Discussion :

[Katleen Erna]

Sécurité informatique : les attaques envers les sites en web 2.0 en augmentation, selon le WASC

Le WASC (Web Application Security Consortium), dans son rapport bi-annuel sorti en août 2009, indique une importante hausse des attaques sur les sites en web 2.0.

Il est ainsi rapporté que dans le premier semestre 2009, les attaques envers les réseaux sociaux du web 2.0 (comme par exemple le populaire Twitter) consituaient 19% de toutes les attaques rencensées. Ces sites reposant sur le web 2.0 brassent généralement un grand nombre d'utilisateurs qui y ajoutent leur propre contenu, ce contenu pouvant ouvrir certaines failles et les offrir aux pirates (comme, par exemple, les très efficaces CSRF - attaques "cross-site request forgery" exploitant la confiance qu'une application montre à l'égard de ses clients en forçant le navigateur de la victime à envoyer une requête silencieuse à l'insu de l'internaute -).


Viennent ensuite les sites commerciaux qui récoltent 16 % des attaques pour les organisations médiatiques, et 12 % pour les vendeurs de produits technologiques.

Les résultats des sites politiques et gouvernementaux se sont effondrés de la première (en 2008) à la quatrième place avec 12%.

Enfin viennent les sites de divertissement, avec 7%, et les sites financiers et d'éducation, tous deux avec 5%.

Selon WASC, les attaques à injection SQL (comme dans le cas récent du vol de plus de 130 millions de numéros de cartes bancaires) sont les plus utilisées par les hackers, avec 19 %, suivies par diverses attaques inconnues (lorsqu'on ne peut pas détecter quelle vulnérabilité a été utilisée) à hauteur de 11 %. Les attaques par déni de service, le spoofing ainsi que les attaques par force brute arrivent à égalité en troisième position avec 10%.

Ces chiffres sont apportés par la Web Hacking Incidents Database qui tient une liste des incidents de sécurité causés par des vulnérabilités, mais ne recense pas les vulnérabilités elle-mêmes.

Source : http://www.breach.com/resources/whit...dents-2009.pdf

Qu'est ce qui a provoqué, selon vous, une telle chute du nombre d'attaques sur les sites gouvernementaux et politiques ?

Le web 2.0 est-il particulièrement vulnérable ?

[kaymak]

Selon WASC, les attaques à injection SQL (comme dans le cas récent du vol de plus de 130 millions de numéros de cartes bancaires) sont les plus utilisées par les hackers,

C'est encore possible sa ? Avec les ips, les méthodes de dév, et touuuusssss les efforts, la communication, il y à des sites internet qui éprouvent encore de telles erreurs ?
Faut les virer ces développeurs ?

Par contre ils ne font pas encore bruit d'escroquerie ou chantage sur des si ? Car pour le e-commerce notamment, c'est une des plus grandes craintes à avoir.

Qu'est ce qui a provoqué, selon vous, une telle chute du nombre d'attaques sur les sites gouvernementaux et politiques ?

Tensions politiques qui s'apaisent (chine/inde/japon/corée/usa/russie/georgie/pakistan ect (et non ce n'est pas une liste des forces du mal muhahaha, bref) )
Actualité politique qui s'apaise aussi. Obama à moins d'ennemis que bush.
Sa suit le mouvement.

Le web 2.0 est-il particulièrement vulnérable ?

Je dirais plutôt qu'à mesure qu'Internet devient de plus en plus présent (twitter est une action à réalisé tous les jours en permanence), les attaques sont plus nombreuses et donne l'impression d'être plus grave parce que cela touche tlm (de ppda à meme jaquemin).

M'enfin le pire reste à venir !

[Katleen Erna]

Merci pour tes participations récurrentes sur les sujets de sécurité Kaymak

[mitnick2006]

d'après ce rapport on constate que malgré l'évolution du web en version 2.0, et le développement des outils de sécurité efficaces, les attaques des
hackers ne cessent pas pour détruire ce type de sites!!

