Les vulnérabilités dangereuses pour votre site

SAVOIR, C’EST POUVOIR : GUIDE SYMANTEC DE PROTECTION DE VOTRE SITE WEB

LES VULNÉRABILITÉS DANGEREUSES POUR VOTRE SITE

p. 2Symantec Website Security Solutions

Les vulnérabilités dangereuses pour votre site

Les vulnérabilités dangereuses pour votre site 3

Un faux sentiment de sécurité qui peut vous coûter cher 4

Pistes d’action et conseils 5

Conséquences possibles d’une vulnérabilité pour votre site 6

Une bataille plus rude qu’il n’y paraît 7

Peu importe votre taille, vous êtes visé 8

Savoir, c’est pouvoir : vos clients aussi l’ont bien compris 9

SOMMAIRE



En 2012, Symantec a réalisé chaque jour plus de 1 400 analyses de vul-nérabilité de sites Web. Bilan : plus de la moitié de ces analyses ont détecté des vulnérabilités non corri-gées et potentiellement exploitables. Et parmi ces sites vulnérables, un quart était effectivement infecté par des malwares transmissibles aux in-ternautes et susceptibles d’inscrire le site sur la liste noire des moteurs de recherche. Le constat est donc clair : chaque jour, des millions de sites Web courent le risque d’une attaque grave et d’un détournement par les cybercriminels.

Pourtant, dans l’enquête Symantec intitulée Vulnérabilité des sites Web : le grand écart entre impres-sion et réalité, un tiers des entre-prises interrogées disent supposer que leurs sites Web sont très sûrs, et ce sans même les avoir soumis à un quelconque dépistage d’éventuelles vulnérabilités et autres infections.1

Seriez-vous aussi affirmatif sur la sécurité de votre épargne si votre banque venait à divulguer accidentelle-ment les détails de la moitié des comptes qu’elle détient ?

En réalité, de nombreuses entreprises ne mesurent pas le risque que leur site Web représente pour leur activité. Or, sans sécurité et surveillance adaptées, leur site les expose à tous les dangers.

Les vulnérabilités, un risque à ne pas négliger

Pourquoi donc les pirates s’attaquent-ils aux sites Web ? Tout simplement parce que ça rapporte très gros. En 2002, les ventes en ligne s’élevaient à 76 milliards d’euros. Dix ans plus tard, elles atteignaient la bagatelle de 175,5 milliards d’euros. Par ailleurs, en 2013, environ 2,7 milliards de personnes sillonnent le Net, soit presque la moitié de la population mondiale2. En s’introduisant par effraction sur les sites Web, les cybercriminels peuvent non seulement tout connaître des visiteurs, mais surtout leur dérober toutes leurs données et leur argent.

Première question à vous poser : pourquoi votre entre-prise et son site Web sont-ils tant convoités par les cybercriminels ? Pour y répondre, vous devez cerner la nature des vulnérabilités, tant au niveau des procédures que des technologies. Mais vous devez aussi et surtout bien évaluer les risques qu’elles posent et la probabilité de leur exploitation.

Votre inattention, une aubaine pour vos ennemis

Les pirates ne s’intéressent pas qu’aux sites Web propre-ment dits. Ils visent aussi d’autres objectifs. En effet, les serveurs qui sous-tendent les sites Web possèdent eux-mêmes de nombreuses vulnérabilités intrinsèques, ignorées de la plupart des propriétaires de sites. Or, l’exploitation de ces failles est tout aussi recherchée.

D’un côté, il est très simple d’héberger un site Web. Il vous suffit de payer un hébergeur pour publier votre site Web. D’un autre côté, il s’agit d’un processus extrêmement complexe, comportant de nombreuses couches logicielles et matérielles qui doivent interagir efficacement pour préserver la sécurité de votre site. En d’autres termes, comme l’opération semble simple en surface, un raccourci commode consiste à supposer que tout fonctionne au mieux. Et comme les aspects techniques sont extraordi-nairement complexes, il est plus facile de détourner le regard en espérant que quelqu’un s’en charge.

