separateur

Applications Web et la sécurité

La sécurité devient un enjeu majeure des entreprises.

Une part de plus en plus importante de l’activité économique repose sur des applications web. Il n’est donc pas étonnant qu’elles soient devenues une cible privilégiée des pirates. En profitant d’une vulnérabilité, ils peuvent accéder à votre système d’information. Les principaux risques ? Vols de données, fraudes ou atteintes à la réputation de l’entreprise. Il est donc indispensable de renforcer sa sécurité par différents outils et mesures préventives.

Sur le papier, les applications web satisfont à la fois les professionnels et les utilisateurs. Côté entreprise, pour qu’une application web fonctionne, il suffit d’un serveur web, d’un serveur d’applications et d’une base de données. Les serveurs web gèrent les demandes qui proviennent d’un client, tandis que le serveur d’application accomplit la tâche demandée.

Par ailleurs, les coûts de développement et de maintenance sont restreints.

Côté utilisateur, qu’il soit grand public ou professionnel, il n’est pas nécessaire d’installer un programme puisque les applications web sont accessibles par le biais d’un navigateur et d‘une interface intuitive.

Web app

Sans « web app », une entreprise est moins performante et peut se couper de potentiels clients. Contrairement à l’application native, une seule application web peut être utilisée sur tous les terminaux, quel que soit le système d’exploitation.

Il est donc urgent d’en développer. Au risque d’aller trop vite et de délaisser la sécurité informatique. Résultat, les « web app » présentent des vulnérabilités. Entre 2018 et 2019, le nombre de vulnérabilités a baissé d’un tiers dans les applications web analysées par Positive Technologies, un spécialiste en sécurité installé à Moscou et Londres. Celui-ci en a pourtant trouvé en moyenne 22 parmi les 38 applications scrutées. Une vulnérabilité sur 5 présente un degré de sévérité élevé.

Les pirates exploitent des vulnérabilités telles que des défauts de conception ainsi que des faiblesses dans les API, le code source, les widgets tiers et le contrôle d’accès. Malgré une légère amélioration constatée récemment par Veracode, une société américaine spécialisée dans la sécurité des applications, la plupart des vulnérabilités sont dues à des erreurs de programmation et sont toujours les mêmes :

  • Les injections SQL: le SQL (Structured Query Language) est un langage de programmation généralement utilisé dans les bases de données. Ce type d’attaque permet d’insérer des instructions SQL malveillantes dans l’application web, pouvant potentiellement accéder à des données sensibles dans la base de données ou détruire ces données.
  • Le Cross-site Scripting (XSS): une personne malintentionnée peut insérer du code dans une page HTML renvoyée dynamiquement par le serveur. Selon l’ANSSI, « beaucoup de logiciels ont été touchés par cette vulnérabilité dont les plus connus sont les serveurs web IIS et Apache, les serveurs d’applications IBM Websphere et Tomcat mais aussi les nombreux gestionnaires de contenus (CMS), de forum, les outils de statistiques (phpMyVisites, AwStats)… »

Les impacts de cette vulnérabilité sont liés au langage de script utilisé pour réaliser l’attaque par Cross Site Scripting.

Si le langage JavaScript est utilisé, il est alors possible :
  • D’afficher une fenêtre demandant à l’utilisateur de rentrer son login et son mot de passe puis de valider, après quoi le résultat sera envoyé par courriel à l’attaquant ;
  • D’exécuter des commandes système ;
  • De construire un lien vers un site malveillant et de diriger l’internaute vers celui-ci…

Ce type d’attaque peut permettre de changer la configuration du routeur Wi-Fi ou d’un Webmail.

Les entreprises ne doivent pas négliger ces risques. Différentes mesures doivent être prises.

Classifier les applications web

Il est indispensable de connaître le nombre d’applications web que votre entreprise utilise et la manière dont elles sont utilisées. Cet inventaire permet ensuite de les classer en fonction de leur criticité : très critiques, critiques, sérieuses, normales.

Appliquer le principe du moindre privilège

La gestion des accès a un impact majeur sur la sécurité en général et en particulier sur les applications web. Tous les utilisateurs n’ont pas besoin des même de droits et privilèges. Des solutions automatisées peuvent être d’une grande utilité à cet égard.

Appliquer une politique rigoureuse de gestion des mots de passe

Encouragez les mots de passe « forts » avec des renouvellements fréquents. Déployez également une solution d’authentification forte à double facteur pour votre site (indispensable avec la directive DSP2) et vos applications.

Utiliser un scanner de vulnérabilité

Ce type de logiciel traque les failles de sécurité de vos sites et applications web. Il existe de nombreux outils professionnels sur le marché. Mais il est indispensable d’en déployer un qui soit capable à la fois de repérer des vulnérabilités, mais également de proposer des correctifs.

Quelles que soient les solutions et mesures instaurées, il est indispensable de sensibiliser les collaborateurs concernés par des formations et de faire très souvent des analyses poussées de ses applications (approche DevOpsSec).

Sans oublier une règle d’or mise en avant par le RGPD : le « security by design » ; dès les premières lignes de code, il est nécessaire de réfléchir à la sécurité des données.

Ensemble sécurisons vos données

Dans la même catégorie