Glossaire : Termes et définitions de la cybersécurité

Menaces automatisées OWASP contre les applications Web

Ce projet OWASP se concentre sur l’identification des menaces automatisées qui ciblent les applications Web et sur la recommandation de contrôles de sécurité et de meilleures pratiques pour atténuer leurs risques.

L'objectif du projet OWASP (Open Worldwide Application Security Project) sur les menaces automatisées contre les applications Web est de fournir une compréhension complète et standardisée des différentes menaces automatisées auxquelles les applications Web sont généralement confrontées. Ces attaques automatisées ciblent de plus en plus les applications mobiles et les API. Le projet rassemble des recherches et des analyses d’attaques automatisées réelles contre des applications Web afin de produire une documentation destinée à aider les opérateurs à se défendre contre ces menaces. 

Que sont les menaces automatisées ?

Les menaces automatisées font référence aux attaques malveillantes effectuées par des robots, des scripts ou des boîtes à outils de piratage plutôt que par des humains qui interagissent manuellement avec l'application Web. Ces menaces peuvent exploiter les vulnérabilités inhérentes aux applications Web et aux API, entraînant des failles de sécurité, des vols de données, des prises de contrôle de compte, des fraudes et d’autres conséquences néfastes.

Bien qu'il ne s'agisse pas d'une vulnérabilité d'avoir un panier d'achat dans votre application, la logique métier permettant de faciliter l'ajout d'articles à un panier d'achat peut également être ciblée et manipulée par des automatisations, ce qui entraîne une thésaurisation des stocks

Le projet a créé un catalogue ou une taxonomie de différentes menaces automatisées ciblant les applications Web. En identifiant et en catégorisant ces menaces, les développeurs, les professionnels de la sécurité et les organisations peuvent acquérir une meilleure compréhension des risques auxquels ils sont confrontés et de l’impact potentiel sur leurs systèmes. Pour chaque menace automatisée, le projet recommande également des contre-mesures efficaces et des meilleures pratiques pour atténuer les risques. En sensibilisant à ces menaces, l’OWASP vise à encourager les mesures de sécurité proactives et à améliorer la posture de sécurité globale des applications Web.

Étant donné que de nombreuses menaces automatisées reposent sur des robots, il est utile de faire la distinction entre la gestion des robots et l’atténuation des robots. La gestion des robots fait référence aux stratégies et pratiques utilisées pour gérer les robots qui interagissent avec les applications Web. L’objectif de la gestion des robots n’est pas seulement de bloquer ou d’atténuer les robots, mais également de différencier le trafic de robots légitimes (par exemple, les robots d’exploration des moteurs de recherche) et les robots malveillants. L’atténuation des robots se concentre spécifiquement sur le processus de réduction ou d’élimination de l’impact des robots malveillants sur les applications Web. Il s'agit de mettre en œuvre des mesures défensives pour empêcher les robots d'exécuter avec succès des actions nuisibles ou des attaques pouvant conduire à une prise de contrôle de compte (ATO) et à une fraude.

La liste OWASP des menaces automatisées contre les applications Web

Voici la liste des menaces automatisées identifiées et compilées par le projet OWASP Automated Threats to Web Application.   

