avoir donnée une estimation de temps de réalisation trop courte (après biensur avoir répété qu'on ne pouvait la fournir car normalement on ne s'occupe pas de ça et donc qu'on ne peut l'estimer mais que tant qu'on a pas répondu par un temps la question revient) on se couvre et on avance en sachant très bien que malgrais les mises en garde et bien qu'on en fasse déjà plus que ce qu'on devrait, si quelque chose merde on va en entendre parler !

  13. #13
    Membre émérite
    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 40
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Janvier 2007
    Messages : 1 448
    Points : 2 284
    Points
    2 284
    Par défaut
    @zul, tu pensais à quoi concernant les informations massivement centralisés ?
    Genre openid ?

    @olaxius, et @cahnory
    Je suis bien d'accord.
    Mais soit on accepte de ne pas le faire en ayant prévenu, soit on défent son steak.
    Avec mon boss, je sais pertinament qu'il n'à pas concscience de ces problématiques techniques, et je le met devant son statut de décisionnaire pour trancher.
    En lui expliquant qu'on peut faire sa 10 jours bien, ou la même chose 5 jours mais tout pourri, ceci en moins ect.
    Mais toujours, c'est lui qui décide, ainsi je suis tranquille.
    Avec le temps il à appris et maintenant il me donne plus de liberté et comprend plus aisément.

Discussions similaires

  1. les attaques pour un site web
    Par crystina dans le forum Sécurité
    Réponses: 3
    Dernier message: 18/06/2014, 15h52
  2. Réponses: 8
    Dernier message: 10/03/2011, 15h09
  3. Recherche d'un outil analyser les dépendances entres les fichiers d'un site web PHP
    Par nkdb dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 5
    Dernier message: 06/01/2007, 21h38
  4. unicité de champ les uns envers les autres
    Par Jovial dans le forum SQL Procédural
    Réponses: 6
    Dernier message: 16/04/2004, 09h34

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo