Dans un monde parfaitement équilibré, disponibilité et sécurité seraient égales. Il est certain que les utilisateurs d’ applications sont tout aussi préoccupés par la sécurité de leurs données que par l’accès à celles-ci.
Comme nous le savons tous, nous ne vivons pas dans un monde parfaitement équilibré. Les utilisateurs sont tout aussi susceptibles, voire plus, de supprimer une application et d’abandonner une marque, en raison de problèmes de disponibilité et de performances, qu’en raison d’une violation de données.
Oh, ils font encore du grabuge à cause d'une infraction. Mais cela coûte généralement de l'argent à l'entreprise plutôt qu'à des utilisateurs dédiés.
Cette dichotomie se reflète dans les priorités qui nous sont rapportées par les professionnels de la sécurité dans le rapport 2018 sur la protection des application de F5 Labs . Parmi les RSSI, la préoccupation numéro un n’est pas, comme on pourrait s’en douter au vu de leur titre, la sécurité. Dans une étude précédente axée sur les RSSI, « L'évolution du rôle des RSSI et leur importance pour l'entreprise », une majorité d'entre eux ont déclaré que leur principale préoccupation était la disponibilité et que la prévention des temps d'arrêt des application était la mission principale de leur organisation.
Cela se reflète également dans notre prochain rapport sur l’état de l’automatisation du réseau. Lorsqu'on leur a demandé quelles mesures étaient utilisées pour mesurer le succès individuellement et en équipe, « le temps de disponibilité du réseau » arrivait en tête de liste pour 59 % des professionnels de la sécurité, suivi de près par « le temps de disponibilité des application » avec près de la moitié (49 %) des répondants en matière de sécurité.
Le terme disponibilité renvoie à la performance. La vitesse est considérée comme un élément de la disponibilité, et la sécurité est souvent mise à l’écart lorsqu’il s’agit de détecter les attaques qui produisent des résultats. Étant donné que l’inspection des données, essentielle à la détection de codes et de données malveillants, est coûteuse et entraîne une latence, sa pratique est souvent considérée comme contre-productive.
L’accent mis sur la disponibilité est un atout pour les attaquants. Conscients de la priorité accordée à la disponibilité de leurs cibles, le rapport de F5 Labs note que « les attaquants planifient également les attaques DDoS comme des diversions pour couvrir les vols de données et les attaques frauduleuses menées simultanément pendant que les administrateurs sont distraits ». Cette technique, connue sous le nom d’« écran de fumée », n’a rien de nouveau. Comme nous l’avons constaté en 2017 , les organisations sont de plus en plus touchées par des attaques DDoS volumétriques visant à masquer les véritables intentions des attaquants.
Et ce sont les consommateurs qui en paient le prix.
De plus en plus d’attaquants utilisent notre focalisation sur la disponibilité comme diversion. C’est inquiétant, car les attaquants intensifient leurs tactiques, utilisant tous les outils à leur disposition pour trouver un chemin à travers les réseaux, l’infrastructure et les applications vers le trésor qui se trouve au-delà de ses portes : les données. Le problème est que les attaquants n’utilisent pas seulement les utilisateurs et les systèmes qui se trouvent entre eux et leur objectif. Aujourd’hui, ils utilisent également les données elles-mêmes.
Dans le rapport 2018 sur la protection des application de F5 Labs, les chercheurs ont analysé les violations et les données d'attaque provenant de diverses sources. Les résultats ne sont pas surprenants, mais ils sont inquiétants.
Au premier trimestre 2018, 70 % des violations analysées indiquaient que les attaques par injection Web en étaient la cause principale. Cela n’est pas surprenant si vous avez suivi. Au cours de la dernière décennie, 23 % de tous les enregistrements de violations indiquent que le vecteur d’attaque initial est celui d’une injection SQL. C'est tellement répandu qu'il a été classé numéro un dans le Top 10 de l'OWASP en 2017.
En fait, près de la moitié (46 %) des attaques contre les applications Web basées sur PHP étaient basées sur des injections. Les professionnels de la sécurité doivent prendre note que PHP est partout. Builtwith.com , qui suit les technologies utilisées pour créer les applications qui composent Internet, note que 43 % du million de sites Web les plus visités sont créés avec PHP. Les États-Unis hébergent près de dix-huit millions de ces sites, et près de la moitié (47 %) des dix mille premiers utilisent cette langue.
