LES VULNÉRABILITÉS DANGEREUSES POUR VOTRE SITE

Transcription

1 LES VULNÉRABILITÉS DANGEREUSES POUR VOTRE SITE SAVOIR, C EST POUVOIR : GUIDE SYMANTEC DE PROTECTION DE VOTRE SITE WEB

2 SOMMAIRE 3 Un faux sentiment de sécurité qui peut vous coûter cher 4 Pistes d action et conseils 5 Conséquences possibles d une vulnérabilité pour votre site 6 Une bataille plus rude qu il n y paraît 7 Peu importe votre taille, vous êtes visé 8 Savoir, c est pouvoir : vos clients aussi l ont bien compris 9 p. 2

3 Les vulnérabilités dangereuses pour votre site. En 2012, Symantec a réalisé chaque jour plus de analyses de vulnérabilité de sites Web. Bilan : plus de la moitié de ces analyses ont détecté des vulnérabilités non corrigées et potentiellement exploitables. Et parmi ces sites vulnérables, un quart était effectivement infecté par des malwares transmissibles aux internautes et susceptibles d inscrire le site sur la liste noire des moteurs de recherche. Le constat est donc clair : chaque jour, des millions de sites Web courent le risque d une attaque grave et d un détournement par les cybercriminels. Pourtant, dans l enquête Symantec intitulée Vulnérabilité des sites Web : le grand écart entre impression et réalité, un tiers des entreprises interrogées disent supposer que leurs sites Web sont très sûrs, et ce sans même les avoir soumis à un quelconque dépistage d éventuelles vulnérabilités et autres infections. 1 Seriez-vous aussi affirmatif sur la sécurité de votre épargne si votre banque venait à divulguer accidentellement les détails de la moitié des comptes qu elle détient? En réalité, de nombreuses entreprises ne mesurent pas le risque que leur site Web représente pour leur activité. Or, sans sécurité et surveillance adaptées, leur site les expose à tous les dangers. Les vulnérabilités, un risque à ne pas négliger Pourquoi donc les pirates s attaquent-ils aux sites Web? Tout simplement parce que ça rapporte très gros. En 2002, les ventes en ligne s élevaient à 76 milliards d euros. Dix ans plus tard, elles atteignaient la bagatelle de 175,5 milliards d euros. Par ailleurs, en 2013, environ 2,7 milliards de personnes sillonnent le Net, soit presque la moitié de la population mondiale 2. En s introduisant par effraction sur les sites Web, les cybercriminels peuvent non seulement tout connaître des visiteurs, mais surtout leur dérober toutes leurs données et leur argent. Première question à vous poser : pourquoi votre entreprise et son site Web sont-ils tant convoités par les cybercriminels? Pour y répondre, vous devez cerner la nature des vulnérabilités, tant au niveau des procédures que des technologies. Mais vous devez aussi et surtout bien évaluer les risques qu elles posent et la probabilité de leur exploitation. Votre inattention, une aubaine pour vos ennemis Les pirates ne s intéressent pas qu aux sites Web proprement dits. Ils visent aussi d autres objectifs. En effet, les serveurs qui sous-tendent les sites Web possèdent eux-mêmes de nombreuses vulnérabilités intrinsèques, ignorées de la plupart des propriétaires de sites. Or, l exploitation de ces failles est tout aussi recherchée. D un côté, il est très simple d héberger un site Web. Il vous suffit de payer un hébergeur pour publier votre site Web. D un autre côté, il s agit d un processus extrêmement complexe, comportant de nombreuses couches logicielles et matérielles qui doivent interagir efficacement pour préserver la sécurité de votre site. En d autres termes, comme l opération semble simple en surface, un raccourci commode consiste à supposer que tout fonctionne au mieux. Et comme les aspects techniques sont extraordinairement complexes, il est plus facile de détourner le regard en espérant que quelqu un s en charge. p. 3

