Sony étant la dernière victime majeure du piratage informatique, les grandes entreprises constatent à nouveau combien les violations de données causent de graves dommages par millions. La prévalence du piratage dans les médias soulève la question suivante: que réserve l'avenir pour 2015??

Dans un contexte d'attaques XSS plus fréquentes et dangereuses, de code tiers et de plugins demeurant le talon d'Achille des applications Web, et de plus en plus d'attaques chaînées, les entreprises rechercheront de nouveaux moyens de protéger leurs propriétés en ligne.

Malheureusement, il est assez difficile de faire des prévisions sur la sécurité des informations, et encore plus difficile de les vérifier par la suite. Nous ne pouvons juger de l'efficacité de la sécurité des informations que par le nombre d'incidents de sécurité publique, car la majorité des atteintes à la sécurité des données restent non détectées..

Cependant, dans cet article, nous allons faire des prédictions de sécurité Web basées sur la rentabilité du sens commun (rapport bénéfice / coût) pour les pirates informatiques…

1. Les applications Web vulnérables resteront le moyen le plus simple de compromettre les entreprises

Lorsque presque toutes les entreprises possèdent une ou même plusieurs applications Web vulnérables, les pirates informatiques ne se donneront plus la peine de lancer des attaques APT complexes et coûteuses avec des exploits du jour zéro. Les entreprises continuent de sous-estimer sérieusement les risques liés à leurs applications Web et à leur site Web. Une toute petite vulnérabilité, telle que XSS, peut compromettre l’ensemble du réseau local, les emails et les bases de données d’une entreprise..

2. XSS deviendra un vecteur d'attaques plus fréquent et dangereux

Il est très difficile de détecter des vulnérabilités de risque élevé ou critique dans des produits Web bien connus (par exemple, Joomla, WordPress, SharePoint, etc.). Cependant, des vulnérabilités à risque faible et moyen, telles que XSS, apparaîtront toujours régulièrement. L'exploitation sophistiquée d'un système XSS peut donner les mêmes résultats qu'une vulnérabilité liée à une injection SQL. Par conséquent, les pirates informatiques s'appuieront de plus en plus sur les attaques XSS pour atteindre leurs objectifs..

3. Le code et les plugins tiers resteront le talon d'Achille des applications Web

Bien que le code de base des systèmes de gestion de contenu connus et d'autres produits Web soit relativement sûr aujourd'hui, le code tiers, tel que divers plug-ins ou extensions, reste vulnérable, même aux vulnérabilités à haut risque. Les gens ont tendance à oublier qu'un script de vote de plug-in ou de site Web tiers obsolète met en danger l'ensemble de l'application Web. De toute évidence, les pirates informatiques ne manqueront pas de telles occasions.

4. Les attaques chaînées et les attaques via des sites Web tiers se multiplieront

Aujourd'hui, il est assez difficile de trouver une vulnérabilité critique sur un site Web bien connu. Il est beaucoup plus rapide et donc moins coûteux pour les pirates informatiques de détecter plusieurs vulnérabilités présentant un risque moyen et d'utiliser une combinaison de celles-ci pour obtenir un accès complet au site Web..

Une autre tendance consiste à attaquer un site Web réputé que la victime visite régulièrement. Par exemple, lorsqu’ils recherchent un dirigeant de niveau C, les pirates informatiques peuvent compromettre plusieurs sites Web financiers de premier plan ou des journaux et insérer un pack d’exploit qui sera activé uniquement pour une combinaison spécifique de cookies IP, d’agent utilisateur et d’authentification appartenant à la victime. . De telles attaques sont très difficiles à détecter car seule la victime peut remarquer l’attaque..

5. Les mots de passe faibles et la réutilisation des mots de passe resteront un problème très grave

De nombreuses personnes utilisent toujours les mêmes mots de passe ou des mots de passe similaires pour tous leurs comptes. Les pirates informatiques ne peuvent pas manquer de telles opportunités et exploiter activement cette faiblesse humaine. La première étape de l’attaque consiste à identifier tous les sites Web ou blogs sur lesquels la victime est enregistrée ou possède un compte. La deuxième étape consiste à sélectionner le site Web le plus faible dans la liste et à le compromettre. Les techniques de cryptage des mots de passe couramment utilisées dans les applications Web sont loin d'être résistantes, et un mot de passe en texte clair peut être obtenu assez rapidement..

Même si la victime utilise un mot de passe très fort et que celui-ci est correctement chiffré dans la base de données. Les pirates informatiques vont simplement faire fonction de cheval de Troie dans l'application Web pour intercepter le mot de passe en texte brut lors de la connexion. La dernière étape consiste à essayer le mot de passe de tous les comptes et ressources de la victime..

6. Les erreurs de logique d'application deviendront plus fréquentes et critiques

Des exemples avec AliExpress et Delta Airlines mettent en évidence l’impact de vulnérabilités de la logique applicative presque indétectables par les solutions automatisées. Les développeurs Web ont pris conscience des défauts et du code des injections XSS et SQL beaucoup mieux qu’auparavant, mais ils oublient les vulnérabilités de la logique applicative qui peuvent être encore plus dangereuses que les injections SQL ou les RCE..

7. Les outils et solutions de sécurité automatisés ne seront plus efficaces

Les pare-feu d'applications Web, les scanners de vulnérabilité Web et les services de détection de logiciels malveillants ne seront plus efficaces s'ils sont utilisés séparément ou sans contrôle humain. Les vulnérabilités et les attaques sur le Web deviennent de plus en plus sophistiquées et complexes à détecter, et une intervention humaine est presque toujours nécessaire pour détecter correctement toutes les vulnérabilités..

Il ne suffit plus de corriger 90%, voire 99%, des vulnérabilités - les pirates informatiques détecteront la dernière vulnérabilité et l'utiliseront pour compromettre l'intégralité du site Web. En tant que solution à la recrudescence de nouvelles menaces, High-Tech Bridge a lancé ImmuniWeb l'année dernière - un hybride unique combinant efficacement une évaluation de sécurité automatisée et des tests d'intrusion manuels..

  • Ilia Kolochenko est PDG de High-Tech Bridge et architecte en chef d'ImmuniWeb