LES VuLnéRAbILItéS dAngEREuSES pOuR VOtRE SItE.



Parmi les vulnérabilités les plus fréquemment exploitées figurent les scripts inter-sites (cross-site scripting). Pourtant, malgré cette preuve chiffrée, les entreprises interrogées par Symantec la considéraient comme la moins probable. Leur principale crainte se situait en effet au niveau des attaques par force brute, un procédé par lequel les pirates tentent de faire effraction sur les serveurs qui hébergent les sites Web. Or, ce type d’attaque est plus rare. Mais comme il est davantage représenté à la télé et dans les films, il semble plus présent dans l’inconscient collectif3. En réalité, votre site a beaucoup moins de chances de tomber entre les griffes d’un virtuose du piratage que d’être victime d’un « botnet », ces robots zombies capables de détecter les vulnérabilités connues de milliers de sites Web.

Une mauvaise information est tout aussi néfaste qu’une absence totale d’information : non seulement elle vous dé-tourne des vulnérabilités réelles, mais elle mobilise aussi des ressources humaines et financières sur des activités inutiles.

Quels sont vos points faibles ?

« Si elle est exploitée efficacement, une seule et unique faille applicative peut représenter un risque critique pour une entreprise », avertit le rapport Symantec sur les me-naces de sécurité par Internet4.

En 2012, 5291 vulnérabilités ont été signalées, contre 4 989 en 20115. Ni inhabituelles ni occasionnelles, cha-cune d’entre elles représente une menace pour votre acti- vité. C’est pourquoi il est essentiel de bien connaître les types les plus courants :

un fAux SEntIMEnt dE SécuRIté QuI pEut VOuS cOûtER chER

5 291 vulnérabilitésont été recensées en 2012,

contre

4 989 en 2011



pIStES d’ActIOn Et cOnSEILS

Vulnérabilité description pistes d’action et conseils

Vulnérabilités non corrigées

Tandis que les nouvelles vulnérabilités comptaient pour 6 % seulement l’an dernier, les attaques à partir de sites Web infectés, elles, augmentaient de 30 %. Comme le précise l’étude de Symantec, on peut donc en conclure que « la plupart des systèmes se trouvent infectés du fait de vulnérabilités plus anciennes et non corrigées ».

Au même titre qu’un PC, si la protection de votre serveur Web n’est pas à jour, vous courez un risque.

Pour détecter d’éventuelles vulnérabilités non corrigées, une analyse automatique régulière est incluse dans tous les certificats Symantec SSL Extended Validation ou Pro SSL.

Vulnérabilités des procédures d’autorisation

Mots de passe faibles, identifiants d’administrateur compromis, paramètres par défaut non modifiés sur les équipements réseau ou logiciels… toutes ces vulnérabilités sont autant de moyens pour les pirates de se faire passer pour des utilisateurs légitimes.

Appliquez une politique de mots de passe forts et des contrôles d’accès renforcés, si possible avec authentification à deux facteurs. Assurez-vous que tous les mots de passe et paramètres des nouveaux matériels et logiciels sont vérifiés et modifiés le cas échéant. Limitez l’accès administrateur à des personnes de confiance triées sur le volet, système par système.

Attaques inter-sites (cross-site scripting)

Les scripts inter-sites (ou cross-site scripting) per-mettent d’injecter du code depuis un site (celui des pirates) vers un autre site (le vôtre). Les cybercriminels peuvent ainsi exécuter leur propre code sur votre site pour attaquer ou infecter les visiteurs, ou leur soutirer des informations confidentielles telles que leurs mots de passe.

Actualisez fréquemment vos logiciels serveurs Web pour corriger toute vulnérabilité connue à ce type d’attaque. Quant au code manuel, vérifiez que toutes les entrées sont correctement validées. Effectuez des analyses anti-malware régulières sur vos sites Web pour détecter les éventuelles modifications et autres ajouts suspects.

