Réduire le coût et la complexité de la gestion des vulnérabilités Web

Transcription

1 DOCUMENT TECHNIQUE : RéDUIRE le COût ET la COMplexITé DE la gestion DEs vulnérabilités Web Document technique Réduire le coût et la complexité de la gestion des vulnérabilités Web

2 Réduire le coût et la complexité de la gestion des vulnérabilités Web Sommaire La nécessité de simplifier la détection des vulnérabilités Web Les vulnérabilités non corrigées compromettent la sécurité de votre site Web nouvelles vulnérabilités 3 Hausse de 93 % des attaques Web 3 Les solutions traditionnelles sont coûteuses et complexes Simplifier la détection des vulnérabilités Web : une approche externalisée Vue d'ensemble de la détection des vulnérabilités Web 4 Différence entre détection des vulnérabilités Web et recherche des logiciels malveillants 4 Configuration de votre service de détection des vulnérabilités 5 Détection des vulnérabilités 5 Consultation des rapports de détection des vulnérabilités 7 Conclusion Glossaire Logiciel criminel 8 Cross-Site Scripting (XSS) 8 Usurpation d'identité 8 Injection SQL 8 Vulnérabilité 8 2

3 La nécessité de simplifier la détection des vulnérabilités Web En juin 2010, un groupe de pirates est parvenu à obtenir les adresses électroniques de plus de clients Apple possédant un ipad 1 (dont celles de hauts responsables gouvernementaux et des secteurs de la finance, des médias, des technologies informatiques ainsi que de l'armée 2 ) en tirant parti d'une faille de sécurité d'un site Web d'at&t. Ce type d'événements est malheureusement trop fréquent. Le nombre d'attaques Web a augmenté de 93 % en 2010, chacune des failles de sécurité des données causées par le piratage menaçant en moyenne identités 3. Lors d'une étude récente 4 menée par le Ponemon Institute, 90 % des personnes interrogées ont indiqué avoir été confrontées à au moins deux failles de sécurité au cours des 12 derniers mois, et près des deux tiers ont affirmé avoir été confrontées à plusieurs failles sur cette même période. Ces failles peuvent s'avérer extrêmement coûteuses. Les études montrent que le coût moyen par incident aux Etats-Unis s'élève à 7,2 millions de dollars, la résolution de l'une des plus graves failles ayant coûté 35,3 millions de dollars 5. Les failles de sécurité impliquant des informations personnelles peuvent également avoir un impact négatif sur le sentiment de confiance des consommateurs : plus de la moitié des internautes évitent d'acheter en ligne 6 par peur de se faire dérober leurs informations bancaires. Ces enjeux obligent les organisations à concentrer leurs efforts de sécurité sur la prévention de ces failles. Les vulnérabilités non corrigées compromettent la sécurité de votre site Web nouvelles vulnérabilités En 2010, Symantec a recensé un nombre record de vulnérabilités (depuis la première édition de ce rapport). En outre, le nombre de nouveaux fournisseurs affectés par une vulnérabilité a atteint 1 914, soit une hausse de 161 % par rapport à l'année précédente. Hausse de 93 % des attaques Web La multiplication croissante des kits d'attaque Web a entraîné une hausse de 93 % du volume des attaques Web en 2010 par rapport à Les URL raccourcies semblent également avoir joué un rôle : en 2010, sur une période d'observation de trois mois, 65 % des URL malveillantes observées sur les réseaux sociaux étaient des URL raccourcies. Les pirates et les cybercriminels disposent d'un nombre incalculable de techniques pour compromettre l'intégrité, la disponibilité et la confidentialité des informations et des services. De nombreuses attaques s'appuient sur les failles courantes des logiciels informatiques pour créer des faiblesses dans la sécurité globale de l'ordinateur ou du réseau. D'autres exploitent les vulnérabilités créées par une configuration inadéquate de l'ordinateur ou de la sécurité. Il existe des dizaines de milliers de vulnérabilités connues, et Symantec en a recensé nouvelles en , le nombre le plus élevé jamais observé. La plupart du temps, les développeurs de logiciels œuvrent rapidement pour réparer les vulnérabilités dès leur détection, en publiant des mises à jour de logiciel et des correctifs de sécurité. Cependant, les organisations ne possèdent pas toujours les ressources ou la main-d'œuvre nécessaires pour devancer les pirates qui cherchent en permanence à infiltrer le plus grand nombre de sites Web possible afin de réunir des données sensibles ou d'implanter un code malveillant. 1 CNET News : "AT&T-iPad hacker indicted, report says", 7 juillet CNET News : "AT&T Web site exposes data of 114,000 ipad users", 10 juin Symantec : Internet Security Threat Report, Volume 16, mars Ponemon Institute : "Perceptions About Network Security.", juin ponemon-perceptions-network-security.pdf 5 Ponemon Institute et Symantec : "2010 Annual Study: U.S. Cost of a Data Breach.", mars Javelin Strategy and Research: 2011 Identity Fraud Survey Report. March Symantec : Internet Security Threat Report, Volume 16, mars / 3