Il s’agit d’un vaste champ dans lequel les attaquants peuvent choisir leurs cibles, et le font. Parmi les plus de 21 000 réseaux uniques sur lesquels des attaques ont été menées selon le rapport, 58 % ciblaient des sites basés sur PHP.
Pour éviter de pointer du doigt le langage utilisé, il est important de noter que les chercheurs de F5 Labs mettent également en garde contre les attaques de désérialisation. De telles attaques ne sont pas spécifiques à une langue et se concentrent sur les données elles-mêmes. Extrait du rapport :
« La sérialisation se produit lorsque les applications convertissent leurs données dans un format (généralement binaire) pour le transport, généralement du serveur vers le navigateur Web, du navigateur Web vers le serveur ou de machine à machine via des API. »
En intégrant des commandes ou en falsifiant des paramètres dans le flux de données, les attaques passent souvent sans filtre directement dans l' application. Les application(ou composants application ) qui ne parviennent pas à filtrer ou à assainir les données peuvent être la proie de vulnérabilités, comme ce fut le cas avec Apache Struts. Les attaques de désérialisation sont considérées comme une menace suffisamment importante pour que l'OWASP les ajoute à sa liste des 10 premières l'année dernière. Étant donné que 148 millions d’Américains et 15,2 millions de citoyens britanniques ont été touchés par une telle vulnérabilité, les attaques de désérialisation méritent une plus grande attention qu’elles n’en reçoivent en raison de leur utilisation relativement faible dans la nature.
Ce qui est révélateur à propos de ces deux menaces, c'est qu'elles suivent un thème commun : on ne peut pas non plus faire confiance aux données. Qu'elles soient modifiées intentionnellement ou qu'elles s'appuient sur des demandes légitimes, les attaques sont de plus en plus cachées dans le flux de données.
Mais pour ne pas vous concentrer trop sur l’application et ses données, n’ignorons pas que le reste de la pile est tout aussi vulnérable et susceptible d’être la cible d’une attaque. Le recours continu à un cryptage faible tel que les anciens protocoles SSL et TLS 1.0 est une source de frustration. Ces méthodes ont été abandonnées car elles comportent de nombreuses failles de sécurité et facilitent l'exploitation des attaques à la recherche d'un accès.
Comme le note le rapport, « de nouvelles vulnérabilités nommées du protocole TLS sont publiées environ deux fois par an. Cependant, à l’exception de Heartbleed, la majorité des vulnérabilités nommées du protocole TLS sont académiques et rarement utilisées dans une violation réelle. L'un des plus grands systèmes de santé communautaire (SSC) impliqués en 2014. Le CHS a perdu près de cinq millions de numéros de sécurité sociale lorsqu'un attaquant a exploité la vulnérabilité Heartbleed .
Faible menace, risque élevé. Personne ne veut être ce cas rare, mais quelqu'un finit par l'être.
La réalité est que nous entrons dans une ère où il ne suffit plus de ne faire confiance à personne. Nous devons creuser plus profondément dans la pile pour rechercher les attaques conçues pour désactiver et esquiver les protections mises en place pour protéger les applications et les données. Nous devons considérer la protection des application comme un continuum qui évalue en permanence l’état de l’ensemble de la pile application , du réseau à l’infrastructure en passant par les services. Cela signifie que nous accordons autant d’importance à la sécurité de nos données qu’à la rapidité avec laquelle nous les livrons.
Nous devons nous souvenir de la règle de sécurité zéro : Ne faites jamais confiance aux commentaires des utilisateurs. Et nous devons également nous rappeler que les saisies utilisateur incluent des données. Cela signifie renforcer la sécurité pour inclure l’inspection des données entrantes et trouver des moyens de compenser les impacts potentiels sur les performances et la disponibilité.
Cela signifie reconnaître que la disponibilité n’est parfois qu’un divertissement et que nous ne pouvons pas nous permettre de nous laisser prendre au piège. La sécurité mérite – et a besoin – d’une place à la même table que la disponibilité et les performances. La priorité d’un RSSI doit être la sécurité, et non la disponibilité.
Car si le RSSI ne se bat pas pour la sécurité, qui le fera ?
Vous trouverez davantage d'informations et d'analyses dans le rapport 2018 sur la protection des application de F5 Labs , notamment des conseils utiles sur les attaques et les protections qui existent sur l'ensemble de la pile application .