  1. Agrégation de comptes. L’objectif de ces attaques est de récolter les informations d’identification des comptes utilisateurs à partir de plusieurs sites ou plateformes, souvent à des fins malveillantes telles que le vol d’identité, la fraude financière ou l’accès non autorisé à des informations sensibles. Les attaques d'agrégation de comptes sont effectuées à l'aide de robots ou de scripts automatisés qui imitent les interactions humaines avec divers services ou applications Web. 
  2. Création de compte. Ces attaques impliquent des acteurs malveillants utilisant des scripts ou des robots automatisés pour créer un grand nombre de faux comptes d’utilisateurs sur une plateforme ou un site Web. Les attaquants peuvent utiliser ces faux comptes pour inonder la plateforme de contenu de spam, de publicités ou de liens malveillants, provoquant ainsi des perturbations et des désagréments pour les utilisateurs légitimes. Les faux comptes peuvent également être utilisés pour manipuler l’opinion publique et les avis/notes sur un site Web ou une application, ou pour se faire passer pour de vrais utilisateurs ou des personnalités publiques afin de diffuser de fausses informations ou de nuire à la réputation.  Cette menace peut également entraîner une fraude à l’ouverture de nouveaux comptes, également appelée fraude de première partie, et a des répercussions sur l’ensemble du monde numérique .
  3. Fraude publicitaire. Également connue sous le nom de fraude au clic, cette menace implique des activités trompeuses visant à falsifier le nombre d'interactions avec des publicités en ligne, telles que les clics ou les impressions. Ces actions frauduleuses sont généralement effectuées via des robots ou des scripts automatisés et visent à générer des revenus pour les fraudeurs ou à manipuler les mesures de performance publicitaire. 
  4. Défaite du CAPTCHA. Cette menace utilise des techniques automatisées pour contourner ou contourner les défis CAPTCHA et constitue une préoccupation majeure pour la sécurité des applications Web, car elle permet aux acteurs malveillants de contourner une défense commune contre les robots. CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) est un contrôle de sécurité utilisé pour distinguer les utilisateurs humains des robots ou scripts automatisés. Les attaquants peuvent utiliser un logiciel de reconnaissance d’images pour résoudre les CAPTCHA visuels et déployer des algorithmes d’apprentissage automatique pour résoudre les CAPTCHA auditifs et de type puzzle. Dans certains cas, les attaquants utilisent des solveurs CAPTCHA humains qui résolvent manuellement les CAPTCHA en temps réel. Bien qu'il s'agisse d'un contrôle de sécurité couramment utilisé, le CAPTCHA peut être contourné et ajoute des frictions à l'expérience client pour les utilisateurs légitimes, ce qui peut conduire à l'abandon des transactions et des revenus.   
  5. Craquage de carte. Il s’agit d’un type de cybercriminalité automatisé qui consiste à deviner ou à déchiffrer les éléments de sécurité d’une carte de paiement, tels que le numéro de carte, la date d’expiration et le code de sécurité (CVV/CVC). Le piratage de cartes utilise généralement des attaques par force brute, où des robots ou des scripts automatisés essaient systématiquement de nombreuses combinaisons de détails de carte jusqu'à ce qu'ils trouvent une combinaison correspondant à une carte valide. Une fois les informations de carte valides identifiées, elles peuvent être utilisées pour diverses activités illégales, telles que des achats non autorisés ou des fraudes financières. L'attaquant peut récupérer quelques cartes-cadeaux physiques non chargées dans un magasin physique pour voir si l'émetteur de la carte-cadeau s'est appuyé sur des modèles de numérotation séquentielle. 
  6. Cardage. Cette forme de cybercriminalité automatisée implique l’utilisation non autorisée d’informations de carte de paiement volées pour effectuer des transactions ou des achats frauduleux. Les criminels utilisent des robots ou des scripts automatisés pour tester les informations de carte de crédit ou de débit volées sur divers sites Web ou applications afin d'identifier ceux qui acceptent les informations volées. Une fois que les robots automatisés identifient les cibles vulnérables, ils utilisent les informations de carte volées pour effectuer des achats frauduleux, souvent pour des biens de grande valeur ou des services numériques, ou pour transférer la valeur disponible vers d'autres comptes.  
  7. Encaissement. Il s’agit de la conversion d’actifs illiquides ou de monnaie virtuelle en fonds réels ou en biens tangibles. Cette menace fait souvent suite à des attaques réussies qui aboutissent au vol d’actifs précieux sur des plateformes ou des comptes en ligne. Lorsque les attaquants prennent le contrôle des comptes d'utilisateurs sur des applications Web ou des plateformes en ligne, ils peuvent utiliser ces comptes pour retirer les actifs du propriétaire du compte, tels que des cartes-cadeaux, des points de fidélité ou de la monnaie virtuelle. Les robots sont souvent utilisés pour faciliter les retraits d'argent, car ils permettent aux cybercriminels d'effectuer ces activités frauduleuses à grande échelle et avec efficacité. 
  8. Craquage d'informations d'identification. Cette menace est un type d’attaque par force brute qui cible les mécanismes de connexion des applications Web, tels que les pages de connexion, les portails de comptes utilisateurs ou les API d’authentification. L'attaquant utilise l'automatisation pour essayer systématiquement des combinaisons courantes de noms d'utilisateur et de mots de passe jusqu'à ce qu'il en trouve une qui fonctionne pour accorder un accès non autorisé aux comptes d'utilisateurs. Cela permet à l’attaquant de mener des activités malveillantes, telles que le vol d’identité, la fraude financière ou d’autres actions non autorisées.  
  9. Bourrage d'informations d'identification. L'une des formes les plus courantes de menaces contre les applications Web, le bourrage d'informations d'identification se produit lorsque les cybercriminels obtiennent des listes de paires nom d'utilisateur/mot de passe, souvent achetées sur le dark web, et tentent d'utiliser la paire d'informations d'identification pour accéder à d'autres comptes protégés par connexion. Étant donné que de nombreuses personnes réutilisent les noms d’utilisateur et les mots de passe, ces attaques (également appelées prise de contrôle de compte) peuvent être remarquablement efficaces, permettant aux criminels de prendre le contrôle des comptes d’utilisateurs pour voler des actifs ou commettre des fraudes à des tiers.  
  10. Refus d'inventaire. Cette attaque se produit lorsque des attaquants retirent des marchandises de commerce électronique de la circulation en utilisant des robots pour ajouter un grand nombre d'articles à un panier, sans procéder au paiement pour les acheter. Cette situation empêche les autres acheteurs d’acheter la marchandise car le système enregistre une situation de rupture de stock et refuse également la vente au vendeur car l’achat n’est jamais finalisé. Une variante de cette menace automatisée se produit lorsque des robots sont utilisés pour effectuer des réservations ou réserver des chambres d'hôtel, des tables de restaurant ou des sièges d'avion sans effectuer le paiement. 
  11. Déni de service (DoS) et déni de service distribué (DDoS). Ces attaques sont des tentatives malveillantes visant à perturber le fonctionnement normal d’un système ou d’un réseau cible, le rendant indisponible pour les utilisateurs légitimes. Lors d'une attaque DDoS, l'attaquant submerge la cible avec un volume massif de trafic ou de demandes de ressources, provoquant des surcharges du serveur et rendant le service inaccessible. Ces attaques peuvent être menées à l’aide de diverses méthodes, comme l’inondation de la cible avec des paquets ou l’envoi de requêtes spécialement conçues. Les attaques DoS et DDoS sont similaires, mais dans le cas d'une attaque DDoS, l'attaque implique plusieurs sources, généralement coordonnées via des botnets, qui sont un réseau d'ordinateurs ou d'appareils compromis sous le contrôle de l'attaquant. L'attaquant coordonne ces multiples sources pour lancer simultanément l'attaque contre la cible. En exploitant les ressources combinées du botnet, l'attaquant peut générer une quantité massive de trafic ou de requêtes, submergeant la capacité du système cible et provoquant un déni de service. Ces attaques peuvent surcharger les tables d’état du pare-feu, les ressources du processeur et la bande passante de l’infrastructure. Une attaque DoS peut être exécutée avec une seule requête bien conçue adressée à une application Web, par exemple une requête SQL complexe qui entraîne une forte dégradation du processeur et des performances.
  12. Accélération. Cette menace implique l’utilisation de robots ou de scripts automatisés pour réaliser rapidement une série de processus de candidature, en contournant les restrictions ou les contrôles normaux en place. En automatisant les processus, les attaquants ou les utilisateurs malveillants peuvent obtenir un avantage injuste sur d’autres utilisateurs légitimes. Cette activité est souvent associée à la tromperie et peut entraîner des pertes pour d’autres parties.  
  13. Prise d'empreintes digitales. Les acteurs malveillants utilisent l’empreinte digitale comme technique de collecte d’informations pour collecter et analyser les caractéristiques ou attributs uniques du navigateur Web ou de l’appareil d’un utilisateur afin de créer une « empreinte digitale » distinctive. Cela permet aux acteurs de la menace d'identifier et de suivre les utilisateurs individuels sur différents sites Web et plateformes en ligne, ou de profiler et d'attaquer ensuite une application. 