Attaques par force brute

Comme leur nom l’indique, ces attaques misent avant tout sur la puissance brute. Ainsi, elles essaient toutes les possibilités de mots de passe et de cryptage jusqu’à en percer le code pour s’introduire sur votre site.

Les effets de ce type d’attaque sont d’autant plus néfastes lorsque les pirates ont pu accéder à vos données cryptées et que le nombre de tentatives de connexion en ligne n’est pas limité.

Ce type d’agression est très courant, certains grands sites signalant jusqu’à 500 attaques par force brute par heure.

Changez régulièrement les mots de passe de votre serveur et système de gestion de contenus, sans oublier de crypter toutes vos données.

Employez des méthodes de cryptage actuelles, car les algorithmes plus anciens possèdent des failles faciles à exploiter.

Si votre site possède un espace clients accessible par mot de passe, vérifiez qu’il existe bien une limite au nombre de tentatives de connexion au-delà de laquelle le compte est bloqué. Les logiciels serveurs sont en général dotés de cette fonc-tionnalité, mais pensez quand même à vérifier.

Vulnérabilités « zero-day »

Elles concernent les failles que personne ne connaît… jusqu’à ce qu’un pirate ne la découvre. L’attaque débute officiellement au « jour zéro » de sa découverte. En 2012, on a recensé pas moins de 14 nouvelles attaques de la sorte. Au cours des trois premiers mois de 2013, Symantec a déjà observé 11 vulnérabilités zero-day touchant Oracle Java, Adobe Flash, Adobe Reader et Microsoft Internet Explorer7.

Si vous hébergez votre propre site, il vous faut mettre en place des procédures d’intervention pour minimiser l’impact d’une telle attaque. Vérifiez que toutes les applications sont à jour et dotées des correc- tifs de sécurité les plus récents. Même si les vulnéra-bilités zero-day sont par définition imparables, les mises à jour les plus récentes vous protègent contre les vulnérabilités déjà connues.

Pour détecter les points faibles de votre site avant que d’autres ne s’en chargent, une analyse automatique et régulière de détection des vulnérabilités, comme celle proposée sur les certificats Symantec SSL, s’impose.



1. Accès aux informations et à la puissance de calcul de votre serveur. Votre serveur Web stocke toutes sortes d’informations confidentielles, à commencer par les détails sur les clients et leurs mots de passe. Quant à la puissance de calcul du serveur, elle peut servir de rampe de lancement aux cybercriminels pour propager leurs malwares. Violation de données, érosion de la confiance et perte d’activité : la gravité des conséquences met en évidence l’importance d’analyses régulières de détection des vulnérabilités.

2. Interception des informations échangées entre vous et vos visiteurs. Entre vous et les visiteurs de votre site, l’échange d’informations est permanent. Or, en l’absence de certificats SSL à jour pour crypter ces informations, vous et vos visiteurs courez le risque d’une attaque par interception (man-in-the-middle attack). Face à ce danger, les plus grands noms du Web, comme Facebook et Google, appliquent désormais la technologie Always-On SSL. Concrètement, même si votre visiteur n’est pas passé par une page de connexion, toutes les communications entre le site et l’internaute sont cryptées et protégées contre toute interception8.

3. Propagation des malwares sur les terminaux des visiteurs de votre site. Dès lors qu’un cybercriminel parvient à injecter du JavaScript dissimulé ou quelques lignes de code établissant un lien vers un site capable d’installer des malwares, tous les visiteurs de votre site, y compris leurs équipements informatiques, courent un risque. Enregistreurs de frappes, accès aux fichiers, blocage du système de l’utilisateur ou exploitation de sa puissance de calcul dans le cadre d’un botnet... les risques sont aussi graves que variés.

cOnSéQuEncES pOSSIbLES d’unE VuLnéRAbILIté pOuR VOtRE SItEVotre site Web fait office de lien entre vous et vos clients. Partant de ce principe, les pirates peuvent exploiter les vulnérabilités de votre site de trois manières :

