Plus de 90 % des applications Web ne sont pas sécurisées
Moins de 10 % des applications Web sensibles seraient protégées contre les attaques en ligne. Malgré ce constat alarmant, les entreprises ne revoient pas leurs stratégies de défense.
Vous pensez que votre compte bancaire en ligne est parfaitement sécurisé ? Rien n’est moins sûr. « Au moins 92 % des applications Web sont vulnérables à des attaques de pirates », rapporte WebCohort, une entreprise spécialisée dans la sécurisation des bases de données et services Web. Et les sites susceptibles de subir ces attaques n’ont rien de la page perso : commerce en ligne, banque électronique, sites d’entreprise et de gestion logistique (supply chain management), voire des services gouvernementaux.
Ces résultats sont issus d’une enquête effectuée entre 2000 et 2004 auprès de 250 sites Web. Les failles les plus répandues concernent le Cross Site Scripting (qui permet d’obtenir des informations du serveur à partir d’une requête Web en langage de script) pour 80 % des cas, le SQL Injection (détournement de l’exécution d’un script par modification d’une requête SQL afin d’obtenir des données confidentielles ou contourner des protections) pour 62 %, et le Parameter tampering (modification des paramètres prédéfinis, d’un formulaire par exemple, pour éviter les mécanismes de sécurité) pour 60 %.
Des mesures de précaution insuffisantes
Le très médiatisé débordement de la mémoire tampon (buffer overflow) n’intervient que pour 19 % des applications, derrière le Cookie poisoning (37 %), le Database Server (33 %) et le Web Server (23 %). Mais le plus inquiétant est de savoir que les responsables de ces sites vulnérables, généralement des sociétés, semblent attendre la catastrophe pour se prémunir. « Alors que les attaques de ce genre sont courantes, la plupart des entreprises n’ont pas sécurisé leur site Web en conséquence », peut-on lire dans le rapport. Certes, des pare-feu et des systèmes de détection d’intrusions sont en place. Mais si ces derniers permettent de repérer les activités d’un pirate, ils ne lui interdisent pas forcément l’accès aux données sensibles des serveurs.
Un constat alarmant qui explique peut-être pourquoi la majorité des plaintes déposées aux Etats-unis en 2003 concernent des arnaques en ligne (voir télégramme du 23 janvier 2004) et pourquoi la fraude sur Internet a augmenté de 72 % en 2002 (voir télégramme du 24 janvier 2003). En 2001, le cabinet Gartner rapportait que 75 % des attaques en ligne se déroulaient via les applications Web. « Des années plus tard, les applications Web restent encore à sécuriser », estime WebCohort. La fraude en ligne a, semble-t-il, encore de beaux jours devant elle.