  14. Empreinte. Il ne s’agit pas d’une menace automatisée en soi, mais plutôt d’une phase préliminaire d’un processus de piratage ou de reconnaissance. L'empreinte consiste à utiliser des robots ou des scripts pour collecter des informations sur la composition, la configuration et les mécanismes de sécurité d'une application Web cible, permettant aux attaquants de mieux planifier les attaques ultérieures, telles que le lancement d'exploits ciblés pour obtenir un accès non autorisé ou exploiter des vulnérabilités spécifiques. 
  15. Scalping ou thésaurisation des stocks. Il s’agit d’une forme d’automatisation des achats dans laquelle les attaquants utilisent des robots pour acheter de grandes quantités de biens ou de services à inventaire limité au moment où ils sont mis en vente en ligne (pensez aux billets de concert et aux baskets en édition limitée). En effectuant le processus de paiement instantanément, les criminels obtiennent le contrôle massif d’un inventaire précieux, qui est généralement revendu sur les marchés secondaires avec une marge importante, ce qui entraîne une pénurie artificielle, un déni de stock et la frustration des consommateurs.  
  16. Grattage. Bien qu'il ne soit pas intrinsèquement malveillant, le scraping est le processus automatisé d'extraction de données à partir de sites Web ou d'applications Web. Le scraping devient une menace automatisée lorsqu'il est utilisé à des fins non autorisées ou malveillantes, par exemple lorsque des robots sont utilisés pour collecter du contenu d'un site Web cible afin de l'analyser, de le réutiliser ou de manipuler les prix, en particulier sur des marchés concurrentiels. Le scraping peut également avoir un impact sur les performances du site et empêcher les utilisateurs légitimes d'accéder à un site. 
  17. Inclinaison. Cela se produit lorsque des acteurs malveillants cliquent, demandent ou soumettent de manière répétitive du contenu sur une application Web, affectant intentionnellement les mesures basées sur l'application telles que les décomptes, les mentions « j'aime », les impressions, les résultats de sondages, la fréquence ou les taux. Le biais peut être réalisé à l’aide de robots automatisés qui imitent le comportement humain pour générer des interactions artificielles avec l’application Web. L’objectif de la distorsion est de manipuler et de déformer les données générées par les mesures basées sur les applications, ce qui conduit à des résultats inexacts ou trompeurs. 
  18. Tir de précision. Il s’agit d’un type d’activité malveillante qui consiste à utiliser des robots ou des scripts automatisés pour obtenir un avantage concurrentiel dans les enchères, les ventes ou les systèmes de réservation en ligne. Le terme « sniping » est couramment utilisé dans le contexte d’événements chronométrés ou d’articles à disponibilité limitée où la vitesse et le timing précis jouent un rôle crucial, ne laissant pas suffisamment de temps à un autre utilisateur pour enchérir ou faire une offre. Le sniping permet aux attaquants d'obtenir un avantage concurrentiel sur les utilisateurs humains qui participent manuellement à l'événement, car les robots peuvent exécuter des actions plus rapidement et avec plus de précision. 
  19. Spam. Il s'agit de contenu malveillant ou d'informations douteuses distribuées par des robots qui apparaissent dans du contenu public ou privé, des bases de données ou des messages d'utilisateurs sur des applications Web. Le contenu malveillant peut inclure des logiciels malveillants, des fenêtres contextuelles IFRAME, des photographies, des vidéos, des publicités et des codes de suivi/surveillance. Les attaquants utilisent également le spam pour ajouter de faux commentaires aux forums et autres applications de messagerie afin de falsifier des informations ou de diffuser des logiciels malveillants. 
  20. Craquage de jetons. Cette attaque automatisée est le résultat de criminels effectuant un dénombrement massif de numéros de coupons, de codes de bons et de jetons de réduction. L’avantage reçu peut être une remise, un paiement en espèces, un crédit ou l’accès à une offre spéciale.
  21. Analyse de vulnérabilité. Cette menace fait référence à l’utilisation d’outils ou de scripts automatisés pour identifier et exploiter les vulnérabilités des applications Web. Contrairement à l’analyse légitime des vulnérabilités, qui vise à identifier les faiblesses dans le but d’améliorer la sécurité, l’analyse des vulnérabilités en tant que menace automatisée est effectuée avec l’intention malveillante de compromettre la sécurité de l’application. Les criminels utilisent des outils ou des scripts d’analyse automatisés pour analyser systématiquement les applications exposées sur Internet, généralement immédiatement après la divulgation d’une vulnérabilité. Une fois les vulnérabilités identifiées, les criminels tentent de les exploiter pour obtenir un accès non autorisé à l'application, aux données sensibles ou à l'infrastructure du serveur sous-jacent. 

