Renforcement des applications Web et mobiles
9 min read
La connectivité Internet est devenue la pierre angulaire de l’entreprise. Pendant la pandémie de Covid-19, cette connectivité a permis à de nombreuses organisations de rester opérationnelles, même lorsque leurs bureaux physiques ont été fermés en raison des mesures de verrouillage. Les vitrines Web ont bénéficié de l’essor du commerce électronique et les organisations ont accéléré les initiatives de transformation numérique pour rendre les processus commerciaux transparents.
Les organisations dotées d’applications Web et d’applications mobiles hautement intégrées ont mieux résisté aux bouleversements économiques causés par la pandémie que celles dotées d’un système moins sophistiqué. présence en ligne. Mais les applications Web sont une cible facile pour acteurs malveillants qui souhaitent pénétrer les réseaux d’entreprise, voler des données et injecter des ransomwares.
Une récente enquête menée par le cabinet d’analystes Forrester auprès des décideurs mondiaux en matière de sécurité indique que des applications Web sont les vecteurs les plus couramment utilisés par les attaquants pour cibler les systèmes informatiques. Selon l’étude, l’amélioration des capacités et des services de sécurité des applications au cours des 12 prochains mois est la priorité absolue pour 28 % des décideurs mondiaux en matière de sécurité.
Les organisations doivent protéger les applications internes, les applications Web et les interfaces de programmation d’applications (API) externes qui connectent les applications internes au monde extérieur. Ils doivent empêcher que ces interfaces externes et ces frontaux Web ne soient compromis et, si une attaque réussit, un politique de continuité d’activité doit être en place pour déterminer le niveau de temps d’arrêt acceptable pour l’entreprise.
Codage sécurisé
Trop de sites Web demandent aux utilisateurs d’enregistrer un nom d’utilisateur et un mot de passe. Alors que les professionnels de la sécurité exhortent les gens à utiliser des mots de passe différents – et que les navigateurs Web génèrent et stockent automatiquement un mot de passe fort – de nombreuses personnes optent pour un mot de passe facile à retenir. Souvent, ils utiliseront le même mot de passe pour s’authentifier sur plusieurs sites Web. En tant que tel, le mot de passe de l’utilisateur est non seulement facile à déchiffrer, mais un pirate peut également essayer d’utiliser le même mot de passe pour cibler d’autres sites.
le API OAuth est l’une des approches disponibles pour les sites Web qui souhaitent offrir une authentification sans demander aux utilisateurs de configurer un nouveau mot de passe. Il utilise l’authentification principale de Facebook et de Google, mais le coût de cette commodité est que Google et Facebook partageront certaines des informations de l’utilisateur avec l’organisation qui gère le site Web.
Le projet Open Web Application Security (OWasp) a créé un ensemble de lignes directrices dans le cadre de sa Norme de vérification de la sécurité des applications. Dans ses recommandations, OWasp préconise l’utilisation des dernières méthodes d’authentification sécurisée des utilisateurs, telles que l’authentification multifactorielle (MFA), la biométrie ou les mots de passe à usage unique. D’autres recommandations incluent un cryptage fort pour empêcher la perte de données, les contrôles d’accès et la désinfection et la validation du contenu généré par l’utilisateur, comme les données que l’utilisateur est censé saisir dans une zone de saisie sur une application Web ou mobile.
La norme stipule que les développeurs d’applications Web et mobiles doivent mettre en œuvre des contrôles de validation des entrées. Selon OWasp, 90 % de toutes les attaques par injection se produisent parce qu’une application ne vérifie pas correctement les données d’entrée. Version 4.0.2 du Norme de vérification de la sécurité des applications déclare : « Les vérifications de la longueur et de la portée peuvent réduire davantage cela. L’intégration d’une validation d’entrée sécurisée est requise pendant les sprints de conception d’architecture d’application, le codage et les tests unitaires et d’intégration.
En effet, les développeurs d’applications doivent écrire du code d’une manière qui empêche l’utilisation de données d’entrée malveillantes comme vecteur d’attaque. Dans une attaque de type injection, des données soigneusement conçues sont utilisées pour provoquer une erreur qui oblige l’application à exécuter les données comme un autre programme. Une telle attaque peut être évitée si le programmeur écrit le logiciel pour gérer les données d’entrée d’une manière qui vérifie quelles données il attend. Par exemple, s’il attend un nombre, il doit rejeter tout ce qui n’a pas de sens. De même, les adresses et les dates de naissance ont des formats standards, qui peuvent être vérifiés.
L’un des nombreux défis auxquels les programmeurs sont confrontés lorsqu’ils essaient d’écrire du code sécurisé qui empêche les attaques de style injection ou de débordement de tampon est le fait que les développement de logiciels est très hétérogène. « Si vous voulez vraiment les arrêter, vous devez rendre impossible l’écriture d’un débordement de tampon ou d’une attaque par injection », explique Owen Wright, directeur général de l’assurance chez Accenture.
Mais, alors que la plupart des logiciels étaient codés à la main, Wright affirme que les méthodes de développement de logiciels modernes s’appuient fortement sur des frameworks tiers, des bibliothèques et l’intégration avec les services cloud. Celles fournies par de grands fournisseurs commerciaux peuvent avoir des équipes importantes dédiées au codage sécurisé, dit-il, mais « certaines bibliothèques open source bien utilisées ne sont maintenues que par une ou deux personnes. [and] tout le monde compte sur eux et assume [they are] bien maintenu”.
