Chaque site Web sur Internet est quelque peu vulnérable aux attaques de sécurité. Les menaces vont de l’erreur humaine aux attaques sophistiquées menées par des cybercriminels coordonnés.
Selon le Data Breach Investigations Report de Verizon, la motivation première des cyberattaquants est financière. Que vous gériez un projet de commerce électronique ou un simple site Web de petite entreprise, le risque d’une attaque potentielle existe.
Il est plus important que jamais de savoir à quoi vous vous attaquez. Chaque attaque malveillante sur votre site Web a ses spécificités, et avec une gamme de différents types d’attaques qui circulent, il peut sembler impossible de se défendre contre toutes. Pourtant, vous pouvez faire beaucoup pour sécuriser votre site Web contre ces attaques et atténuer le risque que des pirates malveillants ciblent votre site Web.
Regardons de plus près 10 des cyberattaques les plus fréquentes qui se produisent sur Internet et comment vous pouvez protéger votre site Web contre elles.
- Les 10 attaques de sécurité de sites Web les plus courantes
- Cross-Site Scripting (XSS)
- Attaques par injection
- Fuzzing (ou Fuzz Testing)
- Ataque zero-day
- Traversée de chemins (ou de répertoires)
- Déni de service distribué (DDoS)
- Attaque de l’homme du milieu
- Ataque par force brute
- Utilisation d’un code inconnu ou tiers
- Hameçonnage
- En conclusion
Les 10 attaques de sécurité de sites Web les plus courantes
Cross-Site Scripting (XSS)
Une étude récente de Precise Security a révélé que l’attaque XSS est la cyberattaque la plus courante représentant environ 40% de toutes les attaques. Même si c’est la plus fréquente, la plupart de ces attaques ne sont pas très sophistiquées et sont exécutées par des cybercriminels amateurs qui utilisent des scripts que d’autres ont créés.
Le cross-site scripting cible les utilisateurs d’un site au lieu de l’application web elle-même. Le pirate malveillant insère un morceau de code dans un site web vulnérable, qui est ensuite exécuté par le visiteur du site. Le code peut compromettre les comptes de l’utilisateur, activer des chevaux de Troie ou modifier le contenu du site web pour inciter l’utilisateur à donner des informations privées.
Vous pouvez protéger votre site web contre les attaques XSS en mettant en place un pare-feu d’application web (WAF). Le WAF agit comme un filtre qui identifie et bloque toute requête malveillante vers votre site web. Habituellement, les sociétés d’hébergement Web ont déjà un WAF en place lorsque vous achetez leur service, mais vous pouvez également le configurer vous-même.
Attaques par injection
Le projet Open Web Application Security Project (OWASP), dans sa dernière recherche Top Ten, a désigné les failles d’injection comme le facteur de risque le plus élevé pour les sites Web. La méthode d’injection SQL est la pratique la plus populaire utilisée par les cybercriminels dans cette catégorie.
Les méthodes d’attaque par injection ciblent directement le site web et la base de données du serveur. Lorsqu’il est exécuté, l’attaquant insère un morceau de code qui révèle des données cachées et des entrées utilisateur, permet la modification des données et compromet généralement l’application.
La protection de votre site Web contre les attaques par injection se résume principalement à la qualité de la construction de votre base de code. Par exemple, le moyen numéro un d’atténuer un risque d’injection SQL est de toujours utiliser des instructions paramétrées lorsqu’elles sont disponibles, entre autres méthodes. En outre, vous pouvez envisager d’utiliser un flux d’authentification tiers pour externaliser la protection de votre base de données.
Fuzzing (ou Fuzz Testing)
Les développeurs utilisent le fuzz testing pour trouver des erreurs de codage et des failles de sécurité dans les logiciels, les systèmes d’exploitation ou les réseaux. Cependant, les attaquants peuvent utiliser la même technique pour trouver des vulnérabilités dans votre site ou votre serveur.
Il fonctionne en entrant initialement une grande quantité de données aléatoires (fuzz) dans une application pour la faire planter. L’étape suivante consiste à utiliser un outil logiciel fuzzer pour identifier les points faibles. S’il existe des failles dans la sécurité de la cible, l’attaquant peut l’exploiter davantage.
Le meilleur moyen de lutter contre une attaque par fuzzing est de maintenir votre sécurité et vos autres applications à jour. Cela est particulièrement vrai pour tous les correctifs de sécurité qui sortent avec une mise à jour que les auteurs peuvent exploiter si vous n’avez pas encore fait la mise à jour.