Plaidoyer en faveur des contrôles de sécurité intégrés

F5 aborde les risques de sécurité de l'OWASP

F5 soutient la Fondation OWASP et son engagement à améliorer la sécurité des logiciels et à sensibiliser aux risques et vulnérabilités de sécurité des applications Web à plusieurs niveaux. En effet, il existe des risques de sécurité communs aux applications Web et aux API qui doivent être pris en compte lors de la mise en œuvre de solutions de sécurité. Par exemple: 

  • Contrôles d'authentification/autorisation faibles 
  • Mauvaise configuration 
  • Abus de logique métier (bourrage d'informations d'identification, prise de contrôle de compte)  
  • Falsification de requête côté serveur (SSRF).

F5 propose des solutions pour répondre aux risques décrits dans le projet de l'OWASP sur les menaces automatisées contre les applications Web. F5 Distributed Cloud Bot Defense empêche la fraude et les abus qui peuvent contourner les solutions de gestion des robots existantes et fournit une surveillance et des renseignements en temps réel ainsi qu'une analyse rétrospective basée sur le ML pour protéger les organisations contre les attaques automatisées, sans insérer de frictions utilisateur ni perturber l'expérience client. Distributed Cloud Bot Defense conserve son efficacité quelle que soit la manière dont les attaquants se réorganisent, que les attaques passent des applications Web aux API ou tentent de contourner les défenses anti-automatisation en usurpant la télémétrie ou en utilisant des solveurs CAPTCHA humains. Les solutions de gestion de bots F5 fournissent des points d'insertion flexibles à partir de proxys d'application, de plates-formes et de réseaux de diffusion de contenu (CDN).

Les solutions de pare-feu d'application Web F5 bloquent et atténuent également un large éventail de risques identifiés par l'OWASP Top 10, une liste largement reconnue des risques de sécurité des applications Web les plus critiques. Les solutions F5 WAF combinent des protections de signature et comportementales, y compris les renseignements sur les menaces de F5 Labs et la sécurité basée sur le ML, pour suivre le rythme des menaces émergentes. Il allège le fardeau et la complexité de la sécurisation cohérente des applications dans les environnements cloud, sur site et périphériques, tout en simplifiant la gestion via une infrastructure SaaS centralisée. Les WAF F5 rationalisent également la sécurité des applications en intégrant des protections dans les cadres de développement et les pipelines CI/CD avec des fonctionnalités de sécurité de base, une orchestration centralisée et une supervision via un tableau de bord unique avec une vue à 360 degrés des performances des applications et des événements de sécurité dans les applications distribuées. Un WAF intégré à une défense spécialisée contre les robots fournit une solution robuste pour atténuer les principaux risques de sécurité, notamment les exploits de vulnérabilité et les menaces automatisées.  

F5 répond aux risques identifiés dans le Top 10 de la sécurité des API OWASP avec des solutions qui protègent la surface d'attaque croissante et les menaces émergentes à mesure que les applications évoluent et que les déploiements d'API augmentent. Les solutions F5 Web Application and API Protection (WAAP) défendent l'intégralité de la surface d'attaque des applications modernes avec des protections complètes qui incluent WAF, API Security , l'atténuation DDoS L3-L7 et la défense contre les robots contre les menaces automatisées et la fraude qui en résulte. La plateforme distribuée simplifie le déploiement de politiques cohérentes et la mise à l'échelle de la sécurité sur l'ensemble de votre parc d'applications et d'API, quel que soit l'endroit où elles sont hébergées, et intègre des protections dans le cycle de vie des API et des écosystèmes de sécurité plus larges.

F5 propose également une protection DDoS à plusieurs niveaux pour une sécurité en ligne avancée en tant que service d'atténuation géré et fourni dans le cloud qui détecte et atténue les attaques à grande échelle ciblant le réseau, le protocole et les applications en temps réel ; les mêmes protections sont également disponibles sous forme de matériel sur site, de logiciels et de solutions hybrides. F5 Distributed Cloud DDoS Mitigation protège contre les attaques volumétriques et spécifiques aux applications de couche 3-4 et de couche 7 avancées avant qu'elles n'atteignent votre infrastructure réseau et vos applications.