Discussion :

[Katleen Erna]

Sécurité informatique : les attaques envers les sites en web 2.0 en augmentation, selon le WASC

Le WASC (Web Application Security Consortium), dans son rapport bi-annuel sorti en août 2009, indique une importante hausse des attaques sur les sites en web 2.0.

Il est ainsi rapporté que dans le premier semestre 2009, les attaques envers les réseaux sociaux du web 2.0 (comme par exemple le populaire Twitter) consituaient 19% de toutes les attaques rencensées. Ces sites reposant sur le web 2.0 brassent généralement un grand nombre d'utilisateurs qui y ajoutent leur propre contenu, ce contenu pouvant ouvrir certaines failles et les offrir aux pirates (comme, par exemple, les très efficaces CSRF - attaques "cross-site request forgery" exploitant la confiance qu'une application montre à l'égard de ses clients en forçant le navigateur de la victime à envoyer une requête silencieuse à l'insu de l'internaute -).


Viennent ensuite les sites commerciaux qui récoltent 16 % des attaques pour les organisations médiatiques, et 12 % pour les vendeurs de produits technologiques.

Les résultats des sites politiques et gouvernementaux se sont effondrés de la première (en 2008) à la quatrième place avec 12%.

Enfin viennent les sites de divertissement, avec 7%, et les sites financiers et d'éducation, tous deux avec 5%.

Selon WASC, les attaques à injection SQL (comme dans le cas récent du vol de plus de 130 millions de numéros de cartes bancaires) sont les plus utilisées par les hackers, avec 19 %, suivies par diverses attaques inconnues (lorsqu'on ne peut pas détecter quelle vulnérabilité a été utilisée) à hauteur de 11 %. Les attaques par déni de service, le spoofing ainsi que les attaques par force brute arrivent à égalité en troisième position avec 10%.

Ces chiffres sont apportés par la Web Hacking Incidents Database qui tient une liste des incidents de sécurité causés par des vulnérabilités, mais ne recense pas les vulnérabilités elle-mêmes.

Source : http://www.breach.com/resources/whit...dents-2009.pdf

Qu'est ce qui a provoqué, selon vous, une telle chute du nombre d'attaques sur les sites gouvernementaux et politiques ?

Le web 2.0 est-il particulièrement vulnérable ?

[kaymak]

Selon WASC, les attaques à injection SQL (comme dans le cas récent du vol de plus de 130 millions de numéros de cartes bancaires) sont les plus utilisées par les hackers,

C'est encore possible sa ? Avec les ips, les méthodes de dév, et touuuusssss les efforts, la communication, il y à des sites internet qui éprouvent encore de telles erreurs ?
Faut les virer ces développeurs ?

Par contre ils ne font pas encore bruit d'escroquerie ou chantage sur des si ? Car pour le e-commerce notamment, c'est une des plus grandes craintes à avoir.

Qu'est ce qui a provoqué, selon vous, une telle chute du nombre d'attaques sur les sites gouvernementaux et politiques ?

Tensions politiques qui s'apaisent (chine/inde/japon/corée/usa/russie/georgie/pakistan ect (et non ce n'est pas une liste des forces du mal muhahaha, bref) )
Actualité politique qui s'apaise aussi. Obama à moins d'ennemis que bush.
Sa suit le mouvement.

Le web 2.0 est-il particulièrement vulnérable ?

Je dirais plutôt qu'à mesure qu'Internet devient de plus en plus présent (twitter est une action à réalisé tous les jours en permanence), les attaques sont plus nombreuses et donne l'impression d'être plus grave parce que cela touche tlm (de ppda à meme jaquemin).

M'enfin le pire reste à venir !

[Katleen Erna]

Merci pour tes participations récurrentes sur les sujets de sécurité Kaymak

[mitnick2006]

d'après ce rapport on constate que malgré l'évolution du web en version 2.0, et le développement des outils de sécurité efficaces, les attaques des
hackers ne cessent pas pour détruire ce type de sites!!

[MadCat34]

Dans un article du magasine Hakin9, il y a un sujet très intéressant qui concerne un framework d'audit d'application Web. Je ne peux qu'en recommander la lecture.

