Rapport hp 2012 sur les cyber risques

Livre blanc

Rapport HP 2012 sur les cyber-risques

Livre blanc | Rapport HP 2012 sur les cyber-risques

Table des matiegraveres3 Preacutesentation

Les vulneacuterabiliteacutes ou failles dites critiques sont en baisse mais constituent toujours une menace importante

Les technologies arriveacutees agrave maturiteacute posent toujours des risques

Les plates-formes mobiles offrent un terrain tregraves propice au deacuteveloppement de nouvelles vulneacuterabiliteacutes

Les applications Web demeurent une source importante de vulneacuterabiliteacutes

Les attaques par scripts intersites restent une menace majeure pour les organisations et les utilisateurs

La preacutevention des risques lieacutes aux attaques par script sur plusieurs cadres semble nulle

4 Tendances des vulneacuterabiliteacutes

La chasse aux vulneacuterabiliteacutes 19 de vulneacuterabiliteacutes en plus en 2012 quen 2011

Des marcheacutes qui ne cessent deacutevoluer et une complexiteacute accrue qui nuit agrave la deacutetection et la signalisation des vulneacuterabiliteacutes

Les applications Web posent toujours des risques importants pour les entreprises

La maturiteacute dune technologie ne deacutefinit pas son profil de vulneacuterabiliteacute

9 Vulneacuterabiliteacutes des applications Web

Des attaques deacutevastatrices

En-tecircte X-Frame-Options eacutechec de lancement

17 Seacutecuriteacute des applications mobiles

Fuite de donneacutees sensibles sur des canaux non seacutecuriseacutes

Les accegraves non autoriseacutes concernent quasiment la moitieacute des applications mobiles

Les dix principales vulneacuterabiliteacutes des applications mobiles

Recherche en technologie mobile la communication en champ proche (NFC) pour les applications mobiles de paiement

Recommandations

21 Conclusions

Militarisation des vulneacuterabiliteacutes

Vulneacuterabiliteacutes des technologies mobiles

Des technologies matures toujours autant de risques

Les applications Web restent vulneacuterables

23 Contributeurs

3

Preacutesentation

Dans ce rapport HP 2012 sur les cyber-risques HP Enterprise Security offre un large aperccedilu des vulneacuterabiliteacutes actuelles allant des donneacutees sectorielles geacuteneacuterales jusquagrave un examen attentif des diffeacuterentes technologies notamment dans le domaine du Web et des mobiles Lobjectif de ce rapport est de deacuteterminer des mesures de seacutecuriteacute exploitables indispensables aux organismes de collecte dinformations pour dresser et maicirctriser le panorama des vulneacuterabiliteacutes actuelles mais eacutegalement mieux deacuteployer leurs ressources afin de minimiser les risques de seacutecuriteacute

Pour eacutevaluer ces vulneacuterabiliteacutes sous un angle large le rapport se fonde sur les sources suivantes

bull Donneacutees de la base de donneacutees OSVDB (Open Source Vulnerability Database)1

bull Donneacutees de vulneacuterabiliteacute du programme Zero Day Initiative (ZDI)2 mis en place par HP

bull Analyse HP DVLabs des vulneacuterabiliteacutes et des donneacutees dexploitation malveillante

bull Donneacutees des tests de seacutecuriteacute statiques et dynamiques HP Fortify on Demand3

bull Reacutesultats des recherches Web meneacutees par le groupe HP Fortify Software Security Research en matiegravere de vulneacuterabiliteacutes

bull Donneacutees de Security Compass (partenaire HP) sur la vulneacuterabiliteacute des mobiles

A partir de ces donneacutees le rapport fait ressortir les principaux constats suivants

Les vulneacuterabiliteacutes ou failles dites critiques sont en baisse mais constituent toujours une menace importante Les vulneacuterabiliteacutes les plus graves (note CVSS4 entre 8 et 10) qui repreacutesentaient 23 de lensemble des vulneacuterabiliteacutes eacutevalueacutees et enregistreacutees dans la base de donneacutees OSVDB en 2011 ont connu une baisse de 20 en 2012 Si cette diminution est importante les donneacutees montrent neacuteanmoins que presque une vulneacuterabiliteacute sur cinq permet toujours agrave des attaquants de prendre le controcircle total dune cible

Les technologies arriveacutees agrave maturiteacute posent toujours des risquesComme le montre lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure qui preacuteconisait de deacutesactiver la plate-forme Java Standard Edition (SE) dOracle dans tous les navigateurs Web concerneacutes les technologies matures en apparence sont toujours la cible de nouvelles formes dexploitation malveillante Les donneacutees de 2012 montrent notamment que le nombre de vulneacuterabiliteacutes observeacutees dans les systegravemes de controcircle et de collecte de donneacutees (SCADA) est passeacute de 22 en 2008 agrave 191 en 2012 (soit une augmentation de 768 )

Lesplates-formesmobilesoffrentunterraintregravespropiceaudeacuteveloppement de nouvelles vulneacuterabiliteacutesFace au boom des appareils mobiles et des applications installeacutees dessus on note une explosion eacutequivalente du nombre de failles pour les technologies mobiles Les cinq derniegraveres anneacutees affichent une hausse de 787 du nombre de failles constateacutees dans le domaine des applications mobiles hausse notamment due aux nouvelles technologies comme la communication en champ proche (NFC) qui geacutenegraverent des failles de type ineacutedit

Lesapplications WebdemeurentunesourceimportantedevulneacuterabiliteacutesLes donneacutees OSVDB recueillies entre 2000 et 2012 montrent que sur les six principaux types de vulneacuterabiliteacute soumis quatre (linjection SQL les scripts intersites la falsification de requecircte intersites (CSRF) et les inclusions de fichiers agrave distance) concernent principalement ou exclusivement les applications Web

Les attaques par scripts intersites restent une menace majeure pour les organisations et les utilisateursLes scripts intersites (XSS) restent un problegraveme tregraves reacutepandu puisque 445 des applications dans nos jeux de donneacutees souffrent toujours de cette faille Un cas preacutecis celui de lanalyse dune entreprise multinationale montre que presque la moitieacute (4832 ) de ses applications Web se sont aveacutereacutees vulneacuterables face agrave une certaine forme dattaque XSS De plus agrave la lecture des recherches meneacutees speacutecifiquement pour les failles de type XSS dans le cadre du programme ZDI on constate que de nouvelles meacutethodes dexploitation de cette vulneacuterabiliteacute sont en permanence deacuteceleacutees


1 Open Source Vulnerability Database osvdborg

2 Programme HP Zero Day Initiative zerodayinitiativecom

3 HP Fortify on Demand fortifymyappcom

4 Common Vulnerability Scoring System (CVSS) firstorgcvsscvss-guidehtml

4

La preacutevention des risques lieacutes aux attaques par script sur plusieurs cadres semble nulleLa premiegravere vulneacuterabiliteacute de type XFS deacutecouverte soit la cause racine des attaques de type clickjacking (deacutetournement de clic) remonte agrave plus de dix ans Depuis le clickjacking sest banaliseacute et pourtant moins de un pour cent des 100 000 URL testeacutees incluaient loutil de preacutevention le plus connu agrave savoir len-tecircte X-Frame-Options

Tendances des vulneacuterabiliteacutes

Pour comprendre les risques techniques en matiegravere de seacutecuriteacute il faut dabord savoir ougrave et comment les vulneacuterabiliteacutes surviennent au sein dune organisation Les vulneacuterabiliteacutes peuvent frapper agrave tous les niveaux de linfrastructure de lorganisation du mateacuteriel jusquau reacuteseau et aux logiciels (les nouveaux comme les anciens) Ces vulneacuterabiliteacutes sont la voie quempruntent des acteurs malveillants pour contourner les meacutecanismes de seacutecuriteacute et deacuterober ou endommager des donneacutees refuser des accegraves et compromettre les processus meacutetier strateacutegiques de lorganisation

En se basant sur les donneacutees de la base de donneacutees OSVDB (Open Source Vulnerability Database) et du programme HP Zero Day Initiative (ZDI) cette section du rapport deacutegage les tendances globales suivantes en matiegravere de vulneacuterabiliteacutes

bullLachasseauxvulneacuterabiliteacutes 19devulneacuterabiliteacutesenplusen 2012 quen 2011 Le nombre total de vulneacuterabiliteacutes releveacute offre un aperccedilu global des vulneacuterabiliteacutes actuelles et deacutevoile un panorama de cyber-menaces en perpeacutetuelle eacutevolution

bullDes marcheacutes qui ne cessent deacutevoluer et une complexiteacute accrue qui nuit agrave la deacutetection et la signalisation des failles Les donneacutees de divulgation des vulneacuterabiliteacutes montrent limpact des eacutevolutions du marcheacute des vulneacuterabiliteacutes et de la complexiteacute technique des systegravemes sur le nombre et la graviteacute des vulneacuterabiliteacutes signaleacutees

bullLesapplications Webposentencoreaujourdhuidesrisquestechniquesimportantspourlesorganisations Une petite poigneacutee dapplications Web strateacutegiques vulneacuterables repreacutesente toujours une large minoriteacute des vulneacuterabiliteacutes totales deacutecouvertes en 2012

bullLamaturiteacutedunetechnologienedeacutefinitpassonprofildevulneacuterabiliteacute Les donneacutees recueillies en 2012 montrent une augmentation de plus de 700 du nombre de vulneacuterabiliteacutes deacutecouvertes ayant un impact agrave la fois sur les systegravemes de controcircle et de collecte de donneacutees SCADA (principale technologie utiliseacutee) et sur les appareils mobiles (la prochaine eacutetape dans le deacuteveloppement des technologies de linformation)

