Glossaire

Les menaces automatisées de l’OWASP pour les applications web

Ce projet de l’OWASP se concentre sur l’identification des menaces automatisées qui ciblent les applications web et recommande des contrôles de sécurité et des bonnes pratiques pour atténuer leurs risques.

L’objectif du projet Automated Threats to web Applications (Menaces automatisées pour les applications web) de l’OWASP (Open Worldwide Application Security Project) est de fournir une compréhension complète et standardisée des différentes menaces automatisées auxquelles les applications web sont couramment confrontées. Ces attaques automatisées ciblent de plus en plus les applications mobiles et les API. Le projet rassemble le monde de la recherche et l’analyse des attaques automatisées du monde réel contre les applications web pour produire de la documentation visant à aider les opérateurs à se défendre contre ces menaces. 

Qu’entend-on par menaces automatisées ?

Les menaces automatisées font référence aux attaques malveillantes effectuées par des robots, des scripts ou des boîtes à outils de piratage plutôt que par des humains interagissant manuellement avec l’application web. Ces menaces peuvent exploiter les vulnérabilités inhérentes aux applications web et aux API, entraînant des failles de sécurité, des vols de données, des prises de contrôle de comptes, des fraudes et d’autres conséquences néfastes.

Bien que le fait d’avoir un panier d’achats dans votre application ne constitue pas une vulnérabilité en soi, la logique commerciale permettant d’ajouter facilement des articles à un panier d’achats peut également être ciblée et manipulée par des mécanismes automatisés, ce qui peut entraîner un accaparement de stock

Ce projet a créé un catalogue ou une taxonomie de différentes menaces automatisées ciblant les applications web. En identifiant et en catégorisant ces menaces, les développeurs, les professionnels de la sécurité et les entreprises peuvent mieux comprendre les risques auxquels ils sont confrontés, et l’impact potentiel sur leurs systèmes. Pour chaque menace automatisée, le projet recommande également des contre-mesures efficaces et donne les bonnes pratiques pour atténuer les risques. En sensibilisant à ces menaces, l’OWASP vise à encourager des mesures de sécurité proactives et à améliorer la posture de sécurité globale des applications web.

Étant donné que de nombreuses menaces automatisées reposent sur des robots, il est utile de faire la distinction entre la gestion des robots et l’atténuation des robots. La gestion des robots fait référence aux stratégies et pratiques utilisées pour gérer les robots qui interagissent avec les applications web. L’objectif de la gestion des robots n’est pas seulement de bloquer ou d’atténuer les robots, mais également de faire la différence entre le trafic lié aux robots légitimes (par exemple, les robots d’exploration des moteurs de recherche) et celui lié aux robots malveillants. L’atténuation des robots se concentre spécifiquement sur le processus de réduction ou d’élimination de l’impact des robots malveillants sur les applications web. Il s’agit de mettre en œuvre des mesures défensives pour empêcher les robots d’effectuer avec succès des actions ou des attaques nuisibles pouvant conduire à des prises de contrôle de comptes (ATO) et à des fraudes.

Liste des menaces automatisées de l’OWASP pour les applications web

Voici la liste des menaces automatisées identifiées et compilées par le projet Automated Threats to web Application de l’OWASP.   

