C’est la conclusion sans appel d’une étude Les Echos – Wavestone sur les sites web des grandes entreprises françaises : sur 127 sites testés, 100% présentent des failles de sécurité, et pour plus de la moitié, il s’agissait de failles graves.

Prendre conscience du risque est la première étape de sa maîtrise. Cette information permet de prendre la mesure du risque lié à l’utilisation d’Internet : le confort apporté par ces technologies est tel que chaque jour, nous accordons notre confiance à de plus en plus de dispositifs dont nous ne connaissons ni la robustesse, ni la façon dont ils protègent les données personnelles que nous leurs confions. Pour nous, qui prenons en charge l’hébergement de dizaines de sites web, nous sommes confrontés à la réalité journalières de tentatives d’intrusion sur des sites dont l’importance n’a rien de comparable à celle des compagnies majeures de l’étude Wavestone.

Cette étude doit nous faire réfléchir à un ré-équilibrage du couple confort/risque. Dans certains cas, et bien que la pression utilisateur pousse au contraire, il appartient à l’architecte IT de vérifier la robustesse de la solution proposée, quitte à faire admettre certaines restrictions d’usage, induite par ces contraintes de sécurité.

Source : Les Echos – Sébastien Dumoulin

Alerte rouge sur la sécurité des sites Web français

Une étude sur les sites Web des grandes entreprises françaises montre que 100 % ont des failles de sécurité.
60 % présentent au moins une faille grave permettant de récupérer des données en masse.
Ce n’est pas franchement une surprise, mais l’ampleur du problème est inquiétante. Le cabinet Wavestone a compilé les audits de sécurité Web réalisés entre juin 2015 et juin 2016 pour 82 entreprises parmi les 200 plus grandes françaises. Le résultat est sans appel. Pas un seul des 127 sites Web testés (84 sites Internet et 43 sites sur des réseaux privés d’entreprise) n’a passé l’examen. Tous présentaient au moins l’une des 47 failles testées. Pis, la moitié des sites Web accessibles au grand public contenait au moins une faille grave, c’est-à-dire permettant de récupérer de manière automatisée l’intégralité des informations présentes sur le site. Cette proportion monte même à 75 % pour les sites internes, réservés aux collaborateurs.

Code malveillant

Parmi ces failles dites graves, les plus courantes sont des problèmes de cloisonnement (qui touchent 44 % des sites). Ils permettent à un pirate d’accéder simplement aux données d’un autre utilisateur du site ou d’en remonter l’arborescence sans être bloqué. «  Par exemple, sur un site bancaire, il était possible de consulter les sessions des autres personnes connectées en même temps, très simplement, à partir d’un compte piraté », explique Gérôme Billois, expert en sécurité chez Wavestone. Autre faille dite grave, la possibilité d’exécuter du code malveillant (37 % des sites), souvent à travers des systèmes de dépôt de pièce jointe mal protégés. Ainsi, sur son portail, un assureur peut proposer à ses clients de déclarer un sinistre en ligne, en envoyant une photo en PDF. Mais, si cette fonctionnalité est mal protégée, un attaquant peut très bien envoyer par ce biais un fichier piégé. Celui-ci va alors lancer un programme malveillant sur le serveur, qui permettra au pirate d’en prendre le contrôle, avant éventuellement de rebondir vers d’autres éléments du système informatique de l’entreprise visée. «  Un attaquant peut ainsi aisément prendre la main sur un serveur et accéder à la base de données du service, qui est très rarement chiffrée car le serveur a besoin d’accéder en clair à certaines informations », explique Gérôme Billois.

Certaines failles répertoriées comme moyennes n’en sont pas moins problématiques. La différence essentielle avec les failles graves est qu’elles ne permettent de récupérer des informations que de manière complexe et non automatisée. C’est notamment le cas de ce que les spécialistes appellent le « cross site request forgery », auquel deux tiers des sites français sont vulnérables. Concrètement, si un internaute consulte un site piégé et a d’autres onglets ouverts au sein du même navigateur Internet (Chrome, Firefox, Internet Explorer…), un pirate peut accéder à toutes les données visibles sur les différents onglets – sa banque en ligne par exemple. Le cyber-malfrat peut également réaliser des actions à l’insu de l’utilisateur légitime, comme changer l’adresse de contact du site bancaire pour réinitialiser le mot de passe. Quant aux failles dites « mineures », si elles ne permettent pas de dérober directement des informations, elles donnent en revanche des indications sur la conception du site qui peuvent s’avérer précieuses pour mener une attaque élaborée. «  C’est un peu comme une porte fermée dont la serrure afficherait en gros la marque et le numéro de série », fustige le consultant.

Dans la grande majorité des cas analysés par Wavestone, les sites Web étaient défaillants dès leur conception. Souvent parce que les équipes responsables de la sécurité des systèmes d’information ne sont pas mises à temps dans la boucle décisionnelle. «  Les sites sont réalisés à la va-vite, pour une campagne marketing ou un lancement de produit », dénonce Gérôme Billois. «  Faute d’un « crash test » avant la mise en ligne, comme dans l’automobile, il faut absolument que les donneurs d’ordre se mobilisent sur ces questions de cybersécurité. Les affaires récentes, de Yahoo! à LinkedIn, ont fait progresser les choses, mais trop de dirigeants pensent que cela reste un problème limité à ces entreprises technologiques, de la Silicon Valley ». Plus encore que les enquêtes déclaratives, ce travail sur des données terrain, en France, met les choses au clair. Nos sites Web sont des passoires.