Les sites Web populaires ne résistent pas aux attaques les plus communes

Cloud

Selon WhiteHat Security, la sécurité de huit des dix sites Web les plus
appréciés aux Etats-Unis laisse à désirer.

Sur les dix sites Web les plus populaires aux Etats-Unis, huit sites seraient vulnérables aux attaques pirates les plus courantes, selon WhiteHat Security. Pour dresser cet alarmant constat, la société, spécialisée dans la détection et la gestion des vulnérabilités des sites Web des entreprises et installée à Santa Clara (Californie), s’appuie sur des données collectées par son outil d’analyse Sentinel entre le 1er janvier 2006 et le 31 mars 2007 sur des centaines de serveurs.

C’est d’autant plus inquiétant qu’il s’agit généralement de sites Internet notoires, à savoir des serveurs de commerce en ligne, de services financiers, de santé ou encore dans les domaines des hautes technologies. On note une certaine prudence dans la démarche de communication de la part de la société : WhiteHat ne fournit cependant aucune adresse Web, même à titre d’exemple.

Les failles de type cross-site scripting (XSS) sont les plus fréquentes. Elles touchent plus des deux tiers (67%) des sites web. Elles permettent de lancer des attaques à partir de plates-formes dites de confiance, notamment à travers des opérations de phishing pour substituer des informations confidentielles à l’utilisateur. Le XSS constitue également la vulnérabilité la plus critique parmi celles constatées, selon WhiteHat.

La fuite d’informations, les attaques par spoofing (usurpation d’adresse IP) et le Predictable Resource Location (qui consiste à découvrir des contenus « cachés » du site, données de connexion, fichiers de configuration, sauvegardes, etc.) constituent les principales vulnérabilités suivantes. Elles touchent respectivement 36%, 26% et 22% des sites Web.

Une légère baisse

Cependant, WhiteHat constate une légère baisse de ce type de vulnérabilité par rapport à son étude précédente. « Cette tendance peut en partie être attribuée à la sensibilisation et la vigilance croissante des développeurs dues à la large couverture médiatique de ces problèmes », estime dans le rapport Jeremiah Grossman, fondateur de la société d’analyse.

L’usage massif de framework de développement comme .Net de Microsoft est également susceptible de réduire le nombre de vulnérabilités grâce à leur système de sécurité intégrés. « Cependant, cette amélioration pourrait être de courte durée », prévient WhiteHat, « une vulnérabilité qui autorise les attaques cross-site scripting pour éviter les filtres de sécurité est apparue sur .Net ».