Lachasseauxvulneacuterabiliteacutes 19 devulneacuterabiliteacutesenplusen 2012quen 2011Le nombre total de nouvelles vulneacuterabiliteacutes signaleacutees au cours de lanneacutee 2012 (8 137) montre une augmentation denviron 19 par rapport au nombre enregistreacute en 2011 (6 844) mais il demeure infeacuterieur agrave 19 au nombre record de 2006 Ce reacuteajustement constant du nombre de vulneacuterabiliteacutes signaleacutees montrent bien que la guerre que se livrent les organisations et les attaquants fait rage sans quun vainqueur ne se deacutegage clairement (voir la Figure 1)

Figure 1 Vulneacuterabiliteacutes deacutecouvertes et enregistreacutees dans la base de donneacutees OSVDB entre 2000 et 2012

0

2 000

4 000

6 000

8 000

10 000

12 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012

Nom

bre

tota

l de

vuln

eacuterab

iliteacute

s


5

Laffichage par anneacutee des donneacutees OSVDB montre clairement que les vulneacuterabiliteacutes deacutecouvertes nont cesseacute dosciller depuis le niveau record de 2006 et quaucune tendance agrave la hausse ou agrave la baisse ne sest deacutegageacutee dans les anneacutees qui ont suivi Le nombre total de vulneacuterabiliteacutes apparues au cours dune anneacutee preacutecise ne mesure pas neacutecessairement la seacutecuriteacute globale du secteur Il indique plutocirct comment les changements dans la maniegravere de deacutetecter divulguer et exploiter les vulneacuterabiliteacutes peuvent grandement varier dune anneacutee sur lautre La section suivante souligne comment ces changements du marcheacute des vulneacuterabiliteacutes expliquent en partie ces variations

Des marcheacutes qui ne cessent deacutevoluer et une complexiteacute accrue qui nuit agrave la deacutetection et la signalisation des vulneacuterabiliteacutesMecircme si le nombre des vulneacuterabiliteacutes signaleacutees reste largement infeacuterieur au niveau record observeacute en 2006 un examen des facteurs ayant une incidence sur la deacutetection et la divulgation des failles est primordial Les informations de vulneacuterabiliteacute peuvent ecirctre distribueacutees via diffeacuterents canaux notamment des programmes communautaires comme la base de donneacutees OSVDB ou le programme HP ZDI des consultants priveacutes en seacutecuriteacute les programmes Bug Bounty (recherche de vulneacuterabiliteacutes reacutecompenseacutee) des fabricants et le marcheacute noir clandestin

Si la base de donneacutees OSVDB offre un excellent aperccedilu du paysage actuel des vulneacuterabiliteacutes elle permet seulement de recenser les vulneacuterabiliteacutes qui sont publiquement divulgueacutees ou directement transmises agrave lorganisation De plus en plus les agences de conseil speacutecialiseacutees en seacutecuriteacute deacutecouvrent et achegravetent des vulneacuterabiliteacutes qui sont ensuite directement divulgueacutees agrave leurs groupes priveacutes de clients Cette pratique ignore un grand nombre de vulneacuterabiliteacutes qui ne sont pas comptabiliseacutes dans les reacutesultats publics

Un autre eacuteleacutement qui complique le deacutefi que posent les vulneacuterabiliteacutes est la complexiteacute des logiciels actuels La seacutecuriteacute est devenue est une prioriteacute croissante et pour lutter contre les attaques incessantes de personnes malveillantes les organisations ont doteacute leurs logiciels de meacutecanismes de seacutecuriteacute et ajouteacute des fonctionnaliteacutes pour contrecarrer les initiatives de deacutecouverte et dexploitation non autoriseacutees de leurs vulneacuterabiliteacutes Ces mesures nont pas seulement contribueacute agrave combler des lacunes elles ont eacutegalement compliqueacute davantage la deacutetection des vulneacuterabiliteacutes qui demeuraient

Le changement dorientation des marcheacutes publics et priveacutes des vulneacuterabiliteacutes associeacute agrave la complexiteacute croissante quimplique lidentification des vulneacuterabiliteacutes a fait grimper la valeur des vulneacuterabiliteacutes agrave fort potentiel dexploitation (celles avec une note CVSS entre 8 et 10) Cette augmentation amegravene deux conclusions

bull Les chercheurs en seacutecuriteacute doivent deacutevelopper des compeacutetences eacutetendues dans des systegravemes speacutecifiques pour rester efficaces

bull Les chercheurs beacuteneacuteficient dun meilleur retour sur investissement pour les vulneacuterabiliteacutes graves qui atteignent des prix plus eacuteleveacutes

Cependant avec la hausse theacuteorique du nombre total de vulneacuterabiliteacutes hautement exploitables signaleacutee par lOSVDB en 2012 le pourcentage du nombre total de vulneacuterabiliteacutes signaleacutees avec une note CVSS eacuteleveacutee a diminueacute pour passer de 23 en 2011 agrave 20 en 2012 (voir la Figure 2) Notez que lOSVDB nexige pas de note CVSS pour signaler des vulneacuterabiliteacutes Les vulneacuterabiliteacutes sans note CVSS ont la valeur Zeacutero dans la figure

Figure 2 Panorama de la graviteacute des vulneacuterabiliteacutes dapregraves les donneacutees de lOSVDB (2000 agrave 2012)

0

2 000

4 000

6 000

8 000

10 000

12 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012

Zeacutero 1 2 3 4 5 6 7 8 9 10


6

Un eacuteleacutement qui contraste avec cette hausse modeste du nombre de vulneacuterabiliteacutes hautement exploitables signaleacutees en 2012 est la tendance globale des donneacutees de lOSVDB puisque ces derniegraveres montrent que le pourcentage pour ce type de vulneacuterabiliteacute a augmenteacute de maniegravere consideacuterable et homogegravene au cours des dix derniegraveres anneacutees (voir la Figure 3)

Figure 3 Graviteacute des vulneacuterabiliteacutes OSVDB sur dix ans

Graviteacute moyennement eacuteleveacutee (note CVSS 5 agrave 7) Graviteacute la plus eacuteleveacutee (note CVSS 8 agrave 10)Graviteacute la moins eacuteleveacutee (note CVSS 1 agrave 4)

8

2002 2007 2012

17

75

14

22 64

20

36

44

Entre 2002 et 2007 les vulneacuterabiliteacutes moyennement graves (note CVSS entre 5 et 7) formaient la majoriteacute des deacutecouvertes Cette peacuteriode comporte une hausse importante du nombre total de vulneacuterabiliteacutes deacuteclareacutees agrave un moment ougrave les outils de test agrave donneacutees aleacuteatoires (fuzzing) devenaient la norme et les chercheurs commenccedilaient agrave identifier les vulneacuterabiliteacutes les plus reacutepandues et simples agrave deacutetecter gracircce agrave lautomatisation Depuis ce nombre a nettement baisseacute notamment gracircce aux organisations de deacuteveloppement qui par le biais de lautomatisation ont pu identifier et reacutesoudre ces vulneacuterabiliteacutes avant que les chercheurs ne les trouvent

Par quoi sexplique alors le pourcentage en deacutecrue des vulneacuterabiliteacutes agrave fort potentiel dexploitation observeacute en 2012 Les donneacutees commerciales laissent agrave penser que du fait des compeacutetences et du temps requis pour deacutevoiler et deacutemontrer le potentiel dexploitation des vulneacuterabiliteacutes les plus graves un nombre sans cesse croissant de ce type de vulneacuterabiliteacute est vendu sur des marcheacutes commerciaux priveacutes (gris) ou clandestins (noirs) ce qui les exclut (du moins provisoirement) de tout recensement public comme celui de lOSVDB

Lesapplications Webposenttoujoursdesrisquesimportantspourles entreprisesLa Figure 4 met en eacutevidence les six vulneacuterabiliteacutes les plus reacutepandues signaleacutees dans lOSVDB deacutepassement de meacutemoire tampon deacuteni de service inclusion de fichier agrave distance injection SQL scripts intersites et falsification de requecircte intersites (CSRF) Toutes sont potentiellement exploitables agrave distance

Figure 4 Les vulneacuterabiliteacutes les plus courantes dans lOSVDB preacutesenteacutees par cateacutegories (2000 agrave 2012)

0

600

1 200

1 800

2 400

3 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012

Deacutepassement de meacutemoire tampon

Deacuteni de service

Inclusions de fichiers agrave distance

Injection SQL

Scripts intersites

Falsification de requecirctes intersites

Sur ces six cateacutegories de vulneacuterabiliteacute quatre (linjection SQL les scripts intersites la falsification de requecircte intersites (CSRF) et les inclusions de fichiers agrave distance) ont principalement ou exclusivement un impact sur les applications Web et repreacutesentent 40 du volume total de vulneacuterabiliteacutes deacutecouvertes en 2012 selon lOSVDB

Si le nombre de vulneacuterabiliteacutes Web a atteint un niveau record en 2006 il a eacutevolueacute depuis et de maniegravere similaire au nombre global de vulneacuterabiliteacutes (voir la Figure 5)


7

Figure 5 Vulneacuterabiliteacutes des applications Web et des applications non Web

0

2 000

4 000

6 000

8 000

10 000

12 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012

Vulneacuterabiliteacutes des applications Web Vulneacuterabiliteacutes des applications non Web

On peut en conclure que si les vulneacuterabiliteacutes des applications non connecteacutees au Web repreacutesentent toujours la majoriteacute des vulneacuterabiliteacutes divulgueacutees quelques cateacutegories de vulneacuterabiliteacutes des applications Web introduisent encore des risques techniques consideacuterables pour les organisations

