mer, 26/03/2014 - 15:02
Plusieurs donnés statistiques sur le web révèlent un constat assez intéressant. Les Systèmes de Gestion de Contenu (ou CMS) sont devenus de plus en plus populaires ces dernières années. Pour preuve, le site builtwith.com qui reprend les tendances en termes d’usages des technos web, montre que 20% des 10 000 sites les plus importants utilisent les SGC. Nous pouvons donc estimer que la proportion est d’autant plus importante pour les entreprises qui utilisent les SGC comme un logiciel tiers entre leur contenu et leur site web. Mais comme tout logiciel, et cela sans exception, les SGC font également face à des problèmes de sécurité.
Un article de recherche publié par Checkmarx, révèle que sur WordPress (le SGC le plus répandu actuellement) 7 des 10 plus gros modules d’e-commerce et 20% des modules sont vulnérables aux attaques. Ce sont des chiffres qui font réfléchir. Lorsqu’une entreprise choisit un SGC pour ses transactions en ligne elle ne pense pas forcément au fait que le mécanisme du panier d’achat peut être facilement piraté, et donc une violation PCI-DSS, et donner lieu à un vol des coordonnées de carte bancaire et d’informations personnelles identifiables (PII). C’est une menace qui peut avoir de lourdes conséquences et qu’il ne faut pas prendre à la légère.
Dans une autre étude menée par le BSI en Allemagne, on apprend que 20% des vulnérabilités découvertes dans le code tiers se trouvent dans le cœur du SGC alors que 80% proviennent des extensions et plugins.
L’un des développements les plus intéressants que l’on ait observé est l’ajout d’un risque A9 au Top 10 OWASP. Ce changement décrit la menace de « l’utilisation de composants vulnérables connus » qui signifie que OWASP reconnaît le problème de recourir à un code et des applications tiers (telles que les SGC) contenant des failles et avec des vulnérabilités connues, ce qui augmente considérablement le risque d’être piraté. En résumé, les SGC sont comme une boîte de Petri des vulnérabilités.
Le chemin offrant moins de résistance
La popularité des SGCs est devenue une véritable aubaine pour les hackers car ils accèdent à un champ d’attaque bien plus important. Cela change complètement la façon dont ils opèrent.
Auparavant, ils identifiaient une cible unique comme une institution, une banque ou un site de e-commerce, ils trouvaient la faille et l’exploitait pour voler des données. Cela représentait un travail de longue haleine qui prenait souvent plusieurs heures.
Maintenant, avec les vastes opportunités que présentent les SGCs les hackers n’ont plus à se donner autant de mal. Ils prennent le chemin offrant le moins de résistance. Avec les SGCs, les hackers gagnent un temps précieux. Au lieu d’identifier une cible en particulier, ils utilisent les moteurs de recherche pour trouver une faille de sécurité commune sur une plateforme SGC comme un moyen de prendre la main sur le serveur et de subtiliser les données. Et il existe des milliers de failles. Une fois les failles identifiées, les hackers utilisent le moteur de recherche pour retrouver facilement les sites basés sur une plateforme SGC qui abrite ces failles, puis ils les exploitent dans d’autres SGC ciblant de multiples entreprises, très rapidement.
Dans le cadre de notre activité de recherche sur le hacking, nous examinons différents botnet gérés par des cyber criminels et surveillons de près leur activité. Force est de constater que cela représente une réelle opportunité pour les hackers de passer d’une attaque manuelle à l’accès à un plus grand réseau de botnets en utilisant différents mécanismes d’identification, tel que « Google dorks » (en se servant de la recherche Google), pour identifier les SGCs et autres extensions tiers vulnérables. Cela rend la tâche aisée pour les hackers d’injecter des malwares sur des serveurs et d’être à bord pour les utiliser plus tard.
Avant, les hackers visaient surtout des ordinateurs personnels. Aujourd’hui, il est plus pertinent de se concentrer sur des serveurs de SGC. Tout d’abord car il est plus simple d’attaquer ce type de serveurs où les vulnérabilités sont en masse. En comparaison, cela demande bien plus d’efforts pour s’attaquer à un ordinateur personnel. Ensuite pirater un serveur SGC est plus rentable. Si la vocation d’un botnet est de créer une attaque DDoS, 100 serveurs peuvent potentiellement avoir le même impact que 100 000 ordinateurs personnels infectés. Du point de vue du hacker, cela est donc plus intéressant d’avoir les serveurs comme cibles principales : plus simple, plus rapide et moins coûteux.
Les étapes à suivre pour protéger vos actifs
Bien que l’univers des menaces soit en constante évolution, les entreprises peuvent se défendre avec quelques techniques basiques :
Le point de départ est la connaissance, il peut être utile lancer une recherche des vulnérabilités connues (Google dorks) qui affectent votre propre SGC. Vous devriez apprendre auprès d’experts qui surveillent l’évolution des risques et des menaces, quelles sont les précautions à mettre en place pour protéger vos données et votre activité de ces hackers aux techniques industrialisées.
Soyez vigilant, surveillez bien vos applications. Disposer d’alertes en temps réel sur vos applications web qui suivent une base de comportement établie, ainsi, la moindre anomalie peut être rapidement examinée, car analyserde temps en temps votre historique d’activité ne repousse pas les attaquants.
Enfin, partez du principe que sur toutes vos extensions tierces, y compris votre plateforme de SGC sur laquelle votre site est basé, ont un nombre incalculable de vulnérabilités, car c’est le cas. Et ne pensez pas que les mises à jour de votre logiciel vont réparer ces failles car ce n’est pas le cas non plus. Un code spécifique programmé par quelqu’un d’autre n’est pas maitrisable au sein de votre environnement. Il est impossible de rectifier un code dont vous n’êtes pas à l’origine. La correction régulière des vulnérabilités couplée avec une réparation physique et virtuelle des CVEs (Common Vulnerabilities and Exposures)[1] peuvent aider à protéger votre entreprise des menaces de sécurité qui évoluent en permanence.
Ce n’est pas parce que les SGCs attirent de plus en plus de hackers que vous ne pouvez pas vous protéger efficacement contre.
References
1. ‘CMS Usage Statistics’. Builtwith. com. Accessed Jan 2014. http:// trends/builtwith.com/cms.
2. ‘Content Management System (CMS)’. BSI (in German). Accessed Jan 2014. https://www.bsi.bund.de/ DE/Publikationen/Studien/CMS/ Studie_CMS.html.
3. ‘Top 10 2013’. OWASP. Accessed Jan 2014. https://www.owasp.org/index. php/Top_10_2013-Top_10.
[1] Dictionnaire des informations publiques relatives aux vulnérabilités de sécurité qui est maintenu par l'organisme MITRE, soutenu par le Département de la Sécurité intérieure des Etats-Unis. L’équivalent français est la VVV (Veille Vulnérabilités Vigil@nce)
A propos de l'auteur
Barry Shteiman est Directeur de la Stratégie de Sécurité chez Imperva où il travaille directement avec le Directeur Technique et le centre de recherche ADC (Application Defense Center) dédié à la recherche sur le hacking. Il a également programmé plusieurs outils de sécurité et contribué un grand nombre de projets sécurité en open source. Il rédige régulièrement pour le blog d’Imperva.