ScuriSer Son Site internet

DeS riSqueS encore trop ngligS par leS pMe-pMi

Les vulnrabilits les plus courantes Les causes les plus courantes Les moyens utiliss par les pirates Les bonnes pratiques Dautres solutions

www.websure.fr

avis dexpert

Les vulnrabilits les plus courantes

Jonathan Azria, Auditeur WebSure
Parmi les quatre vulnrabilits les plus courantes, on retrouve le SQL Injection , le Cross Site Scripting , le Broken Authentification and Session Management et le Cross Site Request Forgery La vulnrabilit SQL Injection est trs frquente car la majorit des sites daujourdhui repose en partie sur une base de donnes. Ds lors, une faille de ce type permettra un pirate dexplorer cette base de donnes la recherche dinformations confidentielles, telles que des identifiants, des numros de cartes bancaires, etc. Dans certains cas le pirate se servira de cette faille pour rapatrier un malware sur le poste du visiteur via linjection de code JavaScript ralise au pralable. Le principe est relativement simple : envoyer des donnes gnrant un comportement inattendu. La vulnrabilit Cross Site Scripting ou XSS souvent sous-estime, est la plus prsente sur les sites internet. Elle a pour principale vocation la manipulation ct client des donnes et/ou des actions du visiteur. Son impact peut aller du vol des sessions utilisateurs, vol de donnes sensibles, injection de code dans la page Web, redirection vers un site dhameonnage, jusquau tlchargement invisible de malwares sur le poste du visiteur. La vulnrabilit Broken Authentification and Session Management qui prend de plus en plus dampleur, consiste rcuprer les identifiants dun utilisateur qui circuleraient en clair sur le rseau car les requtes HTTP ne seraient pas en SSL. Elle vise encore rcuprer les identifiants de sessions dun utilisateur afin dusurper son identit et donc de disposer de laccs complet son compte. Ces identifiants de sessions sont la plupart du temps rcuprs via une faille Cross Site Scripting et de plus en plus de sites intgrent ces identifiants de sessions directement dans lurl. La vulnrabilit Cross Site Request Forgery est presquaussi rpandue que le Cross Site Scripting car elle repose sur le mme principe, savoir injecter du code. Le but tant de faire gnrer une requte vers un site malveillant, directement par le navigateur de la victime, ou bien dexploiter son insu ses droits sur le site o il est connect afin de lui faire raliser des actions. Dans ce dernier cas, ce sont essentiellement les utilisateurs ayant des accs privilgis qui sont cibls.

Des risques encore trop ngligs par les PME-PMI

Avec lampleur du dveloppement du e-commerce et des adeptes des rseaux sociaux, les entreprises sont fortement incites disposer dun site Web attractif qui associe des critres de convivialit, de fluidit et de dynamique. Le site devient galement un lieu naturel de saisie dinformations par les utilisateurs (coordonnes personnelles et bancaires notamment) ce qui ouvre la voie des tentatives malveillantes de toutes sortes. La vulnrabilit du site reprsente en consquence, un risque que lon ne peut pas ignorer. Certaines PME-PMI nont gnralement pas une structure suffisante pour avoir au sein de leurs quipes un dveloppeur Web. Grce aux diffrents systmes de gestion de contenu (CMS) facilement disponibles aujourdhui, ainsi quaux diffrents codes sources prsents sur la toile et tutoriels de dveloppement, presque tout le monde peut simproviser dveloppeur/webmaster. Les dirigeants de ces entreprises sont alors tents dexploiter ces solutions et confient la ralisation de leurs sites Web et de leurs applications associes, des personnes non qualifies ou dont ce nest pas le mtier. Cette nouvelle approche, sduisante a priori, permet tout un chacun de disposer dun site internet sans rellement possder de connaissances en dveloppement et encore moins en scurit. Si pour un dveloppeur expert, la tche de scuriser ses dveloppements pouvant contenir des milliers de lignes de codes est particulirement lourde, celle-ci savre quasiment impossible pour un utilisateur moins aguerri. Or, les consquences de ces vulnrabilits sont graves : dtournement/effacement du site, prise de contrle du serveur, vol de donnes confidentielles, altration des donnes Ainsi, de nombreuses personnes malintentionnes savent parfaitement exploiter les failles. Il est mme possible pour un amateur dans le domaine du hacking de raliser ces oprations sans aucune connaissance, tout simplement en utilisant des outils danalyses et dexploitation automatiques des vulnrabilits que lon retrouve assez facilement sur internet. Daprs les statistiques du Web Application Security Consortium, 13% des sites peuvent tre endommags de faon automatique, et parmi eux, 49% sont vulnrables travers des failles dites critiques . De plus, lusage de techniques daudits manuels rvle un pourcentage de vulnrabilit inquitant qui se situe entre 80 et 96% des sites.