LamaturiteacutedunetechnologienedeacutefinitpassonprofildevulneacuterabiliteacuteLun des changements majeurs de paradigme technique au cours de la derniegravere deacutecennie a eacuteteacute ladoption massive dappareils mobiles capables dexeacutecuter des applications personnaliseacutees Au cours des cinq derniegraveres anneacutees seulement les donneacutees OSVDB ont afficheacute une croissance de 787 du nombre de vulneacuterabiliteacutes deacutecouvertes dans le cas des technologies mobiles (voir la Figure 6) La derniegravere anneacutee agrave elle seule montre une augmentation de 68 avec 158 vulneacuterabiliteacutes deacutecouvertes en 2011 et 266 en 2012

Figure 6 Vulneacuterabiliteacutes deacutecouvertes pour les technologies mobiles et eacutevalueacutees par lOSVDB entre 2008 et 2012

0

50

100

150

200

250

300

2008 2009 2010 2011 2012

Par comparaison les systegravemes de controcircle et de collecte de donneacutees (SCADA) qui controcirclent les processus industriels automatiseacutes notamment dans les domaines de la fabrication la production deacutelectriciteacute le secteur minier et le traitement des eaux sappuient sur des technologies beaucoup plus abouties Ces systegravemes qui opeacuteraient historiquement sur des reacuteseaux distincts avec des protocoles proprieacutetaires ont ensuite entameacute une migration vers des reacuteseaux standard et mecircme Internet dans le but de simplifier la gestion des ressources la facturation et les aspects opeacuterationnels A mesure que ces systegravemes ont quitteacute leurs reacuteseaux isoleacutes distincts des problegravemes de seacutecuriteacute autrefois masqueacutes par une surface dattaque reacuteduite ont commenceacute agrave se manifester


8

Dapregraves les donneacutees de lOSVDB 76 vulneacuterabiliteacutes seulement ont eacuteteacute deacutetecteacutees dans les systegravemes SCADA entre 2008 et 2010 En revanche apregraves la deacutecouverte en 2010 du ver Stuxnet dans une usine denrichissement duranium iranienne lattention sest focaliseacutee sur la seacutecuriteacute des systegravemes SCADA En 2011 164 vulneacuterabiliteacutes ont eacuteteacute recenseacutees dans les systegravemes SCADA et ce nombre a atteint 191 en 2012 soit une augmentation de 768 par rapport aux chiffres de 2008 (voir la Figure 7)

Figure 7 Vulneacuterabiliteacutes des systegravemes SCADA deacutecouvertes et eacutevalueacutees par lOSVDB entre 2008 et 2012

0

50

100

150

200

250

2008 2009 2010 2011 2012

ProgrammeZero Day Initiative coupdœilsur 2012Gracircce agrave la position de leader du ZDI en qualiteacute de programme dacquisition des vulneacuterabiliteacutes les chercheurs de leacutequipe ont maintes fois eu loccasion danalyser certaines des vulneacuterabiliteacutes les plus inteacuteressantes et les plus deacutebattues qui sont survenues au cours des douze derniers mois Les cas dignes dinteacuterecirct suivants observeacutes en 2012 illustrent le croisement des marcheacutes blanc et noir

Au deacutebut de lanneacutee 2012 une vulneacuterabiliteacute des services Bureau agrave distance Microsoftreg (ZDI-12-044 MS12-020 et CVE-2012-0002) a fait lobjet de toutes les attentions

bull Le ZDI a signaleacute cette faille speacutecifique agrave Microsoft en aoucirct 2011

bull Aucune attaque exteacuterieure connue ne fut signaleacutee mais consciente de son pouvoir dattraction aupregraves des attaquants la socieacuteteacute Microsoft sattendait deacutejagrave agrave des exploitations imminentes pour mars 2012

bull Il eacutetait possible dacceacuteder agrave cette faille sur le reacuteseau avant toute authentification requise Elle se manifestait deacutejagrave lors de la gestion des erreurs au moment du chargement des eacuteleacutements dans un tableau

Un mois plus tard Samba publia un correctif tregraves attendu fondeacute sur une faille identifieacutee par un chercheur du ZDI (TPTI-12-04 CVE-2012-1182)

bull Le ZDI signala cette faille agrave Samba en septembre 2011

bull Aucune attaque exteacuterieure connue ne fut signaleacutee mais la vulneacuterabiliteacute incrimineacutee comptait parmi les vulneacuterabiliteacutes les plus graves pour un programme et Samba traita sans attendre le problegraveme

bull Cette faille nexigeait aucune connexion authentifieacutee et aboutissait agrave une meacutemoire corrompue quun attaquant pouvait librement exploiter pour exeacutecuter du code agrave distance

La fin de lanneacutee 2012 fut une peacuteriode dactiviteacute intense pour les attaques de type zero-day qui toucha autant Oracle (CVE-2012-0422 CVE-2012-3174) que Microsoft (MS13-008 CVE-2012-4792) Le ZDI eacutetait aux premiegraveres loges et signala une vulneacuterabiliteacute importante de Java lieacutee agrave une faille zero-day

bull Le ZDI signala cette faille Java agrave Oracle en deacutecembre 2012

bull Cette faille eacutetait exploiteacutee au grand jour

bull Elle permettait agrave une applet malveillante dexeacutecuter un code fourni par un attaquant et de le faire agrave distance dans le contexte de lutilisateur actuel

Ces cas ne sont pas les seuls cas geacutereacutes par le ZDI en 2012 mais ils montrent bien le croisement des marcheacutes noir et blanc dans cette chasse aux vulneacuterabiliteacutes Une chose est sucircre nos chercheurs sont engageacutes dans une course contre la montre visant agrave identifier et divulguer de maniegravere responsable les vulneacuterabiliteacutes des technologies logicielles les plus reacutepandues


9

Vulneacuterabiliteacutesdesapplications Web

Pour dresser un tableau plus complet des vulneacuterabiliteacutes actuelles leacutequipe HP Fortify on Demand sest reacuteunie et a analyseacute les reacutesultats de milliers deacutevaluations pour savoir agrave quoi ressemble la seacutecuriteacute des applications Web de linteacuterieur Pour cela elle a proceacutedeacute agrave des examens de code et des tests de peacuteneacutetration Un examen minutieux des reacutesultats des analyses statiques (recherche de vulneacuterabiliteacutes dans le code source sans exeacutecution de ce dernier) et dynamiques (tests de fonctionnement du logiciel en qualiteacute dattaquant sans accegraves au code mecircme) constitue une base solide pour eacutetablir un reacuteel eacutetat des lieux en matiegravere de risques pour les applications Web

Les jeux deacutechantillons utiliseacutes pour cette analyse comprenaient 200 applications choisies au hasard pour lanalyse dynamique et 800 applications pour lanalyse statique La Figure 8 montre les cinq principales vulneacuterabiliteacutes deacutecouvertes dans le cadre de lanalyse dynamique en 2012

Figure 8 Cinq principales vulneacuterabiliteacutes deacutecouvertes lors de lanalyse dynamique en 2012 via HP Fortify on Demand

45

26 25

13

9

0

5

10

15

20

25

30

35

40

45

50

Scripts intersites ProtectionTransport

Layer insuffisante

Mauvaiseconfiguration

de seacutecuriteacute

Gestion delauthentification

et des sessiondeacutefaillante

Failles dinjection

Les reacutesultats dynamiques obtenus agrave partir de ce jeu deacutechantillons ainsi que dautres reacutesultats consigneacutes dans ce rapport montrent que les attaques par script intersite constituent toujours une menace importante lors de toute tentative de seacutecurisation des applications Web Si lon tient compte de la premiegravere place quoccupent les attaques par script intersite parmi les types de vulneacuterabiliteacute acquis par le ZDI lanneacutee derniegravere et de lampleur reacuteelle de ces attaques confirmeacutee par des tests reacutepeacuteteacutes les organisations peuvent agrave juste titre les consideacuterer comme une preacuteoccupation majeure en matiegravere de seacutecuriteacute

La Figure 9 deacutecrit le mode opeacuteratoire dune attaque par script intersite classique et comment lexploiter pour deacuterober des informations didentification dauthentification sur des sites strateacutegiques


10

Figure 9 Anatomie dune attaque par script intersite reacutefleacutechie

Site bancaire

Utilisateur creacutedule

Attaquantmalveillant

1 Un attaquant deacutecouvre une faille XSS dans une application Web

3 Lattaquant distribue le lien XSS malveillant via dingeacutenierie sociale agrave des utilisateurs creacutedules

2 Lattaquant creacutee une URL dattaque pour voler des informations sensibles et la deacuteguise afin quelle paraisse leacutegitime

4 Lorsque la victime se connecte JavaScript qui est inteacutegreacute au lien XSS malveillant sexeacutecute et transmet les informations de connexion de la victime agrave lattaquant

La Figure 10 montre les cinq principales vulneacuterabiliteacutes deacutecouvertes dans le cadre de lanalyse statique en 2012 et inclut le pourcentage relatif dapplications toucheacutees par chaque cateacutegorie de vulneacuterabiliteacute

Figure 10 Cinq principales vulneacuterabiliteacutes deacutecouvertes lors de lanalyse statique en 2012 via HP Fortify on Demand