4 Un faux sentiment de sécurité qui peut vous coûter cher Parmi les vulnérabilités les plus fréquemment exploitées figurent les scripts inter-sites (cross-site scripting). Pourtant, malgré cette preuve chiffrée, les entreprises interrogées par Symantec la considéraient comme la moins probable. Leur principale crainte se situait en effet au niveau des attaques par force brute, un procédé par lequel les pirates tentent de faire effraction sur les serveurs qui hébergent les sites Web. Or, ce type d attaque est plus rare. Mais comme il est davantage représenté à la télé et dans les films, il semble plus présent dans l inconscient collectif 3. En réalité, votre site a beaucoup moins de chances de tomber entre les griffes d un virtuose du piratage que d être victime d un «botnet», ces robots zombies capables de détecter les vulnérabilités connues de milliers de sites Web. Une mauvaise information est tout aussi néfaste qu une absence totale d information : non seulement elle vous détourne des vulnérabilités réelles, mais elle mobilise aussi des ressources humaines et financières sur des activités inutiles. Quels sont vos points faibles? «Si elle est exploitée efficacement, une seule et unique faille applicative peut représenter un risque critique pour une entreprise», avertit le rapport Symantec sur les menaces de sécurité par Internet 4. En 2012, 5291 vulnérabilités ont été signalées, contre en Ni inhabituelles ni occasionnelles, chacune d entre elles représente une menace pour votre activité. C est pourquoi il est essentiel de bien connaître les types les plus courants : vulnérabilités ont été recensées en 2012, contre en 2011 p. 4

5 Pistes d action et conseils Vulnérabilité Description Pistes d action et conseils Vulnérabilités non corrigées Tandis que les nouvelles vulnérabilités comptaient pour 6 % seulement l an dernier, les attaques à partir de sites Web infectés, elles, augmentaient de 30 %. Comme le précise l étude de Symantec, on peut donc en conclure que «la plupart des systèmes se trouvent infectés du fait de vulnérabilités plus anciennes et non corrigées». Au même titre qu un PC, si la protection de votre serveur Web n est pas à jour, vous courez un risque. Pour détecter d éventuelles vulnérabilités non corrigées, une analyse automatique régulière est incluse dans tous les certificats Symantec SSL Extended Validation ou Pro SSL. Vulnérabilités des procédures d autorisation Mots de passe faibles, identifiants d administrateur compromis, paramètres par défaut non modifiés sur les équipements réseau ou logiciels toutes ces vulnérabilités sont autant de moyens pour les pirates de se faire passer pour des utilisateurs légitimes. Appliquez une politique de mots de passe forts et des contrôles d accès renforcés, si possible avec authentification à deux facteurs. Assurez-vous que tous les mots de passe et paramètres des nouveaux matériels et logiciels sont vérifiés et modifiés le cas échéant. Limitez l accès administrateur à des personnes de confiance triées sur le volet, système par système. Attaques inter-sites (cross-site scripting) Les scripts inter-sites (ou cross-site scripting) permettent d injecter du code depuis un site (celui des pirates) vers un autre site (le vôtre). Les cybercriminels peuvent ainsi exécuter leur propre code sur votre site pour attaquer ou infecter les visiteurs, ou leur soutirer des informations confidentielles telles que leurs mots de passe. Actualisez fréquemment vos logiciels serveurs Web pour corriger toute vulnérabilité connue à ce type d attaque. Quant au code manuel, vérifiez que toutes les entrées sont correctement validées. Effectuez des analyses anti-malware régulières sur vos sites Web pour détecter les éventuelles modifications et autres ajouts suspects. Attaques par force brute Comme leur nom l indique, ces attaques misent avant tout sur la puissance brute. Ainsi, elles essaient toutes les possibilités de mots de passe et de cryptage jusqu à en percer le code pour s introduire sur votre site. Les effets de ce type d attaque sont d autant plus néfastes lorsque les pirates ont pu accéder à vos données cryptées et que le nombre de tentatives de connexion en ligne n est pas limité. Ce type d agression est très courant, certains grands sites signalant jusqu à 500 attaques par force brute par heure. Changez régulièrement les mots de passe de votre serveur et système de gestion de contenus, sans oublier de crypter toutes vos données. Employez des méthodes de cryptage actuelles, car les algorithmes plus anciens possèdent des failles faciles à exploiter. Si votre site possède un espace clients accessible par mot de passe, vérifiez qu il existe bien une limite au nombre de tentatives de connexion audelà de laquelle le compte est bloqué. Les logiciels serveurs sont en général dotés de cette fonctionnalité, mais pensez quand même à vérifier. Vulnérabilités «zero-day» Elles concernent les failles que personne ne connaît jusqu à ce qu un pirate ne la découvre. L attaque débute officiellement au «jour zéro» de sa découverte. En 2012, on a recensé pas moins de 14 nouvelles attaques de la sorte. Au cours des trois premiers mois de 2013, Symantec a déjà observé 11 vulnérabilités zero-day touchant Oracle Java, Adobe Flash, Adobe Reader et Microsoft Internet Explorer 7. Si vous hébergez votre propre site, il vous faut mettre en place des procédures d intervention pour minimiser l impact d une telle attaque. Vérifiez que toutes les applications sont à jour et dotées des correctifs de sécurité les plus récents. Même si les vulnérabilités zero-day sont par définition imparables, les mises à jour les plus récentes vous protègent contre les vulnérabilités déjà connues. Pour détecter les points faibles de votre site avant que d autres ne s en chargent, une analyse automatique et régulière de détection des vulnérabilités, comme celle proposée sur les certificats Symantec SSL, s impose. p. 5