  1. Agrégation de comptes. L’objectif de ces attaques consiste à recueillir les informations d’identification des comptes d’utilisateurs sur plusieurs sites ou plateformes, souvent à des fins malveillantes telles que le vol d’identité, la fraude financière ou l’accès non autorisé à des informations sensibles. Les attaques par agrégation de comptes sont effectuées à l’aide de robots automatisés ou de scripts qui imitent les interactions humaines avec divers services ou applications web. 
  2. Création de compte. Ces attaques impliquent des acteurs malveillants utilisant des scripts automatisés ou des robots pour créer un grand nombre de faux comptes d’utilisateurs sur une plateforme ou un site web. Les attaquants peuvent utiliser ces faux comptes pour inonder la plateforme de contenus indésirables, de publicités ou de liens malveillants, ce qui perturbe et agace les utilisateurs légitimes. Les faux comptes peuvent également être utilisés pour manipuler l’opinion publique et les avis/évaluations sur un site web ou une application, ou pour usurper l’identité de vrais utilisateurs ou de personnalités publiques afin de diffuser de fausses informations ou de nuire à la réputation.  Cette menace peut également entraîner l’ouverture de nouveaux comptes frauduleux, également appelée « first party fraud », et elle a des ramifications dans l’ensemble du monde numérique.
  3. Fraude publicitaire. Également connue sous le nom de fraude au clic, cette menace implique des activités trompeuses visant à falsifier le nombre d’interactions avec des publicités en ligne, telles que les clics ou les impressions. Ces actions frauduleuses sont généralement effectuées par le biais de robots ou de scripts automatisés et visent à générer des revenus pour les fraudeurs ou à manipuler les indicateurs de performance publicitaire.
  4. Contournement de CAPTCHA. Cette menace utilise des techniques automatisées pour contourner ou éviter les CAPTCHA et constitue une préoccupation importante pour la sécurité des applications web, car elle permet aux acteurs malveillants de contourner une défense courante contre les robots. CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart, soit Test de Turing public complètement automatisé pour distinguer les humains des robots) est un contrôle de sécurité utilisé pour faire la distinction entre les utilisateurs humains et les robots ou scripts automatisés. Les attaquants peuvent utiliser un logiciel de reconnaissance d’image pour résoudre des CAPTCHA visuels et déployer des algorithmes d’apprentissage automatique pour résoudre des CAPTCHA sous forme d’audio ou d’énigmes. Dans certains cas, les attaquants utilisent des décodeurs de CAPTCHA humains qui résolvent manuellement les CAPTCHA en temps réel. Bien qu’il s’agisse d’un contrôle de sécurité couramment utilisé, le CAPTCHA peut être contourné et il introduit des frictions en matière d’expérience client pour les utilisateurs légitimes, ce qui peut entraîner l’abandon de transactions et des pertes de revenus.
  5. Piratage de carte. Il s’agit d’un type de cybercriminalité automatisé qui consiste à deviner ou à « craquer » les fonctionnalités de sécurité d’une carte de paiement, telles que le numéro de carte, la date d’expiration et le code de sécurité (CVV/CVC). Le piratage de cartes utilise généralement des attaques par force brute, dans lesquelles des robots automatisés ou des scripts tentent systématiquement de nombreuses combinaisons de détails de carte jusqu’à ce qu’ils trouvent une combinaison qui correspond à une carte valide. Une fois que les détails valides de la carte sont identifiés, ils peuvent être utilisés pour diverses activités illégales, telles que des achats non autorisés ou des fraudes financières. Le pirate peut récupérer plusieurs cartes-cadeaux physiques non activées dans un magasin physique pour voir si l’émetteur des cartes-cadeaux a utilisé des modèles de numérotation séquentielle.
  6. Carding. Cette forme de cybercriminalité automatisée implique l’utilisation non autorisée d’informations de cartes de paiement volées pour effectuer des transactions ou des achats frauduleux. Les criminels utilisent des robots automatisés ou des scripts pour tester les détails de la carte bancaire volée sur divers sites web ou applications afin d’identifier ceux qui acceptent les informations volées. Une fois que les robots automatisés identifient les cibles vulnérables, ils utilisent les informations de carte qu’ils ont dérobées pour effectuer des achats frauduleux, souvent pour des biens ou des services numériques très chers, ou transférer la valeur disponible vers d’autres comptes.  