92 88 86

75

61

0

10

20

30

40

50

60

70

80

90

100

Fuites dinformationset gestion des

erreurs inapproprieacutee

Stockagedes donneacutees

cryptographiquesnon seacutecuriseacute

Failles dinjection Reacutefeacuterencedobjet directenon seacutecuriseacutee

Gestion delauthentification et des

session deacutefaillante

Les reacutesultats de lanalyse statique reacutevegravelent que les fuites dinformation les problegravemes de stockage des donneacutees cryptographiques et les failles dinjection sont les vulneacuterabiliteacutes les plus freacutequentes Un eacuteleacutement non citeacute dans cette liste des cinq principales vulneacuterabiliteacutes est que pour 51 des applications il eacutetait question dune attaque par script intersite reacutefleacutechie (voir la Figure 9 ci-avant) Sil ne figure pas dans la liste il reste neacuteanmoins un eacuteleacutement important si on lajoute aux autres reacutesultats de ce rapport

Les reacutesultats de ces jeux deacutechantillons confirment nettement que les applications Web souffrent encore aujourdhui de nombreuses faiblesses pourtant jugeacutees critiques par les diverses normes industrielles en vigueur Les cinq principales cateacutegories de vulneacuterabiliteacute qui dominent les reacutesultats sont souvent celles qui exposent les applications Web agrave des risques importants notamment le vol dinformations lescalade de privilegraveges etc Ces deux jeux deacutechantillons nous amegravenent agrave la conclusion que les organisations ne parviennent toujours pas agrave appliquer des mesures coheacuterentes pour faire face agrave des vulneacuterabiliteacutes omnipreacutesentes comme les scripts intersites et les fuites dinformation


11

Un autre eacuteleacutement agrave retenir est que la vulneacuterabiliteacute la plus employeacutee par des attaquants en relation avec dautres vulneacuterabiliteacutes connues est la fuite dinformation Un eacuteleacutement dinformation preacutecis peut sembler sans inteacuterecirct mais peut pourtant ecirctre le composant cleacute qui permettra agrave un attaquant dimposer une technique pour mener une attaque plus deacutevastatrice encore En somme pour preacuteparer et reacuteussir une attaque des techniques minutieuses de collecte des informations et de reconnaissance sont indispensables

Risquesdesapplications Web eacutetudedecas

ProfildelasocieacuteteacuteGrande entreprise multinationale (plus de 100 000 employeacutes) avec un chiffre daffaires de plus de 82 milliards de dollars pour lexercice fiscal 2012

Cette entreprise dispose dun programme de seacutecuriteacute actif et opeacuterationnel Les reacutesultats montrent les efforts qui sont neacutecessaires pour geacuterer entiegraverement les risques lieacutes agrave la seacutecuriteacute des applications Les reacutesultats qui suivent proviennent de plus de 1 300 eacutevaluations dynamiques uniques meneacutees sur les divers sites de lentreprise Dans legravere de la seacutecuriteacute des applications modernes une vulneacuterabiliteacute est souvent une de trop

Reacutesultats

bull 541 des eacutevaluations ont reacuteveacuteleacute des cookies persistants LAgence europeacuteenne chargeacutee de la seacutecuriteacute des reacuteseaux et de linformation (ENISA) emploie le terme cookies doux-amers pour parler de ces cookies Les cookies persistants augmentent consideacuterablement la probabiliteacute dattaques par relecture en raison de la dureacutee de validiteacute prolongeacutee des cookies La divulgation dinformations sur des ordinateurs publics partageacutes peut eacutegalement produire des cookies persistants Parce que les cookies servent entre autres agrave observer le comportement des utilisateurs il est probable que les avantages potentiels quils preacutesentent pour lentreprise aient quelque peu relayeacute les questions de seacutecuriteacute au second plan

bull Un peu moins de la moitieacute (4832 ) des sites eacutetaient vulneacuterables face agrave une certaine forme dattaque par script intersite

bull Presque un cinquiegraveme (1957 ) des sites contenaient un formulaire de connexion non crypteacute agrave scheacutema mixte ougrave les informations dune page HTTP eacutetaient publieacutees dans une page HTTPS ou inversement

bull 1277 des eacutevaluations eacutetaient vulneacuterables agrave une certaine forme dinjection SQL Le plus intrigant cest que 1097 des eacutevaluations confirmaient les vulneacuterabiliteacutes dinjection SQL agrave laveugle Si lon tient compte du caractegravere particuliegraverement dangereux des injections SQL agrave laveugle et du fait que ces vulneacuterabiliteacutes sont souvent employeacutees pour compromettre un systegraveme ce pourcentage pose de graves problegravemes

bull Un autre cinquiegraveme (197 ) des sites eacutetaient vulneacuterables aux connexions transmises via une connexion non crypteacutee ce qui signifie que le formulaire nutilisait pas le protocole SSL

bull 526 des sites eacutetaient exposeacutes agrave une vulneacuterabiliteacute de lectureinclusion de fichier local Sil eacutetait jugeacute sensible le contenu du fichier pouvait ecirctre utiliseacute pour prendre le controcircle du systegraveme

Des attaques deacutevastatricesOutre des statistiques les organismes chargeacutes de collecter des informations de seacutecuriteacute ont eacutegalement besoin dobservations et dideacutees Dans cette optique la section qui suit propose une liste sommaire des attaques deacutevastatrices que les responsables des tests de peacuteneacutetration chez HP Fortify on Demand ont deacutecouvertes en 2012 Chaque compte a eacuteteacute deacutecouvert moyennant autorisation au cours dopeacuterations approuveacutees meneacutees agrave lencontre de sites de production avec des difficulteacutes techniques allant des plus simples aux plus complexes Le deacutenominateur commun est que toutes les attaques avaient des conseacutequences extrecircmement graves si elles eacutetaient deacutecouvertes par un attaquant malveillant Pour des raisons eacutevidentes les noms des clients nont pas eacuteteacute inclus mais les secteurs eux-mecircmes sont inseacutereacutes dans la liste pour illustrer le danger potentiel et la pertinence des attaques Si ces exemples revecirctent un caractegravere anecdotique par deacutefinition ils profitent de lexpeacuterience et des avis de nos responsables de tests de peacuteneacutetration dune maniegravere que les simples statistiques ne permettent pas Lagrave encore la seacutecuriteacute est plus quune affaire de produits Cest un processus

Attaques par injection et attaques par validation dentreacutee incorrecte Secteurs dactiviteacute peacutetrochimie industrie alimentaire eacutenergie et logicielsTeacuteleacutechargementsdefichiersnonseacutecuriseacutesetconfigurationincorrectedelaseacutecuriteacute Un programme client lourd permettait agrave nimporte quel utilisateur de charger (au moyen de sa fonction de chargement intrinsegraveque) des programmes malveillants sur un serveur Web muni daucune protection contre ce type de programme Environ 30 000 utilisateurs dans le monde entier se servaient de ce programme les risques eacutetaient donc particuliegraverement grands Les fonctions de teacuteleacutechargement de fichiers doivent impeacuterativement faire preuve de meacutefiance agrave leacutegard des types de fichiers acceptables La Figure 11 deacutecrit les conseacutequences de ce sceacutenario


12

Figure 11 Lautorisation de teacuteleacutechargements de fichiers peut avoir des conseacutequences seacutevegraveres

Teacuteleacutechargementsde fichiers

non valideacutes

Aucuneprotectionpar logiciel

anti-programmemalveillant

30 000utilisateurs

sont infecteacutes parle logiciel

malveillant

Injection SQLagravelaveugle les fonctionnaliteacutes daide agrave la recherche (une seacuterie de cases agrave cocher conccedilues pour aider les utilisateurs agrave restreindre leurs critegraveres de recherche) sans validation dentreacutee ont abouti agrave laffichage de 35 bases de donneacutees dID dutilisateur de systegraveme de base de donneacutees et de hachages de mot de passe y compris le compte dadministrateur systegraveme Linjection SQL agrave laveugle peut ecirctre difficile agrave deacuteceler parce quelle geacutenegravere rarement des messages derreur et manifeste un comportement applicatif anormal Les requecirctes parameacutetrables eacutegalement appeleacutees instructions preacutepareacutees empecircchent avec efficaciteacute les attaques par injection SQL si elles ont correctement mises en place5 La Figure 12 deacutecrit cette seacutequence

Instructions SQLentexteclair lors des tests effectueacutes sur une application cliente lourde il a eacuteteacute deacutecouvert que le client exeacutecutait des instructions SQL directement sur le serveur SQL principal avec des autorisations de niveau administrateur sur HTTP Une escalade des privilegraveges utilisateur et la modification des mots de passe furent possibles en soumettant le protocole agrave une ingeacutenierie agrave rebours et en le manipulant (voir la Figure 13)

Inclusiondefichierlocal des techniques de traversement de reacutepertoires (Directory Traversal) et dinclusion de fichier local ont eacuteteacute employeacutees pour afficher le contenu du fichier SAM (Gestionnaire de comptes de seacutecuriteacute) de sauvegarde du serveur Web qui permettait de deacutecoder les mots de passe Au bout de dix minutes il eacutetait possible pour un administrateur local dacceacuteder au systegraveme et de tout compromettre Les routines de validation dentreacutee quelles soient inheacuterentes agrave lapplication ou interviennent au niveau de configuration du serveur Web auraient eacutelimineacute ce vecteur

AttaquesvisantagraveexploiterunemauvaiseconfigurationdeseacutecuriteacuteSecteurs dactiviteacute peacutetrochimie et secteur bancaire internationalImpossibiliteacutederestreindrelaccegravesauxreacutepertoiressensibles dans ce cas le reacutepertoire deacutecouvert eacutetait ldquohttpswwwexamplecompasswordsrdquo Naturellement aucun dossier ldquopasswordsrdquo tout du moins public ne devrait exister Le dossier eacutetait accessible via des navigateurs Web sans aucune authentification et comprenait une liste de reacutepertoires avec des fichiers texte aux noms divers tels que ldquopasswordsprojectrdquo ou mecircme ldquopasswordssystemsrdquo Un simple clic sur un fichier provoquait louverture dun document texte muni dune liste dutilisateurs et de mots de passe au format suivant userpassword Une des listes contenait mecircme ldquosysadminpassword adminpassword etchelliprdquo (voir la Figure 14) Ceci illustre la neacutecessiteacute et limportance de la validation danalyse post-automatique puisque cette vulneacuterabiliteacute qui pose de faibles risques en apparence pouvait aiseacutement passer inaperccedilu aux yeux du client Qui plus est le problegraveme aurait pu ecirctre eacuteviteacute si laccegraves au reacutepertoire avait eacuteteacute restreint comme il le fallait