Il s'agit de W3AF (Web Application Attack and Audit Framework).
Cela pourrait être utile pour une grande partie des développeurs Web.

Si quelqu'un connait et s'en est déjà servi, cela pourrait être intéressant de nous pondre un petit tuto

[Patriarch24]

Les attaques par injection SQL sont si fréquentes que cela ? C'est une vraie misère...

[Lyche]

Alors que pour lutter contre les SQL Injection c'est pas ce qu'il y a de plus compliqué quand même.. Je trouve ça navrant. Et parfois c'est même flippant, parce que ceux qui vont patir de ces rapports c'est nous. Si les attaques sur les sites web se font plus fréquentes c'est qu'il y a un problème au niveau sécurité. Et qui gère la sécurité des sites? Les développeurs.
On va me dire "oui mais on a pas les délais pour le faire" Mais ça, l'opinion publique s'en fou. Pour lui, étant donné qu'on ne lui racontes pas tout, il va se dire "nos sites sont mal conçus", il va être de plus en plus difficile de faire son trou dans le dev web.
Le Web 2.0 n'est pas plus vulnérable, pour moi c'est le protocole http qui l'est. Pourquoi? Simplement parce qu'a l'origine il n'était pas prévu pour s'étendre, qu'a l'origine ce protocole à juste été conçut sans sécurité puisqu'il s'étendait uniquement entre certaines fac US et qu'ils n'ont pas jugé utile de crypter et de sécuriser ce protocole. La petite anecdote c'est quand même qu'il y a plus de ligne de code pour patcher les failles de sécurité de ce protocole qu'il n'y a de lignes code pour le protocole en lui même.
C'est navrant de voir que tout un système est basé sur un protocole totalement non sécurisé et vulnérable aux attaques de tout type. (je suis pas hacker je ne connais pas les différents types d'attaques sauf les plus connu style SQL Injection ou détournement et modification de données de flux.)
Pour moi, je pense que tout le système du web tel qu'il est conçut à l'heure actuel devrait être repensé, et refait. Mais cela demanderais beaucoup de temps, beaucoup d'argent et surtout, cela demanderais de faire un gros RàZ du web, et ça, c'est pas possible dans l'état actuel des choses.

[MadCat34]

Il ne faut pas oublier qu'a la base, le protocole HTTP a été créé pour simplement transférer des données...(sous forme de pages HTML).
Ce sont les développeurs qui ont, en quelque sorte, "détourné" l'utilisation du protocole HTTP.

[kaymak]

Comme dns, tcp, pop/smtp ect qui sont tous de vieux protocoles poussés à leurs limites.
Le problème de ces protocoles c'est qu'ils semblent appartenir au domaine public, et que chacun ajoute sa pierre, pour le meilleur ou pour le pire.
Aujourd'hui ils rendent le service qu'ont leur demande, même plutôt bien.
Mais à quel prix ?
Celui de la sécurité, simplicité, cohérence ect ?

M'enfin bon c'est un problème bien compliqué qui s'augure. Qui pourrait prendre en charge l'évolution, le support, la standardisation de ces protocoles pour le compte au final de société aussi diverses qu'adversaires. Je pense à microsoft et google pour le mail par exemple. Microsoft cisco sur la partie réseau. Chacun voulant aller dans son sens....

Merci pour tes participations récurrentes sur les sujets de sécurité Kaymak

Héhé elles sont sympas ces news !
Mais si y'avait quelques pontes qui rodaient dans le coin pour élever le niveau se serait sympa aussi.

[zul]

Quelles sont les failles de sécurités imputés au protocole HTTP ?

Comme ça personnellement je ne vois pas. Pour la majorité des autres protocoles cités, il n'y a pas eu de vrais failles (on peut évidemment critiquer la possibilité d'éditer FROM TO cependant, mais bon ).

Les SQL injections sont un problème de développment, ce n'est pas vraiment lié à HTTP. On peut avoir le même genre de chose avec des applis lourdes. Et ça reste assez alarmant qu'ils existent encore ce genre de problèmes, vu que c'est un problème assez "simple" à corriger.

