Les vulnérabilités des applications Web atteignent un point d'inflexion

Sur une augmentation globale de 15% des vulnérabilités découvertes en 2008, 60% renvoyaient à des failles au sein d'applications Web.

En matière de vulnérabilités logicielles, 2008 restera une année à la fois riche et originale. En effet, ce fut une année où les types d'applications ciblées par les pirates ont changé. De plus, nous avons constaté une augmentation sensible du nombre de vulnérabilités découvertes et du nombre de vulnérabilités trouvées dans les applications Web.

Constatez par vous-même : sur une augmentation globale de 15% des vulnérabilités découvertes l'an dernier, 60% d'entre elles étaient des failles au sein d'applications Web. La hausse la plus importante dans cette classe de vulnérabilités a été constatée au niveau des failles par injection de commandes SQL, ces dernières ayant doublé d'une année sur l'autre.

Et tandis que les logiciels pour les postes de travail et les systèmes clients continuent d'être massivement ciblés, le tableur Excel de Microsoft Office, application de cette suite de productivité, est la fonctionnalité qui a connu le plus grand nombre de vulnérabilités critiques. En outre, 11% des vulnérabilités Web étaient des failles liées à des scripts intersites, tandis que toutes les autres vulnérabilités Web représentaient 26% du total des vulnérabilités.

L'une des principales tendances observées l'an dernier est l'augmentation importante des vulnérabilités affectant des serveurs critiques et qui n'exigent aucune intervention humaine pour être exploitées. Il s'agit notamment de CVE 2008-1447 qui décrivait une faiblesse dans le protocole DNS et permettait de lancer des attaques par empoisonnement du cache DNS. Dans ce type d'attaque, les serveurs de noms peuvent diriger les utilisateurs vers un site Web ou un serveur de messagerie erroné, voire malveillant, et rediriger d'autres types de trafic vers des systèmes contrôlés par un pirate.

Un autre exemple est CVE 2008-4250, la vulnérabilité dans le service serveur de Microsoft. Cette dernière a permis à des pirates non authentifiés et opérant à distance d'exécuter le code de leur choix avec des "privilèges système" sur des systèmes vulnérables. Pour la nouvelle année, les attaques ont commencé par une vulnérabilité distante et non authentifiée pouvant entraîner un déni de service et l'exécution de code arbitraire dans le premier bulletin Microsoft de l'année, MS09-001. Cette vulnérabilité concernait toutes les versions de Windows supportées.

Que présagent ces tendances pour l'année qui commence ? Très probablement à peu près le même programme : le nombre de vulnérabilités découvertes va certainement augmenter, de même que l'attention que les chercheurs en sécurité vont accorder aux applications clientes, en particulier avec la version bêta tout juste diffusée de Windows 7. Lors du "Patch Tuesday" de janvier, les chercheurs en sécurité ont publié six exploits de type "proof of concept" (POC) sur Milw0rm.com qui ciblaient Microsoft Word, PowerPoint et les visionneuses Office.

Aussi, en raison du succès phénoménal des logiciels fournis sous la forme de services et des applications Internet riches, les logiciels basés sur le Web seront probablement encore bien plus visés que les années précédentes. Par exemple, voyez comme les nouvelles et puissantes plates-formes telles que Microsoft Silverlight et Adobe Flash se sont développées. Flash, par exemple, est en fait un puissant langage orienté objet, pas seulement un langage de programmation.

Cette puissance est synonyme de complexité et les pirates découvriront d'autres moyens d'exploiter des applications Flash. L'an dernier, une exploitation de la faille qui a largement circulé, ciblait le lecteur Adobe Flash Player et a infecté plus de 20 000 pages Web. Les pirates ont utilisé cette intrusion pour insérer un cheval de Troie destiné à dérober les mots de passe utilisateurs. Il y a fort à parier que davantage d'attaques de ce type ciblant du contenu Internet riche émergeront en 2009.

Et même si personne ne sait exactement ce qui va se passer cette année, il est évident que les vulnérabilités affectant les applications Web doivent faire partie du programme de gestion des risques des entreprises, en accordant une attention toute particulière à l'ensemble des applications et services portés par le Web.