Accès aux informations et

à la puissance de calcul de votre

serveur

Interception des informations

échangées entre vous et vos visiteurs

propagation des malwares sur les

terminaux des visiteurs de votre site



Les vulnérabilités des sites Web sont complexes et leur exploitation n’a souvent rien de simple. C’est pourquoi certains cybercriminels et bandes orga- nisées conçoivent et commercialisent des « kits d’attaque ». Très prisés, ces kits contiennent des informations sur les vulnérabilités connues et le code nécessaire pour les exploiter. Cette démocratisation des kits expose ainsi votre site aux atta-ques d’une popula-tion plus large de hackers technique-ment moins compétents. En 2012 par exemple, le kit d’attaque Blackhole comptait pour 41 % de toutes les attaques Web perpétrées par kit.

dans le mille

En termes abstraits, voilà pour les vulnérabilités. Mais la réalité d’une attaque Web se mesure par ses effets. Pour en savoir plus sur les mécanismes et modes opératoires des malwares, lisez notre document technique intitulé « Malwares : puissance de frappe et modes opératoires »9. Pour l’heure, ces quelques exemples devraient finir de vous convaincre des dangers réels auxquels les vulnéra-bilités de votre site vous exposent :

• Attaques par injection SQL. Dans sa récente étude consacrée aux attaques perpétrées sur des applications Web (Web Application Attack Report [WAAR]), Imperva constate que sur un mois, une application Web standard connaît en moyenne 12 journées pendant lesquelles elle subit au moins une attaque. Sur une période de six mois, le pire cas observé faisait état de 176 journées d’attaques, c’est-à-dire presque tous les jours. Conclu-sion du rapport : « la leçon à retenir est que les entre-prises devraient baser leurs mesures de sécurité sur le scénario du pire, et non sur la moyenne »10.

• données non cryptées. Kashmir Hill, journaliste chez Forbes, est parvenue à trouver une liste de résidences équipées d’une certaine marque de logiciels de domo-tique, puis a réussi à pirater ce logiciel pour télécom-mander les appareils domotiques, le tout à partir d’une simple recherche Google. Aucun nom d’utilisateur ou mot de passe ne lui a été demandé pour accéder au système, et la liste des clients n’était pas masquée des robots des moteurs de recherche, facilitant ainsi l’accès à ces informations11.

• Attaques zero-day. En mai 2013, un exploit zero-day du noyau Linux est apparu au grand jour, soufflant un véritable vent de panique chez les hébergeurs de sites. Soumis à de multiples redémarrages de l’ensemble des systèmes, de nombreux sites ont ainsi connu des mises hors ligne intempestives12.

unE bAtAILLE pLuS RudE Qu’IL n’y pARAît



Même si les grandes entreprises constituent en théorie un butin plus alléchant, cela ne signifie pas pour autant que les sites de taille plus modeste sont à l’abri. En réalité, d’après l’étude Symantec intitulée Vulnérabilité des sites Web : le grand écart entre impression et réalité, les PME sont moins au fait des enjeux de sécurité de leur site Web que les responsables de grandes entre-prises. Ils courent donc un risque considérable, d’autant qu’en 2012, presqu’un tiers des attaques ciblées concernait des entreprises de moins de 250 salariés13.

Individus et procédures sont tout autant sources de vulnérabilités

La protection de votre site dépasse le simple cadre technologique. Pour protéger l’accès aux serveurs et aux systèmes de gestion de contenus, vous devez aussi sen-sibiliser l’ensemble du personnel aux risques d’attaques par phishing ou ingénierie sociale. En outre, il vous faut des procédures rigoureuses d’actualisation des mots de passe.

