|
|
|
|
Mettre à l'épreuve la sécurité de son site Internet |
La fiabilité des services fournis sur le Web s'éprouve par la conduite de tests d'intrusion et des audits du code source. Toutefois, la sécurité doit aussi s'intégrer en amont, dès la phase de conception.
(11/09/2006) |
|
Les sites ouverts sur l'Internet s'exposent naturellement à des attaques. Mais si c'est une menace couramment admise, le fatalisme n'est pas pour autant de rigueur. A condition cependant d'avoir connaissance des risques et des formes multiples que peuvent prendre les attaques.
"Elles sont diverses et peuvent être conduites en tirant profit de vulnérabilités dans le code applicatif du site, comme notamment le Cross Site Scripting (CSS), l'injection de code SQL ou encore la possibilité de prédire les cookies pour voler la session d'un utilisateur et ainsi usurper une identité et ses droits associés", décrit Thomas Gayet, responsable du département veille de sécurité chez Lexsi.
Et pour mettre à jour d'éventuelles vulnérabilités et les corriger, deux approches complémentaires peuvent être adoptées : les tests d'intrusion, qui consistent à répliquer des schémas d'attaque, et l'étude du code source.
Le test d'intrusion se conduisent au niveau des couches réseau, système et applicative. "C'est une méthode concrète d'expérimentation et de découverte des failles. On se place dans des conditions réelles d'attaque", explique Thomas Gayet.
Il peut être mené à la fois en externe et en interne. Hors du réseau de l'entreprise, le test d'intrusion se décomposera en trois phases principales. La première ne fera appel à aucun outil spécifique si ce n'est un navigateur et un moteur de recherche. Elle s'apparentera en certains points à de l'intelligence économique.
Il s'agira en effet d'identifier l'ensemble des informations accessibles sur Internet en rapport avec l'entreprise et le site Web, que ce soit des newsgroups, des forums, le P2P, ou d'autres supports. Nombre de ces données, de par leur nature, devraient être circonscrites dans le périmètre de l'entreprise.
"Les vulnérabilités les plus courantes se situent souvent sur l'application"
(T. Gayet - Lexsi)
|
"Nous avons eu par exemple le cas d'un développeur qui avait publié sur un newsgroup une partie du code du site sur lequel il travaillait afin d'avoir les conseils d'autres développeurs. Ces données étaient donc directement accessibles sur Internet et, par conséquent, potentiellement exploitables", témoigne le responsable de Lexsi.
La seconde phase, quant à elle, s'effectuera en environnement direct. "Il s'agit de regarder la configuration externe des serveurs telle qu'elle est accessible", déclare Xavier Fauquet, responsable sécurité des infrastructures pour XP Conseil.
Selon les informations collectées, la dernière étape cherchera à détecter des vulnérabilités sur les services Web, manuellement et par le biais d'outils, notamment un scanner de vulnérabilités tel que Nessus. Pour Xavier Fauquet, "il est donc préférable de disposer de fichiers de configuration standards afin de restreindre les informations affichées par le serveur"
Mais les vulnérabilités ne se situent pas seulement au niveau de l'infrastructure, plus encore en raison de l'utilisation de langages de scripts comme PHP, Perl ou ASP. La seconde approche concernera donc les tests applicatifs et l'analyse du code source du site Internet. On va dans pour cela auditer le code, mais aussi les pratiques de développement.
"Pour les sites de e-commerce, ce qui est primordial c'est d'assurer la confidentialité des données"
(X. Fauquet - XP Conseil)
|
"Les vulnérabilités les plus courantes et les plus dangereuses aujourd'hui se situent souvent sur l'application. En auditant le code C, il est par exemple possible d'identifier les mauvaises pratiques pouvant rendre possible des dépassements de tampon dans la mémoire", précise à titre d'exemple Thomas Gayet.
Les solutions applicables pour prévenir l'apparition de nouvelles brèches et leur exploitation sont multiples : veille en vulnérabilités, filtrage réseau et applicatif, audits réguliers, répartition géographique et redondance des composants de l'infrastructure ou encore la supervision en temps réel de l'ensemble des flux.
"On pourra aussi déployer des solutions d'IDS ou d'IPS, des systèmes de type UTM - Unified Threat Management - permettant d'avoir une sécurité amont qui soit cohérente et fiable, plutôt que d'empiler des solutions", recommande Xavier Fauquet.
"Pour les sites d'e-commerce, ce qui est primordial, c'est d'assurer la confidentialité et l'intégrité des données, notamment les informations bancaires. Cela est possible de différentes manières, soit en externalisant, soit en veillant au niveau applicatif à avoir une bonne dichotomie entre les différents éléments de la chaîne", explique-t-il également.
Toutefois, la prévention des risques passe avant tout par l'intégration en amont de la sécurité, à la fois au niveau des méthodologies de développement que de l'élaboration de l'architecture. Plus tôt elle est intégrée et plus rapidement cela permet d'envisager les différents cas de figures possibles et d'y répondre.
|
|
|