[MadCat34]

Dans un article du magasine Hakin9, il y a un sujet très intéressant qui concerne un framework d'audit d'application Web. Je ne peux qu'en recommander la lecture.

Il s'agit de W3AF (Web Application Attack and Audit Framework).
Cela pourrait être utile pour une grande partie des développeurs Web.

Si quelqu'un connait et s'en est déjà servi, cela pourrait être intéressant de nous pondre un petit tuto

[Patriarch24]

Les attaques par injection SQL sont si fréquentes que cela ? C'est une vraie misère...

[kaymak]

Comme dns, tcp, pop/smtp ect qui sont tous de vieux protocoles poussés à leurs limites.
Le problème de ces protocoles c'est qu'ils semblent appartenir au domaine public, et que chacun ajoute sa pierre, pour le meilleur ou pour le pire.
Aujourd'hui ils rendent le service qu'ont leur demande, même plutôt bien.
Mais à quel prix ?
Celui de la sécurité, simplicité, cohérence ect ?

M'enfin bon c'est un problème bien compliqué qui s'augure. Qui pourrait prendre en charge l'évolution, le support, la standardisation de ces protocoles pour le compte au final de société aussi diverses qu'adversaires. Je pense à microsoft et google pour le mail par exemple. Microsoft cisco sur la partie réseau. Chacun voulant aller dans son sens....

Merci pour tes participations récurrentes sur les sujets de sécurité Kaymak

Héhé elles sont sympas ces news !
Mais si y'avait quelques pontes qui rodaient dans le coin pour élever le niveau se serait sympa aussi.

[zul]

Quelles sont les failles de sécurités imputés au protocole HTTP ?

Comme ça personnellement je ne vois pas. Pour la majorité des autres protocoles cités, il n'y a pas eu de vrais failles (on peut évidemment critiquer la possibilité d'éditer FROM TO cependant, mais bon ).

Les SQL injections sont un problème de développment, ce n'est pas vraiment lié à HTTP. On peut avoir le même genre de chose avec des applis lourdes. Et ça reste assez alarmant qu'ils existent encore ce genre de problèmes, vu que c'est un problème assez "simple" à corriger.

Sinon je suis assez d'accord sur le fait que HTTP n'est probablement pas un protocole adapté au "web 2.0", des choses comme XMPP seraient probablement plus adaptés, mais bon, le passif est là maintenant. Au passage, tout Internet marche sur la tête : c'était censé être un réseau massivement décentralisé, en point à point. Au final, on a des informations massivement centralisés, et on fait des contorsions dans tous les sens pour les problèmes de NAT dans tous les sens (problèmes qu'on aurait pu éliminer depuis un moment avec IPv6).

[olaxius]

C'est encore possible sa ? Avec les ips, les méthodes de dév, et touuuusssss les efforts, la communication, il y à des sites internet qui éprouvent encore de telles erreurs ?
Faut les virer ces développeurs ?

Bon je vais precher pour ma chapelle , je suis developpeur dans une pme !
Mais dans ce genre de boite on fait tout !
Developpement certe mais aussi on fait de la maintenance, assistance,réparation,réseaux .
Biensur on est multi plateforme, on gère aussi le parefeu, on déplace les ordi, on s'occupe du téléphone, on cable, on teste les onduleurs , on change même les ampoules electriques (si,si) et on fait même de la traduction pour le service commercial ...
En etant aussi polyvalent eh bien moi je vous dis que l'on a pas trop le temps de se plonger dans la litterature et de palier les deficiences des divers application que l'on utilise.
Tous les informaticiens travaillant dans le même genre de boite que moi vous le dirons on repond à l'urgence tout le temps alors les SQL INJECTION pffff on s'en tamponne un peu le coquillard et tant pis si on est pas doué pour le developpement mais en tout cas la boite elle continue de tourner même avec de potentialité de SQL INJECTION !!!