4 Les attaques les plus dangereuses sont celles pouvant être automatisées, comme les injections SQL, dont les pirates se servent pour accéder à votre base de données et les attaques XSS (cross-site scripting) qui permettent aux pirates d'ajouter des codes sur votre site Web pour exécuter des tâches. Ces méthodes peuvent permettre aux cybercriminels de contrôler l'application Web et d'accéder facilement aux serveurs, aux bases de données et aux autres ressources informatiques. Une fois que les assaillants ont accès à ces ressources, ils peuvent compromettre les numéros de carte de crédit et d'autres informations confidentielles. Symantec a recensé plus de 3 milliards d'attaques par des logiciels malveillants en 2010, et le volume d'attaques Web a augmenté de près de 90 % depuis Une partie de cette hausse est imputable à la progression des scripts automatisés et des kits d'attaque Web. Ces kits se composent généralement de codes malveillants pré-écrits visant à exploiter des vulnérabilités, et permettent de lancer facilement des attaques à grande échelle, notamment à des fins d'usurpation d'identité. Les solutions traditionnelles sont coûteuses et complexes La gestion des vulnérabilités se complique à mesure que le risque d'attaques Web et de violations de données augmente. De nombreuses solutions traditionnelles sont conçues pour les grandes entreprises devant se plier à des règles de conformité strictes, comme les normes de sécurité des données de l'industrie des cartes de paiement (ICP). Ces solutions sont conçues pour détecter un nombre limité de menaces, elles peuvent générer un important volume de données inutiles sur des vulnérabilités mineures et masquer les mesures de sécurité essentielles devant être prises immédiatement. Dans ce contexte, il n'est pas surprenant que près de la moitié des organisations interrogées par le Ponemon Institute considère la complexité et les restrictions d'accès aux ressources informatiques comme les défis majeurs pour la mise en place des solutions de sécurité du réseau et que 76 % se prononcent en faveur de la rationalisation ou de la simplification des opérations. Simplifier la détection des vulnérabilités Web : une approche externalisée Pour devancer les pirates, les organisations ont besoin d'une solution de pointe qui leur permette d'identifier rapidement et facilement les vulnérabilités les plus critiques de leurs sites Web. Symantec propose un service de détection des vulnérabilités basé sur le cloud et très simple d'utilisation, conçu pour vous aider à identifier rapidement les faiblesses les plus exploitables de votre site Web afin que vous puissiez prendre les mesures adéquates. Vue d'ensemble de la détection des vulnérabilités Web Le service de détection des vulnérabilités proposé par Symantec vous aide à identifier rapidement les faiblesses les plus exploitables de votre site Web. Fourni gratuitement à tout acheteur d'un certificat SSL Symantec Premium, Pro ou Extended Validation (EV), ce service complète la protection existante en offrant les fonctionnalités suivantes : une analyse hebdomadaire automatique des vulnérabilités sur les pages Web publiques, les applications Web, les logiciels de serveur et les ports réseau ; un rapport facilement exploitable qui identifie à la fois les vulnérabilités critiques nécessitant une investigation immédiate et les éléments présentant moins de risque ; la possibilité d'effectuer une seconde analyse de votre site Web afin de confirmer que les vulnérabilités ont bien été résolues. Différence entre détection des vulnérabilités Web et recherche des logiciels malveillants La détection des vulnérabilités Web consiste à rechercher et signaler les points d'entrée des failles de sécurité. La recherche de logiciels malveillants, quant à elle, vise à tenter de localiser les logiciels nuisibles présents sur votre site et sur votre réseau. Si un programme malveillant se trouve sur votre site, cela signifie probablement qu'un point d'accès a déjà été utilisé. En corrigeant les vulnérabilités de votre site, vous contribuez à prévenir les éventuelles failles, notamment l'exploitation par des logiciels malveillants. 4