Ataque zero-day
Une attaque zero-day est une extension d’une attaque fuzzing, mais elle ne nécessite pas d’identifier les points faibles en soi. Le cas le plus récent de ce type d’attaque a été identifié par l’étude de Google, où ils ont identifié des exploits zero-day potentiels dans les logiciels Windows et Chrome.
Il existe deux scénarios de la façon dont les pirates malveillants peuvent bénéficier de l’attaque zero-day. Dans le premier cas, si les attaquants peuvent obtenir des informations sur une mise à jour de sécurité à venir, ils peuvent apprendre où se trouvent les failles avant que la mise à jour ne soit lancée. Dans le second scénario, les cybercriminels obtiennent les informations sur les correctifs et ciblent les utilisateurs qui n’ont pas encore mis à jour leurs systèmes. Dans les deux cas, votre sécurité est compromise, et les dommages ultérieurs dépendent des compétences des auteurs de l’attaque.
Le moyen le plus simple de vous protéger, vous et votre site, contre les attaques de type « zero-day » est de mettre à jour vos logiciels immédiatement après que les éditeurs vous aient proposé une nouvelle version.
Traversée de chemins (ou de répertoires)
Une attaque par traversée de chemins n’est pas aussi courante que les méthodes de piratage précédentes mais reste une menace considérable pour toute application web.
Les attaques par traversée de chemins ciblent le dossier racine du web pour accéder à des fichiers ou des répertoires non autorisés en dehors du dossier ciblé. L’attaquant tente d’injecter des schémas de déplacement dans le répertoire du serveur pour monter dans la hiérarchie. Une traversée de chemin réussie peut compromettre l’accès au site, les fichiers de configuration, les bases de données et d’autres sites Web et fichiers sur le même serveur physique.
La protection de votre site contre une attaque de traversée de chemin se résume à votre assainissement des entrées. Cela signifie garder les entrées de l’utilisateur en sécurité et irrécupérable à partir de votre serveur. La suggestion la plus directe ici est de construire votre codebase de sorte que toute information d’un utilisateur ne passe pas aux API du système de fichiers. Cependant, si cela n’est pas possible, il existe d’autres solutions techniques.
Déni de service distribué (DDoS)
L’attaque DDoS seule ne permet pas au pirate malveillant de violer la sécurité mais rendra le site hors ligne de façon temporaire ou permanente. L’enquête sur les risques de sécurité informatique menée par Kaspersky Lab en 2017 a conclu qu’une seule attaque DDoS coûte en moyenne 123K $ aux petites entreprises et 2,3M $ aux grandes entreprises.
L’attaque DDoS vise à submerger le serveur web de la cible de requêtes, rendant le site indisponible pour les autres visiteurs. Un botnet crée généralement un grand nombre de requêtes, qui sont distribuées parmi les ordinateurs préalablement infectés. En outre, les attaques DDoS sont souvent utilisées conjointement avec d’autres méthodes ; l’objectif de la première est de distraire les systèmes de sécurité tout en exploitant une vulnérabilité.
La protection de votre site contre une attaque DDoS comporte généralement plusieurs facettes. Premièrement, vous devez atténuer le pic de trafic en utilisant un réseau de diffusion de contenu (CDN), un équilibreur de charge et des ressources évolutives. Deuxièmement, vous devez également déployer un pare-feu d’application Web au cas où l’attaque DDoS dissimulerait une autre méthode de cyberattaque, comme une injection ou un XSS.
Attaque de l’homme du milieu
Les attaques de l’homme du milieu sont courantes parmi les sites qui n’ont pas chiffré leurs données lorsqu’elles voyagent de l’utilisateur vers les serveurs. En tant qu’utilisateur, vous pouvez identifier un risque potentiel en examinant si l’URL du site web commence par un HTTPS, où le « S » implique que les données sont cryptées.
Les attaquants utilisent le type d’attaque man-in-the-middle pour recueillir des informations (souvent sensibles). L’auteur de l’attaque intercepte les données lors de leur transfert entre deux parties. Si les données ne sont pas cryptées, l’attaquant peut facilement lire les informations personnelles, les identifiants ou d’autres détails sensibles qui circulent entre deux endroits sur Internet.