www.websure.fr

avis dexpert

Les causes les plus courantes

Le manque de filtrage des donnes et la trop grande confiance accorde aux utilisateurs par le dveloppeur. Il est primordial de filtrer chaque donne aussi bien en entre quen sortie et den vrifier la structure et le contenu. En effet, puisque le dveloppeur connait le type de donnes attendu et les caractres possibles dans cette donne, il lui suffit alors de vrifier le type ainsi que les caractres prsents pour en dterminer la validit. Pour cela, lutilisation des Expression rgulires est un bon moyen. Une grande majorit des failles pourraient ainsi tre vites. Certes, cela reprsente beaucoup de travail pour le dveloppeur qui na pas toujours le temps de se pencher sur la question scurit et qui sassure avant tout du bon fonctionnement de son dveloppement pour respecter les dlais de livraison. Or, il est plus simple de corriger une vulnrabilit en amont quen aval. Lutilisation des donnes par dfaut, que ce soit dans un CMS, un serveur Web, un serveur de base de donnes ou autre. Trop souvent, par manque de temps, les administrateurs systmes et les dveloppeurs occultent ces paramtres. On retrouve donc des serveurs de base de donnes excuts avec des paramtres root accordant au pirate, en cas dinjection SQL, une totale libert daction autour des serveurs Web dont laffichage des bannires est activ, o le Directory Listing est activ, les sessions non protges. Dans le cas du PHP , on remarque galement des options critiques actives, tels que linclusion de fichier distant, lexcution de commande systme, laffichage de la version installe, laffichage des messages derreurs, etc. Dans certains cas, nous observons mme des Web applications dont les identifiants administrateur sont root / password . Laffichage des versions installes du serveur Web, de la base de donnes et des langages de dveloppement permettra un pirate daller directement rechercher les vulnrabilits connues pour ces versions et de les exploiter. Nous rencontrons aussi de nombreux sites dont les messages derreurs sont affichs en clair. A priori, pour la plupart des dveloppeurs, cela ne constitue simplement quun design perturb, mais pour les hackers en revanche, cela reprsente bien plus. En effet, dans le cas dune SQL Injection si les erreurs SQL sont affiches, le pirate connatra alors la structure de la requte, le type et le nom des donnes attendues et conomisera 80% de temps de recherche pour exploiter la faille. Lun des gros points noirs des outils CMS est quils sont pour la plupart Open Source . En consquence, un pirate peut facilement analyser le code source la recherche de failles pendant des journes entires quil exploitera ensuite sur un site utilisant le mme CMS .