6 Conséquences possibles d une vulnérabilité pour votre site Votre site Web fait office de lien entre vous et vos clients. Partant de ce principe, les pirates peuvent exploiter les vulnérabilités de votre site de trois manières : 1. Accès aux informations et à la puissance de calcul de votre serveur. Votre serveur Web stocke toutes sortes d informations confidentielles, à commencer par les détails sur les clients et leurs mots de passe. Quant à la puissance de calcul du serveur, elle peut servir de rampe de lancement aux cybercriminels pour propager leurs malwares. Violation de données, érosion de la confiance et perte d activité : la gravité des conséquences met en évidence l importance d analyses régulières de détection des vulnérabilités. 2. Interception des informations échangées entre vous et vos visiteurs. Entre vous et les visiteurs de votre site, l échange d informations est permanent. Or, en l absence de certificats SSL à jour pour crypter ces informations, vous et vos visiteurs courez le risque d une attaque par interception (man-in-the-middle attack). Face à ce danger, les plus grands noms du Web, comme Facebook et Google, appliquent désormais la technologie Always-On SSL. Concrètement, même si votre visiteur n est pas passé par une page de connexion, toutes les communications entre le site et l internaute sont cryptées et protégées contre toute interception Propagation des malwares sur les terminaux des visiteurs de votre site. Dès lors qu un cybercriminel parvient à injecter du JavaScript dissimulé ou quelques lignes de code établissant un lien vers un site capable d installer des malwares, tous les visiteurs de votre site, y compris leurs équipements informatiques, courent un risque. Enregistreurs de frappes, accès aux fichiers, blocage du système de l utilisateur ou exploitation de sa puissance de calcul dans le cadre d un botnet... les risques sont aussi graves que variés. Accès aux informations et à la puissance de calcul de votre serveur Interception des informations échangées entre vous et vos visiteurs Propagation des malwares sur les terminaux des visiteurs de votre site p. 6

