Alerte rouge sur la sécurité des sites Web français

Publié le 10 octobre 2016

Partager :

Une étude sur les sites Web des grandes entreprises françaises montre que 100 % ont des failles de sécurité. 60 % présentent au moins une faille grave permettant de récupérer des données en masse.

Ce n'est pas franchement une surprise, mais l'ampleur du problème est inquiétante. Le cabinet Wavestone a compilé les audits de sécurité Web réalisés entre juin 2015 et juin 2016 pour 82 entreprises parmi les 200 plus grandes françaises. Le résultat est sans appel. Pas un seul des 127 sites Web testés (84 sites Internet et 43 sites sur des réseaux privés d'entreprise) n'a passé l'examen. Tous présentaient au moins l'une des 47 failles testées.

Pis, la moitié des sites Web accessibles au grand public contenait au moins une faille grave, c'est-à-dire permettant de récupérer de manière automatisée l'intégralité des informations présentes sur le site. Cette proportion monte même à 75 % pour les sites internes, réservés aux collaborateurs.

Code malveillant

Parmi ces failles dites graves, les plus courantes sont des problèmes de cloisonnement (qui touchent 44 % des sites). Ils permettent à un pirate d'accéder simplement aux données d'un autre utilisateur du site ou d'en remonter l'arborescence sans être bloqué "Par exemple, sur un site bancaire, il était possible de consulter les sessions des autres personnes connectées en même temps, très simplement, à partir d'un compte piraté", explique Gérôme Billois, expert en sécurité chez Wavestone.

Autre faille dite grave, la possibilité d'exécuter du code malveillant (37 % des sites), souvent à travers des systèmes de dépôt de pièce jointe mal protégés. Ainsi, sur son portail, un assureur peut proposer à ses clients de déclarer un sinistre en ligne, en envoyant une photo en PDF. Mais, si cette fonctionnalité est mal protégée, un attaquant peut très bien envoyer par ce biais un fichier piégé. Celui-ci va alors lancer un programme malveillant sur le serveur, qui permettra au pirate d'en prendre le contrôle, avant éventuellement de rebondir vers d'autres éléments du système informatique de l'entreprise visée. « Un attaquant peut ainsi aisément prendre la main sur un serveur et accéder à la base de données du service, qui est très rarement chiffrée car le serveur a besoin d'accéder en clair à certaines informations », explique Gérôme Billois.

Certaines failles répertoriées comme moyennes n'en sont pas moins problématiques. La différence essentielle avec les failles graves est qu'elles ne permettent de récupérer des informations que de manière complexe et non automatisée. C'est notamment le cas de ce que les spécialistes appellent le « cross site request forgery », auquel deux tiers des sites français sont vulnérables. Concrètement, si un internaute consulte un site piégé et a d'autres onglets ouverts au sein du même navigateur Internet (Chrome, Firefox, Internet Explorer...), un pirate peut accéder à toutes les données visibles sur les différents onglets - sa banque en ligne par exemple. Le cyber-malfrat peut également réaliser des actions à l'insu de l'utilisateur légitime, comme changer l'adresse de contact du site bancaire pour réinitialiser le mot de passe.

Quant aux failles dites « mineures », si elles ne permettent pas de dérober directement des informations, elles donnent en revanche des indications sur la conception du site qui peuvent s'avérer précieuses pour mener une attaque élaborée. « C'est un peu comme une porte fermée dont la serrure afficherait en gros la marque et le numéro de série », fustige le consultant.

Dans la grande majorité des cas analysés par Wavestone, les sites Web étaient défaillants dès leur conception. Souvent parce que les équipes responsables de la sécurité des systèmes d'information ne sont pas mises à temps dans la boucle décisionnelle. « Les sites sont réalisés à la va-vite, pour une campagne marketing ou un lancement de produit », dénonce Gérôme Billois. « Faute d'un "crash test" avant la mise en ligne, comme dans l'automobile, il faut absolument que les donneurs d'ordre se mobilisent sur ces questions de cybersécurité. Les affaires récentes, de Yahoo! à LinkedIn, ont fait progresser les choses, mais trop de dirigeants pensent que cela reste un problème limité à ces entreprises technologiques, de la Silicon Valley ». Plus encore que les enquêtes déclaratives, ce travail sur des données terrain, en France, met les choses au clair. Nos sites Web sont des passoires.


Source : Les Echos

http://bit.ly/2d2mAGb

 


Laissez nous un commentaire

Prénom et Nom
Votre adresse email
Votre commentaire