La sécurité des applications Web, un enjeu de taille
Jean-François Ferland -08/10/2008Les applications Web des petites et des grandes organisations peuvent être la cible des malfaiteurs. Deux spécialistes discutent de cette problématique que l'on prévient par la sensibilisation et la proactivité.
Depuis longtemps, on tente de berner des internautes par courriel afin de les inciter à fournir des données personnelles par l'entremise d'applications Web frauduleuses qui simulent les sites de confiance qu'ils utilisent. Or, d'autres pratiques malveillantes visent directement les applications Web pour en soutirer des informations, en altérer les contenus dynamiques ou s'en servir pour attaquer d'autres cibles sur la Toile.
Michel Cusin est officier de sécurité au groupe Grandes entreprises chez Bell Canada à Québec. Il fait état de l'avènement, avec le Web 2.0, de technologies qui sont réunies dans un procédé nommé AJAX (Asynchronous JavaScript and XML) dont la composante de script JavaScript récupère dynamiquement des contenus sur Internet à partir de plusieurs sources. Or, ce type de script, utilisé à de mauvaises fins, peut servir au vol d'information ou à la redirection de l'internaute d'un site de confiance infecté vers un site frauduleux.
« Même si le site est sécurisé par le protocole HTTPS et chiffré par le protocole SSL, la plupart des gens n'en sont pas conscients et vont sur un site connu sans se soucier qu'ils pourraient être éventuellement piratés et se faire injecter du code malicieux », constate M. Cusin.
Le spécialiste de la sécurité décrit d'autres types de menaces réelles. À la tentative d'hameçonnage bien connue, s'ajoute depuis peu la production de faux courriels, rédigés à l'aide d'informations sur les intérêts personnels d'un internaute à partir d'un réseau social comme Facebook, en reprenant même ses fautes d'orthographe, afin d'inciter ses amis à ouvrir en toute confiance un fichier infecté.
Pour une base de données accessible par l'entremise d'une interface Web, l'injection d'un code malicieux dans les champs d'un formulaire qui n'est pas systématiquement vérifié peut résulter en l'extraction des d'informations supposément protégées. « Si l'application ou la base de données ne filtre pas et ne valide pas ce qui est entré dans ces champs, il est possible que la commande se rende directement à la base de données pour obtenir une liste de clients ou de numéros de carte de crédit. »
Enfin, une autre problématique émane des protocoles Web, comme PHP et JavaScript, qui sont non malicieux en apparence, mais qui sont encodés de façon à transformer le fureteur installé sur un ordinateur en un « balayeur » pour sonder une application Web et en acheminer les vulnérabilités aux fraudeurs. Puisque le code réside dans la mémoire vive d'un ordinateur, les preuves s'effacent une fois que le fureteur est éteint. Or, M. Cusin souligne que ce procotole n'est pas bloqué ni en entrée, ni en sortie par les organisations, sinon une page Web sur deux ne s'afficherait pas ou serait inutilisable.
« On peut avoir un poste de travail avec un antivirus à jour et actif, un serveur mandataire, de la détection d'intrusion et des coupe-feux, mais la commande de balayage d'un site passera à travers tous les mécanismes parce que ce n'est pas un virus, un ver, un code malicieux ou une attaque. Avec le Web 2.0, on est capable d'utiliser les protocoles eux-mêmes de façon détournée pour faire les attaques... La menace devient un monde parallèle. », constate M. Cusin.
Page 1
Page 2
Page 3 Les commentaires de ce site sont propulsés par Disqus
 |
 |
 |
 |
| delicious | Digg it | Diigo | Google | Technorati | StumbleIt | Yahoo! |