Sinon je suis assez d'accord sur le fait que HTTP n'est probablement pas un protocole adapté au "web 2.0", des choses comme XMPP seraient probablement plus adaptés, mais bon, le passif est là maintenant. Au passage, tout Internet marche sur la tête : c'était censé être un réseau massivement décentralisé, en point à point. Au final, on a des informations massivement centralisés, et on fait des contorsions dans tous les sens pour les problèmes de NAT dans tous les sens (problèmes qu'on aurait pu éliminer depuis un moment avec IPv6).

[olaxius]

C'est encore possible sa ? Avec les ips, les méthodes de dév, et touuuusssss les efforts, la communication, il y à des sites internet qui éprouvent encore de telles erreurs ?
Faut les virer ces développeurs ?

Bon je vais precher pour ma chapelle , je suis developpeur dans une pme !
Mais dans ce genre de boite on fait tout !
Developpement certe mais aussi on fait de la maintenance, assistance,réparation,réseaux .
Biensur on est multi plateforme, on gère aussi le parefeu, on déplace les ordi, on s'occupe du téléphone, on cable, on teste les onduleurs , on change même les ampoules electriques (si,si) et on fait même de la traduction pour le service commercial ...
En etant aussi polyvalent eh bien moi je vous dis que l'on a pas trop le temps de se plonger dans la litterature et de palier les deficiences des divers application que l'on utilise.
Tous les informaticiens travaillant dans le même genre de boite que moi vous le dirons on repond à l'urgence tout le temps alors les SQL INJECTION pffff on s'en tamponne un peu le coquillard et tant pis si on est pas doué pour le developpement mais en tout cas la boite elle continue de tourner même avec de potentialité de SQL INJECTION !!!

[cahnory]

et on fait même de la traduction pour le service commercial

Ah bon toi aussi ? ^^
Bon les sql injections disons que pour beaucoup c'est quand même devenu une habitude de les traiter (ou plutot on a tous des mécanisme pour un peu automatiser ça). Mais après il est clair que dans certaines boites le développer est devenu l'homme à tout faire sans pour autant qu'on lui laisse plus de temps pour le faire. À partir de là il y a plusieurs discours, celui du pompier qui va sauver une pauvre victime pendant ses heures de congés (à savoir prendre de son temps libre pour faire bien ce pour quoi on nous laisse pas le temps), c'est louable mais en même temps sur le long terme on laisse penser aux autres intervenants (patron, client) qu'ils utilisent un model qui fonctionne.
Soit on laisse courir en se disant que s'ils payent pour du discount ils doivent s'attendre à des produits à la durée de vie limitée (mais là encore rien ne dit que le client paye moins cher, ça peut être le patron qui se gave). Si l'on résonne comme ça il est quand même de notre devoir de mettre en garde (moi perso je suis intégrateur web mais je fait tout ce qui est php, base de donnée, server... je préviens bien mon patron que je le fait mais que je suis pas spécialiste. Ça n'empeche pas de me reprendre les reproches en pleine tronche mais j'ai la conscience tranquille).
Soit et ça je pense que c'est ce qui reflète la réalité, on fait le pompier les jours où ça va, et les jours où on supporte mal de faire des choses qui mériterai un spécialiste ou d'avoir donnée une estimation de temps de réalisation trop courte (après biensur avoir répété qu'on ne pouvait la fournir car normalement on ne s'occupe pas de ça et donc qu'on ne peut l'estimer mais que tant qu'on a pas répondu par un temps la question revient) on se couvre et on avance en sachant très bien que malgrais les mises en garde et bien qu'on en fasse déjà plus que ce qu'on devrait, si quelque chose merde on va en entendre parler !

[kaymak]

@zul, tu pensais à quoi concernant les informations massivement centralisés ?
Genre openid ?

@olaxius, et @cahnory
Je suis bien d'accord.
Mais soit on accepte de ne pas le faire en ayant prévenu, soit on défent son steak.
Avec mon boss, je sais pertinament qu'il n'à pas concscience de ces problématiques techniques, et je le met devant son statut de décisionnaire pour trancher.
En lui expliquant qu'on peut faire sa 10 jours bien, ou la même chose 5 jours mais tout pourri, ceci en moins ect.
Mais toujours, c'est lui qui décide, ainsi je suis tranquille.
Avec le temps il à appris et maintenant il me donne plus de liberté et comprend plus aisément.