  7. Encaissement. Il s’agit de la conversion d’actifs non liquides ou de monnaie virtuelle en fonds réels ou en biens corporels. Cette menace fait souvent suite à des attaques réussies qui entraînent le vol d’actifs précieux sur des plateformes ou des comptes en ligne. Lorsque des attaquants prennent le contrôle de comptes d’utilisateurs sur des applications web ou des plateformes en ligne, ils peuvent utiliser ces comptes pour encaisser les actifs du propriétaire du compte, tels que des cartes-cadeaux, des points de fidélité ou de la monnaie virtuelle. Des robots sont souvent utilisés pour faciliter l’encaissement, car ils permettent aux cybercriminels d’effectuer ces activités frauduleuses à grande échelle et avec efficacité.
  8. Crackage d’identifiants. Cette menace est un type d’attaque par force brute qui cible les mécanismes de connexion des applications web, telles que les pages de connexion, les portails de comptes utilisateurs ou les API d’authentification. L’attaquant recourt à l’automatisation pour essayer de façon systématique différentes combinaisons courantes de noms d’utilisateur et de mots de passe jusqu’à ce qu’il en trouve une qui fonctionne pour accorder un accès non autorisé aux comptes d’utilisateurs. Cela permet à l’attaquant de mener des activités malveillantes comme le vol d’identité, la fraude financière ou d’autres actions non autorisées.
  9. Credential stuffing (ou bourrage d’identifiants). Constituant l’une des formes les plus courantes de menaces d’applications web, le credential stuffing se produit lorsque les cybercriminels obtiennent des listes de paires nom d’utilisateur/mot de passe, souvent achetées sur le dark web, et tentent d’utiliser ces paires d’identifiants pour accéder à d’autres comptes protégés par connexion. Étant donné que de nombreuses personnes réutilisent leurs noms d’utilisateur et leurs mots de passe, ces attaques (également appelées prise de contrôle de compte) peuvent être remarquablement efficaces, permettant aux criminels de prendre le contrôle des comptes d’utilisateurs pour voler des actifs ou commettre des vols d’identité.
  10. Déni d’inventaire. Cette attaque se produit lorsque des attaquants retirent de la circulation des marchandises du commerce électronique, en utilisant des robots pour ajouter un grand nombre d’articles à un panier d’achats, sans passer au paiement pour acheter ces marchandises. Cette situation empêche les autres acheteurs d’acheter la marchandise, car le système relève une rupture de stock, et fait également ses ventes au vendeur, car l’achat n’est jamais effectué. Une variante de cette menace automatisée se produit lorsque des robots sont utilisés pour effectuer des réservations de chambres d’hôtel, de tables de restaurant ou de places sur un avion sans effectuer le paiement. 
  11. Déni de service (DoS) et déni de service distribué (DDoS). Ces attaques sont des tentatives malveillantes visant à perturber le fonctionnement normal d’un système ou d’un réseau cible et à le rendre inaccessible aux utilisateurs légitimes. Dans une attaque DDoS, l’attaquant submerge la cible avec un volume massif de trafic ou de demandes de ressources, ce qui provoque des surcharges de serveurs et rend le service inaccessible. Ces attaques peuvent être effectuées en recourant à diverses méthodes, telles que l’inondation de la cible avec des paquets ou l’envoi de requêtes spécialement conçues. Les attaques DoS et DDoS sont de même nature, mais avec le DDoS, l’attaque implique plusieurs sources, généralement coordonnées par des botnets, c’est-à-dire un réseau d’ordinateurs ou d’appareils compromis sous le contrôle de l’attaquant. L’attaquant coordonne ces sources multiples pour lancer simultanément l’attaque contre la cible. En exploitant les ressources combinées du botnet, l’attaquant peut générer une quantité massive de trafic ou de demandes, submergeant la capacité du système cible et provoquant un déni de service. Ces attaques peuvent submerger les tables d’état des pare-feu, les ressources du processeur et la bande passante de l’infrastructure. Une attaque DoS peut être exécutée avec une seule requête bien conçue à destination d’une application web, par exemple une requête SQL complexe qui entraîne une dégradation élevée du processeur et des performances.
  12. Accélération. Cette menace implique l’utilisation de robots ou de scripts automatisés pour effectuer rapidement une série de processus d’application, en contournant les restrictions ou les contrôles normaux en place. En automatisant les processus, les attaquants ou les utilisateurs malveillants peuvent obtenir un avantage déloyal sur les autres utilisateurs légitimes. Cette activité est souvent associée à de la tromperie et peut entraîner des pertes pour d’autres parties.
  13. Fingerprinting. Les acteurs malveillants utilisent le fingerprinting comme technique de recueil d’informations pour collecter et analyser les caractéristiques ou attributs uniques du navigateur web ou de l’appareil d’un utilisateur afin de créer une « empreinte digitale » distinctive. Cela permet aux pirates d’identifier et de suivre ces utilisateurs individuels sur différents sites web et plateformes en ligne, ou de profiler puis d’attaquer une application.