Les moyens utiliss par les pirates

La grande diffrence entre les hacktivistes et les Script Kiddies rside dans le fait que les hacktivistes sont passionns par la scurit la dcouverte de nouvelles failles et nutilisent thoriquement leur art que pour montrer leur dsaccord et revendiquer leurs opinions en attaquant des sites gouvernementaux ou en luttant contre la libert dinternet. Les Script Kiddies quant eux, ne sont pas rellement intresss par la technique, mais plutt par le rsultat, savoir le vol de donnes et la destruction du site. Leurs buts tant de pirater le maximum de sites dans un minimum de temps. Ils utilisent la plupart du temps des exploits crs par dautres hackers. Les Script Kiddies analysent, via leurs outils, de vastes plages de noms de domaines la recherche de sites vulnrables. Nimporte quel site peut donc devenir leur cible et ils ne sarrteront pas la simple dcouverte de failles mais leur exploitation totale. De plus, ils nuiront limage de la socit victime en postant sur tous les blogs underground leurs exploits . Lune des techniques de recherche de failles reste la mthode manuelle o lattaquant va tenter dexploiter une faille dans chaque page du site. Cette mthode prend normment de temps et savre fastidieuse. Elle est aujourdhui utilise essentiellement par les hacktivistes sur des sites cibls. Une autre technique utilise essentiellement par les Script Kiddies se rfre lutilisation doutils automatiss. Le principe est simple : prendre un site au hasard, lancer lanalyse automatique et exploiter les failles dcouvertes. Parmi les outils quils utilisent, nous retrouvons des outils gratuits, tels que Nessus, SQL Ninja, MetaSploit ainsi que des logiciels professionnels cracks . Un des points fondamentaux pour devenir un bon Hacker est de savoir analyser la cible, mais surtout de maitriser les langages de dveloppements utiliss et le fonctionnement des protocoles rseaux et web. Une SQL Injection ne peut tre ralise qu la seule condition de connatre la majorit des fonctions SQL, sauf dans le cas de certains sites rellement vulnrables o les injections SQL de base disponibles dans tous les SQL Cheat Sheets fonctionneront.

www.websure.fr

avis dexpert

Les bonnes pratiques

Il faut garder lesprit que les vrais hackers trouvent chaque jour de nouvelles failles. Il est donc trs difficile, voire impossible de disposer dun site inviolable. Nanmoins, certaines bonnes pratiques permettent davoir un bon niveau de scurit qui ncessitera bien plus de travail pour les hackers. De plus, ces pratiques permettront dchapper aux Script Kiddies qui, comme indiqu auparavant, ne veulent pas perdre de temps. Plusieurs rgles doivent tre respectes : Filtrer chaque donne en entre et en sortie Utiliser les fonctions dchappement/assainissement avant deffectuer une requte SQL et si possible travailler avec des procdures stockes . Travailler avec un systme de White List au lieu de Black List Ne jamais rien excuter avec les droits root Limiter les droits des applications et leurs accs uniquement leurs propres rpertoires Ne jamais laisser des fichiers de Backup accessibles Dsactiver le Directory Listing Utiliser des noms de fichier/dossiers non courants Chiffrer toutes donnes sensibles (mot de passe, numro de carte bancaire) Dsactiver toutes les fonctions qui ne sont pas ncessaires au bon fonctionnement du site/application Lire la documentation complte de la configuration des serveurs Web, base de donnes utilise afin de connatre les paramtres de scurit Ne jamais afficher les messages derreurs Mettre jour le plus souvent possible les outils utiliss (CMS, Serveur, OS, Langage) Ne jamais faire confiance aux utilisateurs Travailler autant que possible en connexion scurise Rajouter un systme de Jeton pour chaque action Rgnrer une nouvelle variable de session chaque chargement de page Raliser des audits de faon rgulire En respectant ces points, on obtient un site/application bien plus sr. Bien entendu, il est plus simple de respecter ces rgles lors du dveloppement car si elles doivent tre appliques ensuite, cela peut ncessiter dans certains cas, plusieurs mois de travail.

Dautres solutions
Certains outils permettent, non pas de dtecter les vulnrabilits, mais plutt de reprer les tentatives dexploitation/dintrusion. Ces outils connus sous les noms dIDS pour Intrusion Detection System et dIPS, pour Intrusion Prevention System , permettent dobtenir une valuation du niveau de risque dune requte effectue par un utilisateur afin dautoriser ou non la requte selon ses propres rgles. Attention, mme si ces outils amliorent la scurit, il est fortement dconseill de se reposer uniquement sur eux car de toute manire, les vulnrabilits doivent tre corriges. Il est recommand deffectuer rgulirement des audits de chaque site et de chaque serveur. Pour cela, il existe de nombreux outils danalyses automatises, tel qu Acunetix Web Vulnerability Scanner , des solutions SAAS tel que WebSure , ou encore des audits raliss par des experts.

Pour plus d'informations, visitez le site :

ATHENA Global Services Editeur de WebSure www.athena-gs.com

www.websure.fr