Les cyberattaques ne visent certainement pas que les grands groupes

Les PME sont naturellement les cibles de cyberattaques. Car elles ne prennent souvent pas garde à des failles critiques qui fragilisent leur informatique. Sans parler de leurs identifiants et mots de passe stockés en clair dans des bases de données.

Avec l’ampleur du développement de l'e-commerce et des réseaux sociaux, les entreprises sont fortement incitées à disposer d’un site web attractif qui associe des critères de convivialité, de fluidité et de dynamique. Le site devient également un lieu naturel de saisie d’informations par les utilisateurs (coordonnées personnelles et bancaires notamment) ce qui ouvre la voie à des tentatives malveillantes de toutes sortes. La vulnérabilité du site représente en conséquence, un risque que l’on ne peut pas ignorer.

Depuis six mois, nos experts ont réalisé une cinquantaine d’audits de vulnérabilité, principalement sur des sites de commerce en ligne.
Par rapport aux types de menaces constatées, les méthodes employées ont peu évolué. On retrouve toujours en tête les injections SQL et le « Cross Site Scripting » (XSS).  Sur quelques sites de grandes sociétés, qui ont souhaité effectuer l’audit par acquis de conscience, pensant qu’elles étaient bien protégées par des pare-feux applicatifs, nous avons majoritairement trouvé ce même type de failles ainsi que des erreurs de paramétrage des serveurs web. En réalité ces pare-feux ont tendance à dissuader les pirates amateurs, mais pas les professionnels, une telle solution n’est qu’une barrière de dissuasion mais ne comble en aucun cas une faille existante.
Sur l’un de ces sites, nous avons recensé 343 failles critiques avec des possibilités d’exécution de codes ! On pouvait, par exemple, exécuter des commandes systèmes sur le serveur à travers des données non sécurisées par la Web Application. Nous avons également repéré essentiellement des XSS au niveau des moteurs de recherche, des formulaires de création de compte et d’inscription sur des listes de newsletter.
Nous avons aussi constaté qu’un grand nombre de fichiers de « backup » étaient conservés sur l’ensemble de ces applications nous permettant alors en toute tranquillité d’analyser le code source à la recherche de failles potentielles.
Enfin nous avons pu déterminer, pour la plupart de ces sites, que les identifiants et mots de passe des utilisateurs étaient inscrits en « clair » dans les bases de données ou n’étaient simplement que stockés sous leur représentation « MD5 » (hachage cryptographique), sans même l’utilisation d’un « salt » rendant donc leur déchiffrement possible en quelques secondes à l’aide de « Rainbow Table ».

En somme, l’effet médiatique suscité récemment par le piratage de sites Web d’entreprises ou d’organisations connues (jeunes de l’UMP, ONU, Coca Cola Norvège, France Alzheimer, Twitter, MySQL.com ) masque l’ampleur de la réalité en tendant à laisser croire que les menaces ne concernent que des entités reconnues. Or, des milliers de sites sont piratés tous les jours…
Pour s’en convaincre, il suffit d’observer deux sites qui agrégent les liens de sites piratés.
Le premier (http://www.zone-h.org/archive/) recense uniquement les liens de sites ayant subis une attaque (defacement) pour lesquels chaque hacker s’offre le plaisir de notifier son exploit et d’afficher la preuve de sa réalisation à l’aide de « miroirs ».
Le second, à vocation plus pédagogique, (www.zataz.com) s’appuie sur des personnes qui ont repéré des failles et qui préviennent via le système d’alerte mis en place par ZATAZ les organisations impactées à titre amical. En 2010, Zone-H a enregistré un nombre record de 1.419.203 sites web détériorés dans le monde.
Si l’on regarde les statistiques, on obtient le même constat : inclusion de fichiers, SQL injection, attaque Webdav et erreurs de configuration arrivent en tête des moyens pour accéder à un site dans le but de l’endommager.