5 Utilisée en conjonction avec votre certificat SSL Symantec et la recherche quotidienne de logiciels malveillants sur votre site Web, la détection des vulnérabilités vous aide à sécuriser votre site Web et à protéger vos clients. Configuration de votre service de détection des vulnérabilités Que ce soit dans le cadre d'un abonnement en cours, d'un renouvellement ou d'une nouvelle souscription, vous pouvez activer le service optionnel de détection des vulnérabilités par le biais de votre console de gestion Symantec Trust Center, Symantec Trust Center Enterprise ou Managed PKI for SSL*. Ce service s'appliquera au nom de domaine complet utilisé comme nom commun dans le certificat SSL associé. Si vous protégez plusieurs domaines avec des certificats SSL, vous pouvez activer la détection des vulnérabilités pour chacun d'entre eux depuis votre console de gestion. *Les options de configuration et d'alerte varient selon la console de gestion utilisée Détection des vulnérabilités La détection des vulnérabilités examine les points d'entrée les plus fréquemment utilisés pour les attaques les plus courantes. Une fois le service activé, la première analyse de vulnérabilité démarre sous 24 heures. Ensuite, le système analyse automatiquement votre site chaque semaine et vous pouvez programmer une analyse complémentaire quand vous le souhaitez. La détection des vulnérabilités examine les ports réseau les plus fréquemment utilisés (plus de au total). L'analyse détecte les types de vulnérabilités les plus courants, notamment les logiciels périmés, les correctifs manquants, les attaques XSS (crosssite scripting), les injections SQL et les "portes dérobées" (ou backdoors). De plus, le système est mis à jour régulièrement, dès que de nouvelles vulnérabilités sont découvertes. 5

6 Tableau 1. Détails des activités de détection des vulnérabilités Domaine Réseau Logiciel pour serveur Web Logiciel SMTP Services Telnet Services SSH Services FTP Frameworks Web Vulnérabilités des applications Web Problèmes potentiels liés à l'utilisation de certificats SSL Transmission de données non chiffrées Exemples d'éléments analysés Sondage des ports et analyse des données pour identifier de manière non intrusive les vulnérabilités potentielles. Serveur Apache HTTP (et plug-ins populaires) Microsoft IIS Tomcat JBoss Sendmail Postfix Microsoft Exchange Server Systèmes Unix OpenSSH Logiciel SSH.com Daemons FTP populaires Microsoft ASP.NET, Adobe JRun, Adobe ColdFusion, Perl, PHP, ColdFusion, ASP/ASP.NET, J2EE/JSP Systèmes CMS populaires (WordPress, Django, Joomla, Drupal, etc.) Applications d'e-commerce (CubeCart, ColdFusion Shopping Cart, KonaKart, etc.) Logiciel de gestion du Web (phpmyadmin) Logiciels de forum Applications de suivi de pub/stats Vulnérabilités XSS réflectives Vulnérabilité d'injection SQL de base Certificat SSL non approuvé (signé par une autorité de certification inconnue) Vérification de certificat auto-signé Non-concordance de nom courant de certificat Utilisation de chiffrement faible Certificats périmés ou révoqués Pages de connexion avec envoi de formulaire cible non SSL Si une vulnérabilité est détectée et que vous prenez des mesures pour corriger le problème, vous avez la possibilité de demander une seconde analyse afin de vérifier que la vulnérabilité a bien été corrigée. 6

