Preventable But Often Ignored, Web App Attacks Expand Their Reach

Évitables mais souvent ignorées, les attaques d'applications Web élargissent leur portée

Par Teresa Meek

Les attaques Web qui volent des données ou dégradent un site Web existent depuis plus de deux décennies. Bien qu'assez faciles à éviter, elles causent toujours des problèmes qui surviennent de plus en plus fréquemment.

Les attaques dans lesquelles les pirates accèdent à un site en tapant un code dans des champs de formulaire ont augmenté de 25 % dans le monde au cours de l'année dernière, selon les données du deuxième trimestre publiées par Akamai Technologies dans son rapport État des lieux d'Internet / Sécurité. Les États-Unis sont de loin la plus grande cible, comptant 218 millions d'incidents au cours du deuxième trimestre seulement.

À moins de prendre des mesures préventives, les entreprises risquent de perdre des données, des clients et des gains.

Preventable But Often Ignored, Web App Attacks Expand
Un retard de 100 millisecondes dans le temps de charge nuit aux ventes jusqu'à 7 %, selon un récent rapport d'Akamai.

Types d'attaques d'applications Web

Les attaques d'applications Web insèrent un code sur des parties interactives d'un site Web, ce qui pousse le serveur à divulguer des données ou à exécuter des fichiers destructeurs. Elles apparaissent sous plusieurs formes, chacune d'elles pouvant nuire à une entreprise de sa propre manière.

Une attaque de cross-site scripting, ou XSS, insère un code pouvant dégrader un site Web ou rediriger les utilisateurs vers un faux site, afin que les pirates volent leurs informations d'identification. Cela est arrivé à eBay il y a quelques années. Les attaques XSS représentaient 9 % des attaques d'applications Web au cours du dernier trimestre, selon le rapport d'Akamai.

Les attaques d'inclusion de fichiers locaux, ou LFI, sont aussi répandues. Elles représentaient 33 % des attaques d'applications Web au deuxième trimestre. Dans ces attaques, les pirates ajoutent des commandes codées à des champs interactifs, en demandant l'accès à des fichiers sensibles sur le serveur Web. Dans certains cas, une attaque LFI peut exécuter un code malveillant.

Le type le plus commun, et parmi les plus graves, d'attaques d'applications Web, est l'injection SQL, ou SQLi, qui représentait 51 % des attaques d'applications Web au deuxième trimestre. Dans ce cas, un pirate tape des commandes pouvant forcer un serveur à révéler des informations stockées dans des bases de données.

Le pouvoir de nuisance d'une attaque SQLi

Tout en recherchant des données à voler, une attaque SQLi bloque les ressources d'un serveur. Ainsi, les informations recherchées par d'autres personnes, notamment les clients, se chargent plus lentement. Le délai peut durer seulement quelques millisecondes, mais cela peut être trop long pour certains.

« Si une page se charge entre 30 et 100 millisecondes au lieu de 10 à 20 millisecondes, ce léger retard est suffisant pour coûter de l'argent à une entreprise, » explique John Summers, Enterprise Vice President et General Manager chez Akamai Technologies. « Si vous vendez quelque chose, les clients iront le trouver ailleurs. Cela peut représenter une perte de plusieurs millions de dollars. »

Un retard de 100 millisecondes dans le temps de charge nuit aux ventes jusqu'à 7 %, selon un récent rapport d'Akamai. Un retard de deux secondes double le nombre moyen de personnes quittant un site.

Et ce n'est pas le pire. Tout en repoussant les clients, l'attaque extrait également des informations d'une base de données. Une seule attaque peut ne renvoyer qu'une petite quantité d'informations. Cependant, les pirates attaquent souvent plusieurs fois jusqu'à ce qu'ils aient extrait l'intégralité du contenu de la base de données.

Une attaque peut voler les noms d'utilisateur ainsi que les mots de passe de comptes de clients, et donner l'accès à leur historique de navigation et d'achats. Si une société ne chiffre pas les informations de carte de crédit, une attaque peut aussi s'approprier des données de carte.

Généralement, les attaques ne peuvent pas voler de données chiffrées. Cependant, si un développeur de site Web stocke mal la clé de chiffrement, un pirate peut la trouver et l'utiliser pour télécharger des numéros de carte de crédit ainsi que d'autres informations privées, selon M. Summers.

Prévention des attaques

Les entreprises peuvent facilement arrêter les attaques d'applications Web. Elles peuvent par exemple programmer leurs sites pour empêcher le langage de commande informatique d'être inséré dans les champs de réponse des clients. Une autre méthode est d'installer des Web Application Firewalls.

Ces pare-feu peuvent analyser le trafic du site Web et alerter une société si des visiteurs viennent d'une partie du monde où elle n'a normalement pas d'activités.

« Si votre base de clients est à 99 % européenne et que vous notez soudainement un trafic provenant de l'Australie, vous devriez faire attention, » commente M. Summers.

Le système de pare-feu d'Akamai analyse le trafic inhabituel et évalue également les adresses IP individuelles, en donnant une note de risque élevé à celles qui ont été impliquées dans d'autres attaques. Une fois alertée d'un trafic suspect, une entreprise peut appliquer des contrôles antifraude supplémentaires avant d'approuver des interactions.

Prendre des mesures préventives contre les attaques d'applications Web n'est pas difficile, mais beaucoup d'entreprises n'investissent pas suffisamment de ressources pour les rendre efficaces. D'autres ne réévaluent pas leurs sites pour s'adapter au paysage changeant des menaces.

« Cela nécessite du temps, de l'énergie, de l'argent, de la volonté et cela n'a pas été traité comme une priorité, » explique M. Summers.

Entre-temps, les pirates fouillent sur le Web, à la recherche de sites vulnérables aux attaques d'applications. Ils ont même un outil automatisant le processus de recherche de pages de choix pour une attaque SQLi. Des vidéos YouTube expliquent comment utiliser l'outil.

Dans cet environnement, les entreprises doivent revoir leurs priorités pour se préparer aux attaques d'applications Web et pas seulement aux attaques très médiatisées, telles que celles impliquant un déni de service distribué, selon M. Summers.

« Les attaques d'applications Web peuvent bloquer les ressources, causer des retards, coûter de l'argent, emporter des données client et vous mettre sur le devant de la scène, » avertit M. Summers. « Elles n'arrêtent pas votre système comme une attaque DDoS, mais à long terme, elles ont autant d'effet sur votre entreprise. »

Teresa Meek vit et travaille à Seattle. Comptant plus de 15 ans d'expérience dans le domaine de la communication, elle a aussi écrit pour le Miami Herald et Newsday.

Related CIO Content