Symantec propose une gamme complète de solutions de gestion des certificats SSL. Grâce à ces outils, les respon-sables de sites Web conservent la trace de tous leurs certificats SSL et sont avertis en temps utile des dates d’expiration à venir. Autres points forts : des fonctionnali-tés d’analyse anti-malware et autres systèmes de détec-tion des vulnérabilités mentionnés dans ce document (en fonction du type de certificat utilisé). Enfin, Symantec propose également le Certificate Intelligence Center, un système de veille destiné à faciliter le suivi et la gestion automatiques des certificats pour les entreprises à la tête de grands parcs de certificats SSL.

pEu IMpORtE VOtRE tAILLE, VOuS êtES VISé

251 à 500

501 à 1 0001 001 à 1 500

1 501 à 2 500

De 1 à 250 salariésPrès d’un tiers des attaques perpétrées en 2012 avaient pour cible des

entreprises de 1 à 250 salariés.

De 1 à 250 salariésPrès d’un tiers des attaques perpétrées en 2012 avaient pour cible des

entreprises de 1 à 250 salariés. 18 %en 2011

13 %de hausse

31 %31 %

9 %

3 %2 %

5 %

2012



Même si les clients et visiteurs de votre site ne sont pas des experts ès vulnérabilités, ils savent néanmoins qu’un site Web représente un risque potentiel pour leurs équipements in-formatiques et données personnelles. C’est pourquoi ils cherchent des indi-cateurs prouvant votre sérieux sur les questions de sécurité et de protection des internautes.

Par exemple, les certificats SSL Extended Validation (EV) imposent une procédure d’authentification rigoureuse pour vous et votre site, apportant ainsi la preuve irréfu- table que vous êtes bien celui que vous prétendez être. Les internautes en sont avertis par la barre d’adresse verte qui s’affiche à leur arrivée sur votre site. Bien que discret, ce petit gage de confiance produit de grands effet : les sites sécurisés par EV enregistrent ainsi une hausse d’au moins 10 % des taux de clics14.

Le rapport Symantec sur les menaces de sécurité par Internet relève également qu’en 2012, les internautes étaient plus nombreux à visiter les sites Web affichant des indicateurs de sécurité comme le sceau Norton Secured, marque de confiance la plus reconnue sur Internet15. Grâce à Seal-in-Search, les internautes sont rassurés sur la sécurité de votre site avant même d’y accéder. Pour ce faire, cette technologie Symantec affiche le sceau Norton Secured Seal en regard du nom de votre site dans les résul- tats de recherche. Les internautes savent ainsi immédia-tement que votre site est digne de confiance et qu’ils peuvent cliquer en toute sérénité.

Le bon choix pour muscler votre défense

En matière de vulnérabilité des sites Web, savoir, c’est plus que jamais pouvoir. En choisissant avec soin le partenaire de sécurité qu’il vous faut pour détecter ces vulnérabilités, vous musclez vos lignes de défense face aux attaques des cybercriminels.

Symantec propose une gamme complète de solutions de sécurité des sites Web, notamment EV, un choix de multiples algorithmes de cryptage et des fonctionnalités d’analyse anti-malware et de détection des vulnérabilités. Preuve de notre force de dissuasion, les dispositifs de très haute sécurité mis en place pour assurer notre propre protection : ainsi, nos procédures d’authentification sont auditées par KPMG et les datacenters de notre infrastruc-ture SSL et à clé publique (PKI) sont soumis aux normes de sécurité pratiquées dans le milieu de la défense.

En deuxième ligne de défense de votre site, le service d’analyse anti-malware de Symantec apporte un contrôle extérieur particulièrement utile. Partie intégrante des cer-tificats Symantec SSL, ce service évite les désagréments d’un placement soudain sur la liste noire d’un moteur de recherche.

En misant sur Symantec, vous profitez d’un partenaire de sécurité compétent et bien armé, capable d’assurer la sécurité de votre site Web et de votre activité en ligne.

Pour en savoir plus sur les solutions de sécurité des sites Web de Symantec, rendez-vous sur www.symantec.fr/ssl

SAVOIR, c’ESt pOuVOIR : VOS cLIEntS AuSSI L’Ont bIEn cOMpRIS

Identified by Norton



1. Symantec’sVulnerabilityAssessment–FeelingVulnerable?YouShouldBe,https://www.symantec-wss.com/campaigns/14601/fr/assets/VA-WhitePaper-FR.pdf

2. «TheInternetthenandnow»(Internet,hieretaujourd’hui),deWhoIsHostingThis? http://www.whoishostingthis.com/blog/2013/06/17/internet-then-and-now/#.