7 Consultation des rapports de détection des vulnérabilités Une fois l'analyse des vulnérabilités effectuée, vous pouvez obtenir un rapport complet sur les vulnérabilités de votre site Web (au format PDF) par le biais de votre console de gestion Symantec Trust Center, Symantec Trust Center Enterprise ou Managed PKI for SSL. Si des vulnérabilités critiques sont détectées lors de l'analyse, une alerte s'affiche dans votre console. Chaque rapport contient des données permettant au service informatique d'analyser les problèmes et de transmettre des informations claires à la direction. Le rapport souligne les vulnérabilités critiques en incluant des informations concernant chaque risque (sa gravité, la menace associée et son impact potentiel). Le rapport décrit également les actions correctives pour résoudre chaque problème. Conclusion Les pirates et les cybercriminels affinent constamment leurs attaques et leurs cibles : vous avez besoin d'outils pointus pour les devancer. En utilisant un service automatisé de détection des vulnérabilités pour identifier les faiblesses exploitables et prendre les mesures correctives nécessaires, vous pouvez réduire le risque d'exposition de votre site aux attaques des pirates. Le service de détection des vulnérabilités proposé par Symantec contribue à réduire le coût et la complexité de la gestion des vulnérabilités en offrant des analyses automatisées, des rapports facilement exploitables et une architecture basée sur le cloud ne nécessitant ni installation de logiciel ni maintenance. Cette solution constitue un bon point de départ pour les entreprises souhaitant évaluer rapidement l'importance des vulnérabilités de leur site Web. Le service de détection des vulnérabilités Web est également idéal pour les entreprises qui utilisent une solution d'analyse des vulnérabilités à des fins de conformité réglementaire (par exemple pour se conformer aux exigences de la norme PCI) et qui recherchent une solution complémentaire pour contrôler les résultats de celle-ci afin de bénéficier d'une couche de sécurité supplémentaire. Utilisée en conjonction avec votre certificat SSL Symantec et la recherche quotidienne de logiciels malveillants sur votre site Web, la détection des vulnérabilités vous aide à sécuriser votre site Web et à protéger vos clients. 7

8 Glossaire Logiciel criminel Logiciels qui servent à commettre un acte illégal. A l'instar du cybercrime, ces logiciels incluent une grande partie des logiciels potentiellement ou réellement malveillants. Cross-Site Scripting (XSS) Attaques qui permettent aux intrus d'injecter des scripts non autorisés pour contourner les barrières de sécurité des navigateurs. Usurpation d'identité Vol et utilisation de l'identité d'un tiers à des fins frauduleuses ou illégales. Injection SQL Attaque sur le Web qui permet aux pirates de lancer des commandes SQL non autorisées à l'aide d'un code non sécurisé sur une partie d'un site connecté à Internet. Grâce à ces commandes SQL non autorisées, les informations confidentielles dans une base de données, ainsi que les ordinateurs hôtes de l'entreprise, deviennent accessibles. Vulnérabilité Dans un système informatique (ou un ensemble de systèmes), la vulnérabilité (universelle) est un état qui permet à un pirate d'exécuter des commandes au nom d'un autre utilisateur, d'accéder à des données qui sont normalement protégées par des restrictions d'accès, de se faire passer pour une autre entité ou de mener une attaque par déni de service. 8

9 Informations complémentaires Visitez notre site Web Pour en savoir plus Pour plus d informations sur les certificats SSL de Symantec, appelez le ou +41 (0) , ou envoyez un courrier électronique à l adresse talk2us-fr@symantec.com Le service de détection des vulnérabilités proposé par Symantec est fourni gratuitement à tout acheteur d un certificat SSL Symantec Premium, Pro ou Extended Validation (EV). De plus, Symantec a identifié des fournisseurs de premier ordre capables de vous aider à éliminer les vulnérabilités de votre environnement et à garantir un fonctionnement optimal de votre site et de votre réseau. Ils regroupent notamment des consultants et des fournisseurs de logiciels, tous spécialisés dans la correction des vulnérabilités. Pour contacter un spécialiste produit Appelez le ou +41 (0) A propos de Symantec Symantec est un leader mondial dans le domaine des solutions de sécurité, de stockage et de gestion des systèmes destinées à aider les particuliers et les entreprises à sécuriser et gérer leur environnement informatique. Nos logiciels et services permettent d'assurer une protection plus complète et plus efficace contre davantage de risques à différents points et d'instaurer ainsi la confiance, quel que soit l'endroit où les informations sont utilisées ou stockées. Symantec Tour Egée 17 avenue de l'arche La Défense Courbevoie Cedex Symantec Corporation. Tous droits réservés. Symantec, le logo Symantec, Norton, le logo en forme de coche et le logo Norton Secured sont des marques commerciales ou des marques déposées de Symantec Corporation ou de ses filiales aux États-Unis et dans d autres pays. Les autres noms cités peuvent être des marques commerciales de leurs détenteurs respectifs.