7 Une bataille plus rude qu il n y paraît Les vulnérabilités des sites Web sont complexes et leur exploitation n a souvent rien de simple. C est pourquoi certains cybercriminels et bandes organisées conçoivent et commercialisent des «kits d attaque». Très prisés, ces kits contiennent des informations sur les vulnérabilités connues et le code nécessaire pour les exploiter. Cette démocratisation des kits expose ainsi votre site aux atta-ques d une population plus large de hackers techniquement moins compétents. En 2012 par exemple, le kit d attaque Blackhole comptait pour 41 % de toutes les attaques Web perpétrées par kit. Dans le mille En termes abstraits, voilà pour les vulnérabilités. Mais la réalité d une attaque Web se mesure par ses effets. Pour en savoir plus sur les mécanismes et modes opératoires des malwares, lisez notre document technique intitulé «Malwares : puissance de frappe et modes opératoires» 9. Pour l heure, ces quelques exemples devraient finir de vous convaincre des dangers réels auxquels les vulnérabilités de votre site vous exposent : Attaques par injection SQL. Dans sa récente étude consacrée aux attaques perpétrées sur des applications Web (Web Application Attack Report [WAAR]), Imperva constate que sur un mois, une application Web standard connaît en moyenne 12 journées pendant lesquelles elle subit au moins une attaque. Sur une période de six mois, le pire cas observé faisait état de 176 journées d attaques, c est-à-dire presque tous les jours. Conclusion du rapport : «la leçon à retenir est que les entreprises devraient baser leurs mesures de sécurité sur le scénario du pire, et non sur la moyenne» 10. Données non cryptées. Kashmir Hill, journaliste chez Forbes, est parvenue à trouver une liste de résidences équipées d une certaine marque de logiciels de domotique, puis a réussi à pirater ce logiciel pour télécommander les appareils domotiques, le tout à partir d une simple recherche Google. Aucun nom d utilisateur ou mot de passe ne lui a été demandé pour accéder au système, et la liste des clients n était pas masquée des robots des moteurs de recherche, facilitant ainsi l accès à ces informations 11. Attaques zero-day. En mai 2013, un exploit zero-day du noyau Linux est apparu au grand jour, soufflant un véritable vent de panique chez les hébergeurs de sites. Soumis à de multiples redémarrages de l ensemble des systèmes, de nombreux sites ont ainsi connu des mises hors ligne intempestives 12. p. 7

8 Peu importe votre taille, vous êtes visé Même si les grandes entreprises constituent en théorie un butin plus alléchant, cela ne signifie pas pour autant que les sites de taille plus modeste sont à l abri. En réalité, d après l étude Symantec intitulée Vulnérabilité des sites Web : le grand écart entre impression et réalité, les PME sont moins au fait des enjeux de sécurité de leur site Web que les responsables de grandes entreprises. Ils courent donc un risque considérable, d autant qu en 2012, presqu un tiers des attaques ciblées concernait des entreprises de moins de 250 salariés 13. Individus et procédures sont tout autant sources de vulnérabilités La protection de votre site dépasse le simple cadre technologique. Pour protéger l accès aux serveurs et aux systèmes de gestion de contenus, vous devez aussi sensibiliser l ensemble du personnel aux risques d attaques par phishing ou ingénierie sociale. En outre, il vous faut des procédures rigoureuses d actualisation des mots de passe. Symantec propose une gamme complète de solutions de gestion des certificats SSL. Grâce à ces outils, les responsables de sites Web conservent la trace de tous leurs certificats SSL et sont avertis en temps utile des dates d expiration à venir. Autres points forts : des fonctionnalités d analyse anti-malware et autres systèmes de détection des vulnérabilités mentionnés dans ce document (en fonction du type de certificat utilisé). Enfin, Symantec propose également le Certificate Intelligence Center, un système de veille destiné à faciliter le suivi et la gestion automatiques des certificats pour les entreprises à la tête de grands parcs de certificats SSL. 9 % 2 % 3 % 5 % à à à à % de hausse 18 % en % 2012 De 1 à 250 salariés Près d un tiers des attaques perpétrées en 2012 avaient pour cible des entreprises de 1 à 250 salariés. p. 8