Une façon simple d’atténuer l’attaque de type man-in-the-middle est d’installer un certificat SSL (Secure Sockets Layer) sur votre site. Ce certificat crypte toutes les informations qui circulent entre les parties, de sorte que l’attaquant ne puisse pas facilement en tirer parti. Généralement, la plupart des fournisseurs d’hébergement modernes proposent déjà un certificat SSL avec leur pack d’hébergement.
Ataque par force brute
Une attaque par force brute est une méthode très simple pour accéder aux informations de connexion d’une application web. C’est aussi l’une des plus faciles à atténuer, surtout du côté de l’utilisateur.
L’assaillant essaie de deviner la combinaison nom d’utilisateur et mot de passe pour accéder au compte de l’utilisateur. Bien sûr, même avec plusieurs ordinateurs, cela peut prendre des années, sauf si le mot de passe est très simple et évident.
La meilleure façon de protéger vos informations de connexion est de créer un mot de passe fort ou d’utiliser une authentification à deux facteurs (2FA). En tant que propriétaire de site, vous pouvez demander à vos utilisateurs de configurer les deux pour atténuer le risque qu’un cybercriminel devine le mot de passe.
Utilisation d’un code inconnu ou tiers
Sans être une attaque directe contre votre site, l’utilisation d’un code non vérifié créé par une tierce personne peut conduire à une grave violation de la sécurité.
Le créateur original d’un morceau de code ou d’une application a caché une chaîne malveillante à l’intérieur du code ou a laissé sans le savoir une porte dérobée. Vous incorporez alors le code « infecté » à votre site, puis il est exécuté ou la porte dérobée exploitée. Les effets peuvent aller du simple transfert de données à l’obtention d’un accès administratif à votre site.
Pour éviter les risques entourant une violation potentielle, demandez toujours à vos développeurs de rechercher et de vérifier la validité du code. Assurez-vous également que les plugins que vous utilisez (en particulier pour WordPress) sont à jour et reçoivent régulièrement des correctifs de sécurité – une étude montre que plus de 17 000 plugins WordPress (soit environ 47 % des plugins WordPress au moment de l’étude) n’avaient pas été mis à jour depuis deux ans.
Hameçonnage
Le hameçonnage est une autre méthode d’attaque qui ne vise pas directement les sites Web, mais nous ne pouvions pas non plus l’omettre de la liste, car il peut toujours compromettre l’intégrité de votre système. La raison en est que le phishing est, selon l’Internet Crime Report du FBI, le cybercrime d’ingénierie sociale le plus courant.
L’outil standard utilisé dans les tentatives de phishing est le courrier électronique. Les assaillants se font généralement passer pour quelqu’un qu’ils ne sont pas et tentent d’amener leurs victimes à partager des informations sensibles ou à effectuer un virement bancaire. Ces types d’attaques peuvent être farfelus, comme l’arnaque 419 (qui fait partie de la catégorie des fraudes par avancement de frais), ou plus sophistiqués, avec des adresses électroniques usurpées, des sites Web apparemment authentiques et un langage persuasif. Ce dernier type d’escroquerie est plus connu sous le nom de Spear phishing.
Le moyen le plus efficace d’atténuer le risque d’escroquerie par hameçonnage est de former votre personnel et vous-même à identifier ces tentatives. Vérifiez toujours si l’adresse électronique de l’expéditeur est légitime, si le message n’est pas étrange et si la demande n’est pas bizarre. Et, si c’est trop beau pour être vrai, ça l’est probablement.
En conclusion
Les attaques sur votre site web peuvent prendre de nombreuses formes, et les attaquants derrière elles peuvent être des amateurs ou des professionnels coordonnés.
L’essentiel à retenir est de ne pas sauter sur les fonctions de sécurité lors de la création ou de l’exploitation de votre site, car cela peut avoir des conséquences désastreuses.
Bien qu’il ne soit pas possible d’éliminer complètement le risque d’une attaque de site Web, vous pouvez au moins atténuer la possibilité et la gravité du résultat.
À propos de l’auteur : Gert Svaiko est un rédacteur professionnel qui travaille avec des entreprises de cybersécurité aux États-Unis et dans l’UE. Vous pouvez le joindre sur LinkedIn.
Note de la rédaction : Les opinions exprimées dans cet article d’auteur invité sont uniquement celles du contributeur et ne reflètent pas nécessairement celles de Tripwire, Inc.
.