Au-delà du codage, Wright note que les organisations commencent à adopter une approche « à gauche » de la sécurité informatique, où les développeurs assument davantage la responsabilité de produire du code sécurisé. « Les développeurs ne sont pas éduqués avec un état d’esprit de sécurité – ce sont d’abord des développeurs », dit-il. « Les organisations devraient se concentrer davantage sur la sensibilisation à la sécurité. »
Mais il existe une tension constante entre la vitesse, le coût et la qualité. Wright pense que passer à un DevSecOps modèle pour les projets logiciels encourage les développeurs à corriger le code problématique plus tôt qu’ils ne le feraient s’ils s’appuyaient sur des tests d’intrusion une fois la demande soumise. C’est l’un des principes du transfert de la responsabilité du codage sécurisé vers le développeur.
D’après l’expérience de Wright, cela coûte beaucoup moins cher que de corriger les erreurs de sécurité plus tard dans le cycle de vie du développement logiciel. Il suggère aux organisations de créer des modèles pour sécuriser les applications qui peuvent ensuite être déployées sur des projets ultérieurs.
Protection des applications Web
Les attaques de la couche application, également appelées Couche 7 ou L7, attaques, essayez de surcharger les serveurs en envoyant des requêtes HTTP légitimes en continu.
D’après jegéant de l’infrastructure Internet Cloudflare, l’efficacité sous-jacente de la plupart des attaques par déni de service distribué (DDoS) vient de la disparité entre le volume de ressources qu’il faut pour lancer une attaque par rapport au volume de ressources qu’il faut pour en absorber ou en atténuer une. Il dit qu’une attaque de couche d’application crée plus de dégâts avec moins de bande passante totale.
Par exemple, si un utilisateur souhaite accéder à un service Web, par exemple Gmail, ou effectuer une transaction Web sur un site de commerce électronique, le serveur reçoit une demande du logiciel client exécuté sur le navigateur ou l’appareil de l’utilisateur et doit alors faire une requête de base de données ou appeler une API pour répondre à la demande de l’utilisateur.
Cloudflare note qu’une attaque de type déni de service tire parti du fait qu’il peut y avoir une disparité dans la capacité du serveur à accomplir cette tâche lorsque de nombreux appareils ciblent une seule propriété Web. « L’effet peut submerger le serveur ciblé. Dans de nombreux cas, il suffit de cibler une API avec une attaque de couche 7 pour mettre le service hors ligne », prévient-il dans un article sur la sécurité au niveau des applications.
Gartner Magic Quadrant pour les pare-feu d’applications Web Le rapport, publié en octobre 2020, prédit que d’ici 2023, plus de 30 % des applications Web et des API destinées au public seront protégées par des services d’applications Web et de protection des API (WAAP) dans le cloud. D’ici 2024, Gartner s’attend à ce que la plupart des organisations mettant en œuvre des stratégies multicloud pour les applications Web en production n’utiliseront que des services WAAP cloud.
WAF de cloud public
Gartner Magic Quadrant pour les pare-feu d’applications Web rapport nomme Akamai et Imperva comme « leaders » dans le pare-feu applicatif Web (WAF) arène.
Cloudflare, Fortinet, F5 et Barracuda constituent le quadrant « challenger » de Gartner. Avec les deux leaders, ces entreprises ont tendance à figurer sur la liste restreinte lorsque les décideurs informatiques examinent leurs options sur le marché WAF.
Fournisseur de services de protection DDoS Radware et démarrage WAF Sciences du signal font du quadrant « visionnaire » de Gartner, reconnaissant l’utilisation innovante de la technologie dans leurs offres de produits. Gartner note que Radware utilise l’apprentissage automatique dans son pare-feu d’application Web pour lutter contre les menaces, tandis que Signal Sciences se concentre sur la sécurisation des applications natives du cloud.
Fournisseurs de cloud public offrent également des capacités de pare-feu d’application Web dans le cadre de leurs plates-formes. Cependant, Microsoft Azure et Services Web Amazon (AWS) sont considérés comme des acteurs de « niche » par Gartner.
Par exemple, le rapport Magic Quadrant note que le AWS WAF fournit une protection de base contre les bots via l’ensemble de règles gérées et la capacité de protection de l’infrastructure fournis par AWS. Cependant, les auteurs du rapport avertissent qu’AWS WAF manque de nombreuses fonctionnalités avancées de protection contre les bots spécifiques aux applications trouvées dans les produits concurrents, telles que l’empreinte digitale des appareils, la détection du comportement des utilisateurs et les défis JavaScript.
En regardant l’offre de Microsoft, Gartner indique qu’Azure WAF est disponible dans davantage de régions Azure. Le rapport met en évidence le travail de Microsoft pour intégrer Azure WAF avec d’autres services Azure. À titre d’exemple, Gartner note qu’Azure WAF s’intègre désormais nativement au Service Azure Kubernetes contrôleur d’entrée pour la protection des microservices, peut envoyer des événements à Azure Sentinel de Microsoft pour une surveillance intégrée et utilise mieux l’infrastructure technique de Microsoft pour bloquer les bots connus.
Le rapport Gartner mentionne également de nouvelles fonctionnalités dans le service d’atténuation WAF et DDoS Cloud Armor de Google, qui est disponible sur Google Cloud Platform (GCP). Les auteurs du rapport affirment que Google a ajouté des « fonctionnalités utiles », telles que des listes de contrôle IP et le filtrage géo-IP, des règles prédéfinies pour script intersites (XSS) et injection SQL blocage (SQLi) et création de règles personnalisées. Selon Gartner, Google montre des signes de volonté d’étendre ses capacités.
