Vos applications Web sont plus vulnérables que vous ne le pensez

Vos applications Web sont plus vulnérables que vous ne le pensez

Une étude récente a révélé un vecteur d’attaque souvent négligé: l’insécurité des applications Web.

Selon le rapport publié par Positive Technologies, 44% des applications Web sont vulnérables aux fuites de données et aux problèmes de sécurité. En d’autres termes, les acteurs de la menace ont facilement accès aux données clients personnelles que ces applications traitent dans une variété de domaines tels que la banque, le commerce électronique et les communications.

De plus, 48% des applications se sont révélées vulnérables à un accès non autorisé, 17% ayant des exploits pouvant entraîner une prise de contrôle totale par un acteur de menace. Mais le résultat le plus révélateur est peut-être que 100% des applications Web testées présentent une vulnérabilité en général.

La sécurité comme une réflexion après coup

L’application Web en tant que vecteur d’attaque n’est pas un nouveau problème, même si nous n’avons peut-être pas réalisé à quel point ces vulnérabilités étaient graves. Pire encore, nous avons laissé le problème persister: de nombreux développeurs et décideurs informatiques ne prennent pas au sérieux la sécurité des applications Web. Mozilla a donné 93% des sites Web observant un niveau de sécurité inférieur à celui des scripts intersites (XSS), par exemple. La sécurité des applications a tendance à être considérée comme une réflexion après coup, poussée derrière d’autres problèmes de sécurité plus pressants.

Selon le rapport, le plus gros problème, quel que soit le langage de programmation utilisé, est le XSS. Les auteurs ont également signalé les fuites de données, les empreintes digitales et les attaques par force brute comme des problèmes communs à tous les niveaux.

La sécurité des applications est à la traîne malgré une sensibilisation accrue

«La sécurité des applications Web est encore médiocre et, malgré une prise de conscience accrue des risques, elle n’est toujours pas suffisamment prioritaire dans le processus de développement», a déclaré Leigh-Anne Galloway, chef de file en matière de résilience en cybersécurité chez Positive Technologies. «La plupart de ces problèmes auraient pu être complètement évités grâce à la mise en œuvre de pratiques de développement sécurisées, y compris des audits de code dès le départ et à l’extérieur.»

Pourquoi la sécurité des applications Web est-elle en retard? Dans un article de Secure Code Warrior, Pieter Danhieux a blâmé le comportement humain, déclarant que non seulement les humains se comportent de manière à présenter des vulnérabilités et des menaces de sécurité, mais que les développeurs ne sont pas toujours intégrés à la boucle de sécurité.

Comment les développeurs sont-ils censés écrire du code sécurisé si personne ne leur apprend jamais pourquoi il est important, les conséquences du code non sécurisé et, surtout, comment éviter d’écrire ces vulnérabilités dans leurs structures de programmation respectives?

Comment les cybercriminels exploitent les applications Web pour diffuser des logiciels malveillants

Le rapport Postitive Technologies a cité deux principaux domaines de motivation des cybercriminels pour tirer parti des vulnérabilités des applications Web. La première consiste à utiliser des applications pour infecter et diffuser des logiciels malveillants sur les réseaux d’entreprise.

“Cette méthode a été utilisée pour diffuser le ransomware de Bad Rabbit: les attaquants ont compromis les applications Web appartenant à des médias et les logiciels malveillants masqués en tant qu’installateur de mise à jour d’Adobe Flash Player”, explique le rapport.

Dans un autre cas, un attaquant a exploité une vulnérabilité pour diffuser des e-mails de phishing ciblant les employés de la banque.

Certaines menaces ne comportent même pas d’attaques directes contre des applications Web; Les cybercriminels peuvent utiliser les applications de différentes manières pour lancer des attaques de logiciels malveillants. Dès que votre site Web ou votre application Web est compromis, quelle que soit la méthode utilisée, la réputation de votre entreprise en pâtit, ce qui peut entraîner des pertes financières.

Le vol de données dans un monde réglementé

Le rapport citait également le vol de données comme motivation clé pour cibler les applications Web. La fuite de données est un problème dans toutes les situations, qu’il s’agisse de données client ou de propriété intellectuelle d’entreprise. Cependant, les enjeux des données volées ont été soulevés dans un règlement post-général sur la protection des données (RGPD) et dans un monde antérieur à la loi californienne sur la protection de la vie privée (CCPA).

Alors que de plus en plus d’États décident de prendre des mesures pour protéger les données des clients, tout type de perte de données peut créer d’énormes problèmes pour les chefs d’entreprise. Selon les données compilées par TermsFeed, la perte de données peut coûter des centaines de milliers à des millions de dollars en amendes. Parallèlement, au fur et à mesure des efforts consacrés à la protection des données, les données volées gagneront en valeur sur le web, ce qui encouragera les acteurs à améliorer leurs styles de ciblage et d’attaque.

Comment les entreprises peuvent-elles protéger les applications Web?

Les règles de confidentialité des données exigent que la plupart des entreprises améliorent leurs capacités de sécurité des applications Web. Les responsables informatiques peuvent commencer par intégrer des mesures de sécurité directement dans la conception de l’application afin de placer la sécurité des consommateurs et la confidentialité au premier plan.

«Pour la sécurité des applications, cela signifie que la sécurité et la confidentialité doivent être prises en compte dans les étapes de planification du cycle de vie du développement logiciel (SDLC)», a déclaré Amit Ashbel, expert en cybersécurité pour ITProPortal. «Malheureusement, ce n’est pas le cas actuellement pour de nombreuses organisations, ce sera donc une tâche importante pour l’industrie.»

Les mesures de sécurité et de confidentialité intégrées sont essentielles. Les développeurs d’applications Web doivent également implémenter un pare-feu d’applications Web, renforcer la gestion des mots de passe, déployer les fonctionnalités de gestion des applications mobiles et installer des plug-ins de sécurité, le cas échéant.

Comme l’a souligné le rapport Positive Technologies, il est clair que les problèmes de sécurité des applications Web ne retiennent pas l’attention dont ils ont besoin, car leurs études annuelles révèlent les mêmes erreurs et les mêmes problèmes. La sécurité laxiste peut avoir été négligée dans le passé, mais à mesure que les règles de confidentialité et leurs conséquences gagnent en importance, les vulnérabilités des applications et les fuites de données peuvent coûter à votre entreprise bien plus qu’une simple amende et une gifle.