  14. Footprinting. Il ne s’agit pas d’une menace automatisée en soi, mais plutôt d’une phase préliminaire d’un processus de piratage ou de reconnaissance. Le footprinting implique l’utilisation de robots ou de scripts pour recueillir des informations sur la composition, la configuration et les mécanismes de sécurité d’une application web cible, ce qui permet aux attaquants de mieux planifier les attaques ultérieures, telles que le lancement d’exploits ciblés pour obtenir un accès non autorisé ou exploiter des vulnérabilités spécifiques.
  15. Scalping ou inventory hoarding (thésaurisation des stocks). Il s’agit d’une forme d’automatisation des achats dans laquelle les attaquants utilisent des robots pour acheter de grandes quantités de biens ou de services ayant un stock limité au moment où ils sont proposés à la vente en ligne (des billets de concert et des baskets en édition limitée, par exemple). En effectuant en un instant le processus de paiement, les criminels prennent le contrôle massif d’un stock précieux, généralement revendu sur les marchés secondaires avec une marge importante, ce qui entraîne une rareté artificielle, un déni de stock et la frustration des consommateurs.
  16. Scraping (moissonnage). Bien qu’il ne soit pas intrinsèquement malveillant, le scraping désigne le processus automatisé d’extraction de données à partir de sites Internet ou d’applications web. Le scraping devient une menace automatisée lorsqu’il est utilisé à des fins non autorisées ou malveillantes, par exemple lorsque des robots sont utilisés pour recueillir du contenu à partir d’un site web cible afin de l’analyser, de le réutiliser ou de procéder à une manipulation des prix, en particulier sur des marchés concurrentiels. Le scraping peut également avoir un impact sur les performances du site et empêcher les utilisateurs légitimes d’y accéder.
  17. Skewing. Cela se produit lorsque des acteurs malveillants cliquent, demandent ou soumettent du contenu de manière répétée sur une application web, affectant intentionnellement les indicateurs de l’application tels que le relevé des nombres, des goûts, des impressions, des résultats des sondages, de la fréquence ou des vitesses. Le skewing peut être réalisé à l’aide de robots automatisés qui imitent le comportement humain pour générer des interactions artificielles avec l’application web. L’objectif du skewing consiste à manipuler et à déformer les données générées par les indicateurs des applications, ce qui conduit à des résultats inexacts ou trompeurs.
  18. Sniping. Il s’agit d’un type d’activité malveillante qui consiste à utiliser des robots automatisés ou des scripts pour obtenir un avantage compétitif dans les enchères, les ventes ou les systèmes de réservation en ligne. Le terme « sniping » est couramment utilisé dans le contexte d’événements chronométrés ou d’articles à disponibilité limitée où la rapidité et un timing précis jouent un rôle crucial, ne laissant pas suffisamment de temps à un autre utilisateur pour enchérir ou faire une offre. Le sniping permet aux attaquants d’obtenir un avantage compétitif sur les utilisateurs humains qui participent manuellement à l’événement, car les robots peuvent exécuter des actions plus rapidement et avec plus de précision.
  19. Spamming. Il s’agit de contenus malveillants ou d’informations douteuses distribués par des robots qui apparaissent dans du contenu public ou privé, des bases de données ou des messages d’utilisateurs sur des applications web. Parmi les contenus malveillants peuvent se trouver des logiciels malveillants, des fenêtres contextuelles IFRAME, des photos, des vidéos, des publicités et un code de suivi/surveillance. Les attaquants utilisent également le spamming pour ajouter de faux commentaires sur les forums et autres applications de messagerie afin de falsifier des informations ou de distribuer des logiciels malveillants.
  20. Craquage de jetons. Cette attaque automatisée est le résultat d’une énumération massive de numéros de coupon, de codes de coupon et de jetons de réduction par des criminels. L’avantage reçu peut être une remise, une alternative en espèces, un crédit ou l’accès à une offre spéciale.
  21. Analyse des vulnérabilités. Cette menace fait référence à l’utilisation d’outils ou de scripts automatisés pour identifier et exploiter les vulnérabilités dans les applications web. Contrairement à l’analyse légitime des vulnérabilités, qui vise à identifier les faiblesses dans le but d’améliorer la sécurité, l’analyse des vulnérabilités en tant que menace automatisée est effectuée dans l’intention malveillante de compromettre la sécurité de l’application. Les criminels utilisent des outils ou des scripts d’analyse automatisés pour analyser systématiquement les applications exposées sur Internet, généralement immédiatement après la divulgation d’une vulnérabilité. Une fois les vulnérabilités identifiées, les criminels tentent de les exploiter pour obtenir un accès non autorisé à l’application, aux données sensibles ou à l’infrastructure de serveur sous-jacente.