Leprotocole WebDAVactiveacuteautorisaitlesopeacuterationsdeacutecritureagravedistance Le mode dactivation du protocole WebDAV sur un serveur Web en particulier permettait agrave des utilisateurs dapplications distants de communiquer avec lhocircte et deacutecrire des fichiers dans des reacutepertoires arbitraires Lexploitation de cette vulneacuterabiliteacute permettait de teacuteleacutecharger une porte deacuterobeacutee personnaliseacutee puis de lexeacutecuter en parcourant le chemin daccegraves agrave lURL du fichier reacutecemment transfeacutereacute Une fois exeacutecuteacutee elle offrait la possibiliteacute de controcircler entiegraverement le serveur Web En preacutevoyant de plus amples tests la personne chargeacutee de ces tests pouvait librement poursuivre une attaque contre dautres hocirctes sur le reacuteseau interne de lentreprise processus appeleacute glissement (pivoting) La suppression de laccegraves WebDAV et de meacutethodes HTTP exteacuterieures aurait pu eacuteviter cette attaque

Injection SQLetcommandesdevalidationdentreacuteefaibles Un filtre SQL filtrait tout agrave lexception de lopeacuterateur ldquoORrdquo Cela signifie essentiellement quapregraves insertion de lopeacuterateur ldquoORrdquo dans une instruction SQL chaque commande serait exeacutecuteacutee sur le systegraveme Le parameacutetrage des requecirctes empecircchera les attaques par injection SQL La Figure 15 deacutecrit le deacuteroulement seacutequentiel dune attaque par injection SQL


5 httpswwwowasporgindexphpSQL_Injection_Prevention_Cheat_Sheet

Figure 12 Injection SQL agrave laveugle

Injection SQLagrave laveugle

Voldinformationsutilisateur

Accegraves agraveladministrationsystegraveme

Figure 13 Instructions SQL en texte clair

Protocoledingeacutenierie clientserveur agrave rebours

Exeacutecution SQL

Reacuteinitialisation dumot de passe avec

des privilegravegesplus eacuteleveacutes

Figure 14 Restriction daccegraves impossible

Accegraves au reacutepertoire non restreint

passwrdsprojectuserpassword sysadminmot de passe

passwordssystems fichier

httpswwwexamplecompasswords reacutepertoire

13

Figure 15 Anatomie dune attaque par injection SQL

Site bancaireBase de donneacutees

de la banque

1=1

Attaquant malveillant

1 Lattaquant envoie des informations suppleacutementaires telles quun guillemet ou 1=1 avec des informations de connexion ou inclure des variablespour modifier linstruction SQL originale

3 Une fois que le scheacutema de base de donneacutees a eacuteteacute deacutefini lattaquant peut extraire les donneacutees contenues dans la base de donneacutees notamment les noms dutilisateur les mots de passes les informations de carte de creacutedit etc

2 Avec lapproche par essais et erreurs lattaquant peut construire des arguments SQL pouvant ecirctre utiliseacutes pour reacutecupeacuterer des donneacutees telles que des noms de tableaux ou des noms delignes etc

Mauvaiseconfiguration SAP Linteacutegraliteacute de la base de donneacutees des cartes de creacutedit eacutetait accessible et eacutetait transfeacutereacutee dans un fichier Les commandes configureacutees dans la structure SAP mise en place eacutetaient de qualiteacute meacutediocre et permettaient agrave des repreacutesentants du service clientegravele dexeacutecuter des transactions agrave caractegravere sensible y compris le navigateur de donneacutees HR (SE16) Cette fonction eacutetait exploiteacutee pour parcourir et charger le contenu tout entier de la table des donneacutees des cartes de creacutedit des clients Accessibles de cette maniegravere toutes les donneacutees pouvaient aiseacutement ecirctre exporteacutees agrave laide de comptes SAP avec des privilegraveges moindres

AttaquesparauthentificationparsessionlogiqueetautresattaquesSecteurs dactiviteacute compagnies aeacuteriennes secteur bancaire international et eacutenergieListedebilletsdavionviadesservices Webdecreacuteationdecodes QRmobiles Les testeurs eacutetaient capables de reconstituer agrave rebours une partie de la fonction des services Web pour creacuteer des numeacuteros de billets De faux codes QR de billets davion eacutetaient ainsi geacuteneacutereacutes pour des vols aeacuteriens Il est tout est fait possible que lexploitation de cette fonction ait permis aux attaquants de voler gratuitement En labsence de controcircles preacuteventifs efficaces ils pouvaient senregistrer librement par le biais de leurs appareils mobiles Le recours agrave une fonction de controcircle aleacuteatoire standard des numeacuteros de billets aurait pu eacutegalement eacuteviter ce problegraveme

Figure 16 Creacuteation de mots de passe dynamiques agrave cryptage facilement reacuteversible

AttaqueSQL

Servicedauthen-tification

Web

Capturedu trafic chiffreacute

Deacutesactivationdu chiffrement

du mot depasse

Randomisationdes mots de

passeinsuffisante

Accegravesadministrateur

agrave la basede donneacutees

Deacutesactivation du chiffrement -mot de passe devinable

Accegraves complet agrave labase de donneacutees avec des

autorisations dadministrateur


14

Creacuteationdemotsdepassedynamiquesagravecryptagefacilementreacuteversible lapplication cliente lourde testeacutee communiquait avec un service Web qui se chargeait dabord dauthentifier lutilisateur qui tentait de se connecter Ensuite lapplication demandait le mot de passe au serveur de base de donneacutees principal Au deacutepart le mot de passe eacutetait crypteacute pour la transmission mais simultaneacutement lors dune autre attaque SQL un indicateur de la base de donneacutees a eacuteteacute renverseacute deacutesactivant et annulant ainsi les effets du cryptage Il sest aveacutereacute que le systegraveme mettait en place des mots de passe dynamiques qui changeaient freacutequemment cependant apregraves regroupement des nombreux mots de passe un scheacutema eacutevident est apparu Le mot de passe suivait une chronologie et eacutetait donc facile agrave deviner Un accegraves direct agrave la base de donneacutees avec des autorisations administratives fut confirmeacute et compromit entiegraverement le systegraveme (voir la Figure 16)

Leservice Webautorisaitdesrequecirctes SQLdirectes une application autorisait des connexions agrave sa base de donneacutees principale via un interpreacuteteur Web accessible sur Internet sans authentification Avec des connaissances limiteacutees en SQL un attaquant pouvait aiseacutement extraire toutes les donneacutees enregistreacutees dans la base de donneacutees cliente y compris les deacutetails complets des comptes des utilisateurs noms dutilisateurs mots de passe adresses de messagerie et autres informations didentification personnelle

En partageant les reacutesultats de ces tests de peacuteneacutetration en conditions reacuteelles notre but est dattirer lattention sur la creacuteativiteacute sans bornes et la deacutetermination sans fin des attaquants malveillants Les testeurs de peacuteneacutetration cherchent agrave reproduire ces techniques pour tenter deacutevaluer avec efficaciteacute chaque commande de seacutecuriteacute et sassurer que les donneacutees sensibles et les fonctions applicatives sont proteacutegeacutees Comme le prouvent ces reacutesultats les tests de seacutecuriteacute automatiseacutes seuls ne mesurent pas inteacutegralement la politique globale dun environnement en matiegravere de seacutecuriteacute et doivent ecirctre compleacuteteacutes par une analyse manuelle

Dans la section suivante les chercheurs HP en seacutecuriteacute de logiciels cherchent agrave mettre agrave jour une vulneacuterabiliteacute cruciale souvent utiliseacutee conjointement avec les nombreuses attaques et techniques mentionneacutees plus haut et pour lesquelles une strateacutegie de preacutevention efficace reste globalement agrave mettre en place

En-tecircteX-Frame-Options eacutechecdelancementPour illustrer la nature toujours changeante de la seacutecuriteacute des applications Web les speacutecialistes du groupe HP Software Security Research ont examineacute une vulneacuterabiliteacute deacutejagrave reconnue et officiellement appeleacute script sur plusieurs cadres ou XFS XFS est un outil indispensable pour tout attaquant qui tente deacutelaborer une attaque de hameccedilonnage (phishing) ou dingeacutenierie sociale dans le but de charger un site Web vulneacuterable dans une balise iFrame HTML sur une page malveillante controcircleacutee par un attaquant Ce dernier peut alors extraire des eacuteveacutenements (des seacutequences de touches par exemple) appeleacutes par un utilisateur quelconque sur le site Web cibleacute

Les vulneacuterabiliteacutes XFS ouvrent eacutegalement la voie aux attaques de type clickjacking6 qui trompent les utilisateurs en les incitant agrave cliquer sur des eacuteleacutements preacutecis sur le site Web cibleacute chargeacute agrave linteacuterieur dune balise iFrame invisible Souvent ces reacutesultats aboutissent sur des actions non voulues voire privileacutegieacutees Depuis des anneacutees les chercheurs mettent en garde contre linefficaciteacute des protections par code frame-busting baseacute sur des scripts dans la preacutevention des menaces du XFS Pourtant les deacuteveloppeurs et les administrateurs de serveur qui les assistent ont toujours uniquement recours au meacutecanisme JavaScript (Figure 17) pour deacutetecter des attaques XFS