9 Savoir, c est pouvoir : vos clients aussi l ont bien compris Même si les clients et visiteurs de votre site ne sont pas des experts ès vulnérabilités, ils savent néanmoins qu un site Web représente un risque potentiel pour leurs équipements informatiques et données personnelles. C est pourquoi ils cherchent des indicateurs prouvant votre sérieux sur les questions de sécurité et de protection des internautes. Par exemple, les certificats SSL Extended Validation (EV) imposent une procédure d authentification rigoureuse pour vous et votre site, apportant ainsi la preuve irréfutable que vous êtes bien celui que vous prétendez être. Les internautes en sont avertis par la barre d adresse verte qui s affiche à leur arrivée sur votre site. Bien que discret, ce petit gage de confiance produit de grands effet : les sites sécurisés par EV enregistrent ainsi une hausse d au moins 10 % des taux de clics 14. Identified by Norton Le bon choix pour muscler votre défense En matière de vulnérabilité des sites Web, savoir, c est plus que jamais pouvoir. En choisissant avec soin le partenaire de sécurité qu il vous faut pour détecter ces vulnérabilités, vous musclez vos lignes de défense face aux attaques des cybercriminels. Symantec propose une gamme complète de solutions de sécurité des sites Web, notamment EV, un choix de multiples algorithmes de cryptage et des fonctionnalités d analyse anti-malware et de détection des vulnérabilités. Preuve de notre force de dissuasion, les dispositifs de très haute sécurité mis en place pour assurer notre propre protection : ainsi, nos procédures d authentification sont auditées par KPMG et les datacenters de notre infrastructure SSL et à clé publique (PKI) sont soumis aux normes de sécurité pratiquées dans le milieu de la défense. En deuxième ligne de défense de votre site, le service d analyse anti-malware de Symantec apporte un contrôle extérieur particulièrement utile. Partie intégrante des certificats Symantec SSL, ce service évite les désagréments d un placement soudain sur la liste noire d un moteur de recherche. En misant sur Symantec, vous profitez d un partenaire de sécurité compétent et bien armé, capable d assurer la sécurité de votre site Web et de votre activité en ligne. Le rapport Symantec sur les menaces de sécurité par Internet relève également qu en 2012, les internautes étaient plus nombreux à visiter les sites Web affichant des indicateurs de sécurité comme le sceau Norton Secured, marque de confiance la plus reconnue sur Internet 15. Grâce à Seal-in-Search, les internautes sont rassurés sur la sécurité de votre site avant même d y accéder. Pour ce faire, cette technologie Symantec affiche le sceau Norton Secured Seal en regard du nom de votre site dans les résultats de recherche. Les internautes savent ainsi immédiatement que votre site est digne de confiance et qu ils peuvent cliquer en toute sérénité. Pour en savoir plus sur les solutions de sécurité des sites Web de Symantec, rendez-vous sur p. 9

10 Références 1. Symantec s Vulnerability Assessment Feeling Vulnerable? You Should Be, 2. «The Internet then and now» (Internet, hier et aujourd hui), de WhoIsHostingThis? 3. Symantec s Vulnerability Assessment Feeling Vulnerable? You Should Be, 4. Rapport Symantec 2013 sur les menaces de sécurité par Internet, 5. Symantec s Vulnerability Assessment Feeling Vulnerable? You Should Be, 6. Synthesis, «WP Sites Under Attack Across the Globe!!!» (Agression de sites WordPress dans le monde entier) «Facebook implements Always-On SSL» (Facebook met en place le SSL permanent), «Retailers Suffer 2X More SQL Injection Attacks than Other Industries; One Application Attacked an Average of 26 Times per Minute» (Le web marchand subit deux fois plus d attaques par injection SQL que les autres secteurs : une application est attaquée en moyenne 26 fois par minute) Hacking Smart Homes (Piratage des résidences connectées), Synthesis, «How We Kept You Safe During Yesterday s Zero-Day Security Emergency» (Comment nous avons assuré votre sécurité pendant l alerte de sécurité zero-day d hier) Rapport Symantec 2013 sur les menaces de sécurité par Internet, Online Trust Alliance, consulté le 10 septembre Enquête internationale Symantec WSS réalisée auprès de cyberconsommateurs : États-Unis, Allemagne, Royaume-Uni, juillet 2012 p. 10

11 L ENTREPRISE SYMANTEC propose des solutions leaders en matière de sécurité SSL, de gestion des certificats, de détection des vulnérabilités et d analyse anti-malware. Ensemble, le sceau Norton Secured et la fonctionnalité Symantec Seal-in-Search rassurent vos clients sur leur sécurité tout au long de leur expérience en ligne des moteurs de recherche à l acte d achat, en passant par la navigation sur votre site. Pour en savoir plus, rendez-vous sur le site Les vulnérabilités Website Security dangereuses Threat pour Report votre 2013 site