L’argument en faveur des contrôles de sécurité intégrés

F5 aide à faire face aux risques de sécurité de l’OWASP

F5 soutient la Fondation OWASP et son engagement en faveur de l’amélioration de la sécurité des logiciels et de la sensibilisation aux risques et aux vulnérabilités de sécurité des applications web à plusieurs niveaux. En effet, il existe des risques de sécurité communs aux applications web et aux API qui doivent être pris en compte lors de la mise en œuvre de solutions de sécurité. Par exemple :

  • Contrôles d’authentification/d’autorisation faibles
  • Mauvaise configuration
  • Abus de logique métier (credential stuffing, prise de contrôle de compte)
  • Server-Side Request Forgery (SSRF).

F5 propose des solutions pour faire face aux risques décrits dans le projet de l’OWASP relatif aux menaces automatisées pour les applications web. F5 Distributed Cloud Bot Defense prévient les fraudes et les abus capables de contourner les solutions existantes de gestion des robots et fournit une surveillance et des renseignements en temps réel ainsi qu’une analyse rétrospective basée sur l’apprentissage automatique pour protéger les entreprises contre les attaques automatisées, sans créer de frictions pour les utilisateurs ni perturber l’expérience client. Distributed Cloud Bot Defense maintient son efficacité quelle que soit la façon dont les attaquants se réoutillent, que les attaques passent des applications web aux API ou tentent de contourner les défenses anti-automatisation en usurpant la télémétrie ou en utilisant des humains pour résoudre les CAPTCHA. Les solutions F5 Bot Management fournissent des points d’insertion flexibles à partir de proxys d’applications, de plateformes et de réseaux de diffusion de contenu (CDN).

Les solutions F5 web Application Firewall bloquent et atténuent également un large éventail de risques identifiés par le Top 10 de l’OWASP, une liste largement reconnue répertoriant les risques de sécurité les plus critiques pour les applications web. Les solutions F5 WAF combinent des protections par signature et par comportement, comprenant des renseignements sur les menaces provenant de F5 Labs et une sécurité basée sur l’apprentissage automatique, pour suivre le rythme des menaces émergentes. Elles allègent la charge et la complexité d’une sécurisation cohérente des applications en cloud, sur site et en périphérie, tout en simplifiant la gestion grâce à une infrastructure SaaS centralisée. Les F5 WAF rationalisent également la sécurité des applications en intégrant des protections dans les cadres de développement et les pipelines CI/CD avec des fonctionnalités de sécurité de base, une orchestration centralisée et une surveillance via un tableau de bord unique offrant une vue à 360° des performances des applications et des événements de sécurité dans les applications distribuées. Un WAF intégré à une défense spécialisée contre les robots fournit une solution robuste pour atténuer les principaux risques de sécurité, y compris l’exploitation des vulnérabilités et les menaces automatisées.  

F5 aborde les risques identifiés dans le API Security Top 10 de l’OWASP avec des solutions qui protègent la surface d’attaque en pleine croissance contre les menaces émergentes à mesure que les applications évoluent et que les déploiements d’API augmentent. Les solutions F5 web Application and API Protection (WAAP) défendent l’intégralité de la surface d’attaque des applications modernes avec des protections complètes qui incluent les WAF, API Security, l’atténuation des DDoS L3-L7 et Bot Defense contre les menaces automatisées et la fraude qui en résulte. La plateforme distribuée facilite le déploiement de politiques cohérentes et la mise à l’échelle de la sécurité sur l’ensemble de votre parc d’applications et d’API, quel que soit l’endroit où elles sont hébergées, et intègre des protections dans le cycle de vie des API et des écosystèmes de sécurité plus larges.

F5 offre également une protection DDoS à plusieurs niveaux, pour une sécurité en ligne avancée, en tant que service d’atténuation géré en cloud qui détecte et atténue les attaques à grande échelle ciblant le réseau, le protocole et les applications en temps réel ; les mêmes protections sont également disponibles que pour le matériel, les logiciels et les solutions hybrides sur site. F5 Distributed Cloud DDoS Mitigation protège contre les attaques volumétriques et spécifiques aux applications de couche 3 et 4 et de couche 7 avancée avant qu’elles n’atteignent votre infrastructure réseau et vos applications.