Les diverses meacutethodes de preacutevention contre XFS se sont maintes fois montreacutees incomplegravetes ou inefficaces Le plus reacutepandu de ces modes de preacutevention est la logique de frame-busting (destruction) de JavaScript ou plus preacuteciseacutement un script cocircteacute client qui ressemble agrave celui preacutesenteacute dans la Figure 175

Figure 17 Logique classique de frame-busting JavaScript

ltscriptgt

if (top=self) toplocationhref = selflocationhref

ltscriptgt


6 cvedetailscomcveCVE-2002-1217

15

Outre les nombreuses variantes de cette technique quil est facile de deacutenicher en ligne des contre-mesures datteacutenuation ont eacutegalement eacuteteacute mises en place pour lutter aussi contre ces variantes avec des regravegles grosso modo eacutequivalentes agrave celles du jeu de la taupe

Comme le montre la Figure 18 la premiegravere vulneacuterabiliteacute XFS documenteacutee a eacuteteacute deacutecouverte il y a plus de 10 ans7 Depuis le clickjacking est devenu une vulneacuterabiliteacute reacutepandue et malgreacute cela moins de un pour cent de nos eacutechantillons incluait loutil de preacutevention le plus connu agrave savoir len-tecircte X-Frame-Options

Figure 18 Bref historique des eacuteveacutenements majeurs lieacutes agrave la deacutetection de failles de type XFS (script sur plusieurs cadres)

29062002Bug iFrame Jesse Rudermana

28102002Premier CVE XFS connub

16112005Echec des techniques de Framec

21052008Premiegravere mention publique de lattribut iFrame sandboxd

12092008Le terme clickjacking est inventeacutee

26012009Premier navigateur prenant en charge des options X-Framef

17062010Busting Frame Bustinga Study of ClickjackingVulnerabilities on Popular Sitesg

27012012Facebook poursuit uneentreprise de clickjackingh

11072012Dernier conseilXFS connui

2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013

a httpsbugzillamozillaorgshow_bugcgiid=154957 b httpwwwcvedetailscomcveCVE-2002-1217 c httpcryptostanfordeduframebust d httphtml5orgtoolsweb-apps-trackerfrom=1642ampto=1643 e httpwwwsectheorycomclickjackinghtm f httpblogsmsdncombiearchive20090126internet-explorer-8-release-candidate-now-availableaspx g httpcdnlytlpublicationsbusting-frame-busting-a-study-of-clickjacking-vulnerabilities-on-popular-sitespdf h httpwwwguardiancouktechnology2012jan27facebook-sues-clickjacking-firm-adscend i httposvdborgshowosvdb83762

Lhistoire du XFS (Cross-Frame Scripting ou scripts sur plusieurs cadres) remonte agrave la publication dun rapport relativement banal sur un comportement observeacute par Jesse Ruderman en 20028 et devenu aujourdhui un eacuteleacutement moteur dun autre pheacutenomegravene communeacutement appeleacute clickjacking Un eacuteleacutement cleacute de la reacutegression identifieacutee en matiegravere de seacutecuriteacute eacutetait la deacutecision dajouter lattribut sandbox agrave leacutebauche de la speacutecification HTML5 pour la balise iFrame au milieu de lanneacutee 2008

Les chercheurs ont deacutemontreacute que plusieurs contre-mesures datteacutenuation eacutetaient possibles avec des bugs des navigateurs ou des astuces JavaScript Le dernier eacuteleacutement ajouteacute agrave cette liste comme le montre la Figure 19 est lutilisation dune fonction de seacutecuriteacute introduite dans la speacutecification HTML5 sous la forme dun attribut sandbox iFrame que les attaquants peuvent exploiter pour deacutesactiver les protections de frame-busting de JavaScript

Figure 19 Attribut sandbox iFrame

ltiframe sandbox=rdquoallow-scriptsrdquo src=rdquohttpexamplecomrdquogtltiframegt

Lobjet de lattribut sandbox est daccorder lautorisation dexeacutecuter des scripts (allow-scripts) dans le contenu cibleacute A titre accessoire toutes les logiques de frame-busting employeacutees par examplecom sont effectivement deacutesactiveacutees en lui refusant lautorisation allow-top-navigation dans sa speacutecification sandbox

Gracircce agrave lattribut sandbox cette technique permet agrave un attaquant de deacutejouer de maniegravere efficace toutes les tentatives de frame-busting que megravenent les deacuteveloppeurs pour se proteacuteger de tout encadrement de site et toute opeacuteration de clickjacking par des tiers Les eacutediteurs de navigateurs ont introduit et valideacute une technique de preacutevention baseacutee sur des strateacutegies bien plus forte gracircce agrave len-tecircte X-Frame-Options Les deacuteveloppeurs peuvent se servir de cet en-tecircte pour dicter au navigateur les actions adeacutequates agrave entreprendre si leur site est inclus dans un iFrame Malheureusement ladoption de cette fonction parmi les deacuteveloppeurs est tregraves lente et offre aux attaquants un vaste terrain de sites potentiellement exploitables agrave mesure quils deacutecouvrent de nouvelles techniques pour contourner les scripts de frame-busting Ceci rend plus indispensable encore ladoption et la mise en œuvre de len-tecircte X-Frame-Options puisque ce dernier constitue la solution de facto agrave ce problegraveme et reste en vigueur mecircme lorsque le nouvel attribut sandbox HTML5 est utiliseacute Voilagrave donc ce qui motive notre projet de recherche et ce qui est agrave lorigine de notre question de deacutepart Combien de domaines incluent des en-tecirctes X-Frame-Options et combien le font correctement


7 cvedetailscomcveCVE-2002-1217 8 httpsbugzillamozillaorgshow_bug

cgiid=154957

16

Collection de jeux deacutechantillons Dans le cadre de cette eacutetude le groupe HP Fortify Software Security Research a meneacute des recherches pour eacutevaluer agrave quel point les faibles pratiques de preacutevention des attaques XFS restent aujourdhui adopteacutees et font autoriteacute Nos reacutesultats soulignent eacutegalement la reacuteticence et le rythme dadoption tregraves lent dautres meacutethodes plus seacutecuriseacutees recommandeacutees par des speacutecialistes des navigateurs et des experts en seacutecuriteacute

Alexa9 fut utiliseacute pour renseigner une collection de 100 000 sites Web (les plus connus) et geacuteneacuterer une liste distribueacutee dans de nombreux secteurs diffeacuterents Une fois la liste de deacutepart creacuteeacutee avec ses 100 000 URL les demandes de niveau supeacuterieur furent assembleacutees en concateacutenant ldquohttprdquo dans lURL obtenue Par exemple

ldquohttprdquo + exemplecom = httpexemplecom

Ensuite la nouvelle URL composeacutee fut demandeacutee et la reacuteponse obtenue examineacutee de maniegravere passive agrave la recherche des eacuteleacutements suivants

bull La preacutesence dun en-tecircte X-Frame-Options et de ses valeurs respectives

bull La preacutesence dun champ de mot de passe dans la reacuteponse de la demande de niveau supeacuterieur Un champ de mot de passe est censeacute indiquer un niveau de sensibiliteacute qui doit ecirctre proteacutegeacute par lapplication

bull Si la preacutesence de len-tecircte neacutetait pas respecteacutee lURL cible eacutetait soumise agrave des tests suppleacutementaires afin de distinguer si une tentative de deacutejouer les attaques XFS avait eu lieu Le recours agrave la preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade a eacuteteacute enregistreacute pour une analyse ulteacuterieure

Reacutesultats90 des eacutechantillons analyseacutes nont jamais rien tenteacute pour se proteacuteger des attaques XFS De tous les domaines doteacutes dune protection active contre les attaques XFS 62 ont recours agrave des meacutecanismes de preacutevention faibles fondeacutes sur les scripts Sur les 100 000 domaines testeacutes 19 848 disposaient de champs de mot de passe dans la demande de niveau supeacuterieur avec seulement 101 domaines preacutecisant un en-tecircte X-Frame-Options Celasignifieque01 deseacutechantillonssontproteacutegeacutesDe plus plus de 99 des eacutechantillons oubliaient de speacutecifier un en-tecircte X-Frame-Options tandis que 19 dentre eux avaient une raison dinclure len-tecircte mais ne lont pas fait

Les reacutesultats montrent que soit les deacuteveloppeurs ne sont pas suffisamment informeacutes des risques que posent les vulneacuterabiliteacutes XFS soit ils ne souhaitent consacrer aucun effort agrave la protection de leurs visiteurs Si 2 307 eacutechantillons deacutevoilaient des protections contre les attaques XFS seulement 38 ont opteacute pour lutilisation de len-tecircte X-Frame-Options preacuteconiseacute 1 432 eacutechantillons ont montreacute quils employaient toujours des techniques de preacutevention et datteacutenuation fondeacutees sur JavaScript ou les feuilles de style en cascade qui se sont aveacutereacutees insuffisantes (voir la Figure 20)

Les 875 domaines fondeacutes sur len-tecircte X-Frame-Options affichaient la distribution de valeurs suivante

1 702 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur SAMEORIGIN

2 151 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur DENY

3 13 des 875 domaines eacutetaient deacutefinis avec lattribut Allow-from

4 8 des 875 valeurs fournies eacutetaient conformes agrave leacutebauche de lIETF10

Aucun des 13 domaines utilisant lattribut Allow-from ne preacutecisait un caractegravere geacuteneacuterique () reacuteduisant les risques lieacutes agrave une politique de libre accegraves La Figure 21 preacutesente ces valeurs sous forme de pourcentages