3. Symantec’sVulnerabilityAssessment–FeelingVulnerable?YouShouldBe, https://www.symantec-wss.com/campaigns/14601/fr/assets/VA-WhitePaper-FR.pdf

4. RapportSymantec2013surlesmenacesdesécuritéparInternet, https://www.symantec-wss.com/fr

5. Symantec’sVulnerabilityAssessment–FeelingVulnerable?YouShouldBe, https://www.symantec-wss.com/campaigns/14601/fr/assets/VA-WhitePaper-FR.pdf

6. Synthesis,«WPSitesUnderAttackAcrosstheGlobe!!!»(AgressiondesitesWordPressdanslemondeentier) http://websynthesis.com/wp-bruce-force-protection/

7. http://www.symantec.com/connect/blogs/2013-first-quarter-zero-day-vulnerabilities

8. «FacebookimplementsAlways-OnSSL»(FacebookmetenplaceleSSLpermanent), http://www.symantec.com/connect/blogs/facebook-implements-always-ssl

9. http://www.verisign.com/verisigntransition101/files/MalwareSecurityReport.pdf

10. «RetailersSuffer2XMoreSQLInjectionAttacksthanOtherIndustries;OneApplicationAttackedanAverageof26TimesperMinute»(Leweb marchandsubitdeuxfoisplusd’attaquesparinjectionSQLquelesautressecteurs:uneapplicationestattaquéeenmoyenne26foisparminute) http://www.cso.com.au/mediareleases/16923/retailers-suffer-2x-more-sql-injection-attacks/

11. HackingSmartHomes(Piratagedesrésidencesconnectées),http://www.symantec.com/connect/blogs/hacking-smart-homes

12. Synthesis,«HowWeKeptYouSafeDuringYesterday’sZero-DaySecurityEmergency»(Commentnousavonsassurévotresécuritépendant l’alertedesécuritézero-dayd’hier)http://websynthesis.com/zero-day-linux-exploit/

13. RapportSymantec2013surlesmenacesdesécuritéparInternet, https://www.symantec-wss.com/fr

14. OnlineTrustAlliance,https://otalliance.org/resources/EV/index.htmlconsultéle10septembre2013

15. EnquêteinternationaleSymantecWSSréaliséeauprèsdecyberconsommateurs:États-Unis,Allemagne,Royaume-Uni,juillet2012

RéféREncES

Symantec Website Security SolutionsWebsite Security Threat Report 2013

L’ENTREPRISE SYMANTEC

Symantec Website Security Solutions propose des solutions leaders en matière de sécurité SSL, de gestion des certificats, de détection des vulné-rabilités et d’analyse anti-malware. Ensemble, le sceau Norton™ Secured et la fonctionnalité Symantec Seal-in-Search rassurent vos clients sur leur sécurité tout au long de leur expérience en ligne – des moteurs de recherche à l’acte d’achat, en passant par la navigation sur votre site.

Pour en savoir plus, rendez-vous sur le site www.symantec.fr/ssl

Symantec Website Security SolutionsLes vulnérabilités dangereuses pour votre site

NOUS SUIVRE

Retrouvez sur notre site la liste de nos bureaux

régionaux et leurs coordonnées téléphoniques.

Pour plus d’informations sur nos produits,

composez le :

0800 90 43 51 ou +41 (0) 26 429 77 24

Symantec franceSymantec Website Security Solutions,

Tour Egée, 17, avenue de l’Arche

La Défense 6, 92671 Courbevoie Cedex, France

www.symantec.fr/ssl

https://www.linkedin.com/company/symantec

https://www.facebook.com/SymantecWebsiteSecuritySolutions/timeline

https://twitter.com/NortonSecured

http://www.symantec.com/connect/security/blogs

Technology

Les vulnérabilités dangereuses pour votre site