Attaque par intrusion

L'attaque par intrusion (appelée BREACH, « Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext ») a été découverte en 2013. Ce type de violation de données exploite à la fois la compression des données et le cryptage utilisé par les sites Web pour accélérer la durée de chargement des pages, économiser la bande passante et sécuriser les données lors de la transmission. Bien que l'attaque par intrusion ne vise pas directement la sécurité SSL, elle compromet les objectifs de confidentialité de SSL en réduisant la prise en charge HTTPS pour ne chiffrer que les en-têtes de page, augmentant ainsi la vulnérabilité des autres contenus. En utilisant une combinaison d'attaques en force et de techniques basées sur la stratégie division-fusion, les attaques par intrusion peuvent être utilisées par les cybercriminels pour extraire des informations d'authentification, des adresses électroniques et d'autres informations confidentielles ou personnellement identifiables provenant de sites Web SSL.

Attaque par intrusion : Conditions de vulnérabilité et présentation des techniques d'atténuation possibles

L'attaque par intrusion est indépendante de la version du protocole SSL/TLS utilisé et vise tout type de suite de chiffrement, lorsque les conditions suivantes sont réunies :

  • L'application Web utilise la compression HTTP et reflète les données fournies par l'utilisateur ainsi qu'un élément confidentiel statique dans les éléments de réponse HTTP.
  • L'attaquant sait ce qu'il doit chercher et est capable de surveiller le trafic entre l'utilisateur et l'application Web afin de restaurer la longueur des réponses HTTP.
  • L'attaquant est en mesure de convaincre l'utilisateur de visiter un site Web contenant un script malveillant et d'injecter un dispositif MitB (man-in-the-browser) capable d'envoyer des requêtes vers le site Web cible.

En effet, en injectant un texte clair dans une requête HTTPS et en observant la longueur des réponses HTTPS compressées, un attaquant est capable de deviner les éléments, de manière itérative, et d'extraire des informations confidentielles en texte clair à partir d'un flux SSL.

Ne nécessitant que quelques milliers de demandes, l'attaque par intrusion peut s'exécuter en moins de 60 secondes. Aucun moyen pratique de la déjouer proprement n'est connu actuellement. Parmi les mesures d'atténuation possibles, citons la désactivation de la compression HTTP, qui entraîne une baisse des performances et l'utilisation accrue de la bande passante, la séparation des informations confidentielles lors des entrées utilisateur ou encore l'envoi au serveur de requêtes limitant le débit. La plupart des mesures d'atténuation des attaques par intrusion sont spécifiques aux applications ou exigent l'amélioration des meilleures pratiques de sécurité des informations en matière de traitement des données confidentielles. Il existe d'autres mesures préventives qui impliquent la mise en œuvre de processus de gestion des failles de sécurité au niveau des applications Web, ainsi que l'utilisation d'un pare-feu d'application Web pour détecter et bloquer les clients malveillants.

Un moyen simple et puissant de protéger vos sites et applications Web

Akamai est prêt et disposé à aider nos clients à mettre en œuvre des défenses appropriées et à discuter des implications que les stratégies défensives contre les attaques par intrusion peuvent entraîner au niveau des performances. Pour les utilisateurs de notre plate-forme, il est recommandé d'utiliser notre solution de sécurité Web Kona Site Defender, constituée des éléments suivants :

  • Un puissant outil intégré de protection contre les attaques DDoS, qui tire parti de l'évolutivité d'Akamai Intelligent Platform pour contrecarrer les attaques DDoS des couches applicative et réseau.
  • Un pare-feu d'application Web (WAF) permettant l'inspection des paquets en profondeur (ou DPI, Deep Packet Inspection) du trafic HTTP/S afin d'identifier et de déjouer les attaques par injection SQL, les attaques de type XSS (Cross-Site Scripting), et d'autres cyberattaques fréquentes.
  • Des contrôles de débit, qui peuvent aider à prévenir les attaques de couche applicative en surveillant le débit des requêtes soumises sur nos serveurs et en contrôlant l'origine des demandes

En savoir plus sur la solution Kona Site Defender et les autres solutions de sécurité dans le Cloud basées sur Akamai Intelligent Platform.