9 httpsbugzillamozillaorgshow_bugcgiid=154957

10 httptoolsietforghtmldraft-ietf-websec-x-frame-options-01

Figure 20Preacutevention des risques lieacutes aux scripts sur plusieurs cadres

Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade 62

Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade

Options X-Frame 38

Options X-Frame

Figure 21Reacutepartition des valeurs den-tecircte X-Frame-Options fournies

REFUS 17 Allow-from

2 Autres (valeurs non en conformiteacute)1

MEcircME ORIGINE 80

17

Encadrementintersites conclusionIl est eacutevident que toutes les ressources nont pas besoin decirctre proteacutegeacutees contre les attaques XFS Cependant il demeure des situations ougrave la mise en place dune protection adeacutequate est justifieacutee et indispensable Une mesure employeacutee pour identifier ces cas au cours de cette eacutetude eacutetait la preacutesence dun champ de saisie de mot de passe dans un formulaire Les pages dauthentification sont les plus exposeacutees agrave une attaque de type clickjacking En se focalisant sur les pages munies de champs pour la saisie des mots de passe lanalyse tente deacutetablir un lien entre la sensibiliteacute dune ressource et les efforts investis pour la proteacuteger Une des statistiques les plus surprenantes dans lanalyse est que seulement 103 des 100 000 domaines proteacutegeaient comme il se doit les pages avec des champs de mots de passe confidentiels soit un taux exorbitant de 010 qui suggegravere que la puissance et lefficaciteacute de len-tecircte ont fait lobjet dune mauvaise promotion nont pas obtenu ladheacutesion des administrateurs des serveurs ou nont pas seacuteduit les deacuteveloppeurs

Il convient de souligner que si un peu plus de 80 des reacuteponses ne contenaient aucun champ de mot de passe cela ne veut pas dire pour autant quil ne faut pas proteacuteger le contenu Autrement dit leacutechantillon nincluait aucun champ de mot de passe dans la demande de niveau supeacuterieur Il est donc tregraves probable que beaucoup dautres sites sexposent agrave des risques en avanccedilant plus loin dans larborescence du site La mesure la plus importante agrave noter est le pourcentage remarquable de sites sans en-tecircte X-Frame-Options soit 99

Apregraves une analyse approfondie des reacutesultats des recherches speacutecialiseacutees consacreacutees aux attaques XFS la section qui suit se concentre agrave nouveau sur ce qui semble ecirctre le sujet de conversation le plus populaire en 2012 en matiegravere de seacutecuriteacute la seacutecuriteacute des applications mobiles

Seacutecuriteacutedesapplicationsmobiles

Dix secondes dans une file dattente nimporte ougrave suffisent pour se rendre compte que lutilisation dappareils mobiles a litteacuteralement exploseacute En fait pour la premiegravere fois 2012 est lanneacutee pendant laquelle le nombre de smartphones vendus a deacutepasseacute le nombre dordinateurs portables et dordinateurs de bureau agrave la fois11 Cette augmentation a eacuteteacute suivie aussi dune hausse proportionnelle des risques surtout au moment ougrave les entreprises essaient de mettre agrave profit les avantages quoffre la mobiliteacute Comme nous lavons vu plus haut lOSVDB a signaleacute une hausse de 68 du nombre de vulneacuterabiliteacutes signaleacutees pour les technologies mobiles depuis 2011 soit une augmentation de 787 sur les cinq derniegraveres anneacutees Lors de nos tests nous sommes toujours revenus au mecircme constat Si vous posseacutedez des donneacutees des attaquants chercheront agrave sen emparer

Pour eacutevaluer leacutetat actuel de la seacutecuriteacute des applications mobiles leacutequipe HP Fortify on Demand a rassembleacute les reacutesultats de plus de 70 applications mobiles agrave la recherche de failles de seacutecuriteacute Ce jeu deacutechantillons concernait plus de 50 organisations uniques et de nombreux secteurs au niveau local et international Il peut donc ecirctre consideacutereacute comme une repreacutesentation relativement preacutecise dune application mobile moyenne Les reacutesultats montrent que les vulneacuterabiliteacutes qui compromettent la seacutecuriteacute des applications mobiles sont les mecircmes que pour les applications classiques Ils montrent eacutegalement quun problegraveme surtout se distingue des autres Dans le paysage informatique actuel la fuite dinformation est un problegraveme particuliegraverement reacutepandu et neacutefaste La demande croissante dinformations des travailleurs mobiles allieacutee aux services de cloud de plus en plus omnipreacutesents et agrave une hausse des appareils grand public non geacutereacutes sur le reacuteseau dentreprise repreacutesente un deacutefi notable pour de nombreuses organisations

Fuite de donneacutees sensibles sur des canaux non seacutecuriseacutesLa fuite de donneacutees est un problegraveme de longue date pour les applications Web Si elle peut paraicirctre un problegraveme dampleur modeacutereacutee elle implique souvent une information en apparence inoffensive qui permet agrave un attaquant de renforcer sa strateacutegie dattaque pour mener une attaque plus dangereuse encore La mecircme chose vaut pour les applications mobiles Plus des trois quarts (77 ) des applications mobiles dans notre eacutetude eacutetaient vulneacuterables et en proie agrave des fuites dinformations Nous avons deacutecouvert que les donneacutees personnelles dun utilisateur eacutetaient souvent transmises via des protocoles reacuteseau non crypteacutes comme le protocole HTTP Il sagissait pour la plupart dinformations simples comme des noms des adresses et des numeacuteros de teacuteleacutephone Cependant dans notre jeu deacutechantillons ces donneacutees comprenaient eacutegalement lemplacement actuel de lutilisateur ainsi que lidentifiant unique de lappareil (eacutegalement appeleacute UDID)


11 voiceswashingtonpostcomposttech201011smartphone_sales_to_pass_compuhtml

18

LUDID est primordial pour un appareil car il peut servir agrave des attaques extrecircmement cibleacutees contre des utilisateurs en particulier Si les donneacutees de geacuteolocalisation lidentifiant unique de lappareil et les donneacutees personnelles eacutetaient intercepteacutees sur une application vulneacuterable ce que cela implique dans la reacutealiteacute est eacutetonnant Un attaquant pourrait localiser une cible dans le monde reacuteel et les possibiliteacutes qui souvriraient alors agrave lui seraient illimiteacutees Cest la porte ouverte agrave un sceacutenario effroyable que la plupart des gens ne soupccedilonnent pas Bien entendu lexploitation dapplications simples et banales peut eacutegalement avoir lieu Imaginez le sceacutenario suivant Si lapplication transmet lUDID le nom complet ladresse et ainsi de suite agrave un service Web vulneacuterable et que ce dernier est la cible potentielle dune attaque par injection SQL on conccediloit aiseacutement que chaque bit de donneacutees sur cet appareil mobile soit accessible Il est eacutetonnant de voir jusquougrave une fuite dinformation peut mener un attaquant si les circonstances jouent en sa faveur et que tout alors est du domaine du probable voire du possible

Les donneacutees transmises sur des canaux non seacutecuriseacutes ne se limitaient pas aux donneacutees personnelles Les donneacutees applicatives elles non plus neacutetaient pas proteacutegeacutees Nous avons deacutecouvert que des informations de connexion des informations didentification utilisateur des ID de session des jetons et des donneacutees dentreprise sensibles eacutetaient transmises via des protocoles reacuteseau non crypteacutes agrave linstar du protocole HTTP Imaginez les conseacutequences pour une application bancaire vulneacuterable Si des informations didentification des identificateurs de session des informations didentification personnelle ou dautres donneacutees strateacutegiques sont transmises vers un serveur principal la transmission se doit decirctre seacutecuriseacutee sans quoi les donneacutees peuvent ecirctre intercepteacutees par un attaquant au moyen doutils ou dapplications de capture de paquets reacuteseau courants (par exemple DroidSheep)

Les recherches ont montreacute que 375 des applications pouvaient ecirctre la cible dune vulneacuterabiliteacute impliquant une forme quelconque dautorisation notamment des mots de passe en texte clair des mots de passe codeacutes en dur et des mots de passe inteacutegreacutes agrave la reacuteponse Ce pourcentage bien plus eacuteleveacute que pour les applications dites traditionnelles prouve eacutegalement que les deacuteveloppeurs dapplications mobiles doivent travailler davantage pour proteacuteger leurs donneacutees

Dautres vulneacuterabiliteacutes deacutetecteacutees en nombres importants incluaient les attaques de type stack-smashing Plus de la moitieacute des vulneacuterabiliteacutes (5545 ) noffraient aucune protection adeacutequate contre ce type dattaque Si cet oubli nentraicircne pas lexeacutecution du code il peut quand mecircme geacuteneacuterer une panne injustifieacutee de lapplication vulneacuterable

Qui plus est 135 des applications eacutetaient vulneacuterables agrave des attaques XSS Ceci fut une reacuteelle surprise puisque tous les autres ensembles dapplications que nous avons testeacutes mobiles et traditionnels reacuteveacutelaient des nombres de vulneacuterabiliteacutes XSS plus eacuteleveacutes Un examen plus attentif de ces nombres a montreacute que les applications vulneacuterables eacutetaient des applications destineacutees autant agrave la gestion de la finance que des bases de donneacutees En dautres termes le faible pourcentage ne reacuteduisait pas limpact potentiel

Les accegraves non autoriseacutes concernent quasiment la moitieacute des applications mobilesNous avons chercheacute dautres donneacutees en examinant les reacutesultats obtenus par notre partenaire Security Compass lors de ses tests sur dautres applications A de nombreux eacutegards ils confirment les chiffres eacutevoqueacutes preacuteceacutedemment

48 des applications eacutetaient la proie de vulneacuterabiliteacutes daccegraves non autoriseacute Elles valident les vulneacuterabiliteacutes dauthentification (375 ) que nous avons eacutevoqueacutees dans notre eacutechantillon plus haut Les chiffres montrent que les deacuteveloppeurs dapplications mobiles doivent autant se concentrer sur la preacutevention des accegraves non autoriseacutes sur les applications mobiles que sur les moyens de faciliter laccegraves pour les utilisateurs leacutegitimes

37 des applications posaient des problegravemes de divulgation dinformations sensibles 26 avaient recours agrave des pratiques de connexion meacutediocres et 19 affichaient des messages derreur de mauvaise qualiteacute qui reacuteveacutelaient des informations susceptibles decirctre exploiteacutees par des attaquants Ceci corrobore nos donneacutees preacuteceacutedentes car nous avons vu agrave quel point les fuites dinformations eacutetaient importantes Lors du codage des applications mobiles les deacuteveloppeurs ne tiennent pas compte de ce quimplique la seacutecuriteacute pour le stockage la transmission et laccegraves des donneacutees

33 des applications eacutetaient vulneacuterables agrave des attaques XSS Des tests reacutepeacutetitifs montrent que les attaques par script intersite (XSS) sont autant une menace pour les applications mobiles que pour les applications stationnaires Ces reacutesultats sont en phase avec ce que nous avons constateacute lors des tests des applications traditionnelles


19

26 des applications employaient une meacutethode de cryptage inadapteacutee Le cryptage sur des ordinateurs dentreprise est aujourdhui une pratique standard pour la plupart des entreprises du classement Fortune 500 Il y a dix ans la presse regorgeait dhistoires de donneacutees deacuterobeacutees sur des ordinateurs perdus Les risques dans ce domaine se sont reacuteduits dune part gracircce aux mesures leacutegislatives mises en places et dautre part parce que les entreprises ont eu loccasion de lapprendre agrave leurs deacutepens Pourtant ces mecircmes pratiques standard ne sont pas appliqueacutees aux appareils mobiles et agrave legravere du BYOD (Bring your own device) cela peut saveacuterer dangereux

Les dix principales vulneacuterabiliteacutes des applications mobiles Le partenaire dHP Security Compass a eacutegalement analyseacute les vulneacuterabiliteacutes des applications mobiles et les a eacutetiqueteacutees par type (voir la Figure 22) Ainsi donc agrave quoi les applications moyennes sont-elles le plus vulneacuterables par ordre de preacutevalence des vulneacuterabiliteacutes A quels types dattaques par incident les applications mobiles sont-elles le plus vulneacuterables

Sur les dix principales vulneacuterabiliteacutes constateacutees en matiegravere dapplications mobiles XSS affichait le deuxiegraveme taux le plus eacuteleveacute et repreacutesentait 15 de toutes les vulneacuterabiliteacutes deacutecouvertes dans ce jeu deacutechantillons Les chiffres confirment eacutegalement que lorsquelles sont consigneacutees par ordre doccurrence les vulneacuterabiliteacutes de fuite dinformation et daccegraves non autoriseacuteauthentification indiquent aux deacuteveloppeurs dapplications mobiles comment ils peuvent mieux seacutecuriser leurs applications en concentrant davantage leurs efforts sur ces domaines

Rechercheentechnologiemobile lacommunicationenchampproche (NFC)pourlesapplicationsmobilesdepaiementNous avons constateacute que les vulneacuterabiliteacutes lieacutees aux applications mobiles eacutetaient en hausse constante mais il est indispensable eacutegalement danticiper et de connaicirctre les nouvelles vulneacuterabiliteacutes qui verront le jour Les nouvelles technologies introduisent en permanence des failles de seacutecuriteacute possibles La plate-forme mobile ne fait pas exception Lune de ces nouvelles technologies est la communication en champ proche (NFC) La communication en champ proche (NFC) deacutesigne une meacutethode de communication de donneacutees sans contact entre des appareils proches les uns des autres Elle a deacutejagrave eacuteteacute adopteacutee en Europe et en Asie et fait depuis peu des adeptes en Ameacuterique du Nord Le Forum NFC (consortium regroupant plusieurs membres tels que Sony Nokia et Philips) applique des normes strictes pour les fabricants dappareils compatibles NFC Les eacutediteurs dapplications disposent ainsi dune architecture seacutecuriseacutee et dune infrastructure compatible qui leur permettent dexploiter cette technologie pour des applications de paiement mobiles et le partage de donneacutees (par exemple leacutechange de devises entre homologues)

Il existe actuellement plusieurs smartphones compatibles NFC Cest le cas du Googletrade Nexus 5 du Samsung Galaxy S II et des BlackBerry Bold 9900 et 9930 Plusieurs socieacuteteacutes exploitent aujourdhui cette technologie

bull Google Wallet conteneur seacutecuriseacute pour les informations de carte de creacutedit qui facilite les transactions NFC

bull MasterCard PayPass service de paiement sans contact (actuellement pris en charge dans Google Wallet)

bull Visa payWave service de paiement sans contact

bull PayPal meacutethode bump (application Bump) pour le transfert dargent ou la reacutealisation de paiements entre utilisateurs

bull Apple iPhone prise en charge de la NFC attendue dans une prochaine version (non confirmeacutee)12

Problegravemes de seacutecuriteacutePlusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (donneacutees de carte de creacutedit ou numeacuteros de comptes) sont transmises via un canal NFC sur un appareil mobile Voici des exemples de cas reacuteels constateacutes reacutecemment dans le domaine de la seacutecuriteacute

Cas 1La technologie NFC est employeacutee dans le cadre de solutions de paiement grand public avec deux modes de mise en œuvre distincts

bull Puce NFC dans des cartes de creacutedit grand public telles que MasterCard PayPass et Visa payWave

bull NFC utiliseacutee dans des solutions de portefeuille mobile


12 Il existe actuellement des eacutediteurs agrave linstar de DeviceFidelity qui proposent des composants tiers qui reproduisent la prise en charge de la communication en champ proche (NFC) pour les appareils iPhone

Figure 22Preacutevalence des dix principales vulneacuterabiliteacutes (en pourcentage)

Accegraves non autoriseacute 18

Scripts intersites 15

Divulgation dinformations sensibles 12

Traitementnon seacutecuriseacute des sessions 11

Vulneacuterabiliteacutes du traitement des cookies 9

Meacutethode de cryptage inadapteacutee 9

Pratiques de connexion meacutediocres 8

Saisie semi-automatique sur des formulaires agrave donneacutees sensibles 6

Informations didentificationen texte clair 6

Messages derreur de mauvaise qualiteacute 6

20

Le deacutefi du premier mode de mise en œuvre est double le premier est que pour la plupart des eacutemetteurs de cartes de creacutedit linstallation de la puce NFC est obligatoire le deuxiegraveme est que par deacutefinition la puce NFC est toujours activeacutee Par exemple si la carte de creacutedit dun utilisateur est dans le champ dun lecteur NFS actif comme celui que lon rencontre dans un terminal de point de vente la carte de creacutedit transmet automatiquement le numeacutero de carte de creacutedit de lutilisateur au lecteur NFS de reacuteception A preacutesent imaginez le sceacutenario pour les appareils mobiles les plus modernes eacutequipeacutes de puces NFS inteacutegreacutees Dans le monde dAndroid il existe des applications conccedilues pour activer la puce NFC de lappareil mobile pour reproduire le comportement du lecteur NFS dun terminal de point de vente A laide dun appareil mobile ou dune application de ce genre un attaquant peut potentiellement activer la puce NFC de son appareil Android croiser des gens dans un endroit peupleacute et tenter danalyser leurs cartes de creacutedit pour recueillir leur numeacutero de compte permanent (PAN)

Les solutions de portefeuille mobile NFC sont souvent vulneacuterables agrave ce mecircme type dattaque si la solution concerneacutee ne deacutesactive pas ou ne retire pas la puce NFC une fois lexeacutecution dune transaction termineacutee Heureusement cette vulneacuterabiliteacute peut facilement ecirctre reacutesolue par des deacuteveloppeurs de solutions de portefeuille mobile sils retirent la puce NFC apregraves usage

Cas 2Plusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (par exemple des donneacutees de carte de creacutedit ou des numeacuteros de comptes) sont transmises via un canal NFC

bull Ecoute tentative dintercepter la communication des donneacutees de transmission NFC (par exemple proxy NFC)

bull Manipulation des donneacutees tentative de manipuler la communication des donneacutees de transmission NFC (par exemple pour identifier des reacutesultats erroneacutes)

bull Attaques par interception tentative dexploitation des modes actifpassif de lappareil pour envoyer et recevoir la communication des donneacutees de transmission NFC

bull Vol tentative dacceacuteder sans autorisation agrave lapplication de paiement mobile (comme si lappareil a eacuteteacute voleacute ou perdu) et examen des fichiers stockeacutes sur lappareil agrave la recherche dinformations sensibles

Cas 3Au cœur mecircme de la fonction NFC se trouve un composant appeleacute eacuteleacutement seacutecuriseacute Deux types de mise en œuvre de cet eacuteleacutement sont possibles (1) les eacuteleacutements incorporeacutes dans lappareil et (2) les eacuteleacutements chargeacutes dans une carte SIM Dans les cas ougrave leacuteleacutement seacutecuriseacute est chargeacute dans une carte SIM il est possible que la carte SIM soit retireacutee et eacutechangeacutee sous les yeux dun utilisateur creacutedule Cette situation aboutit agrave des sceacutenarios dattaque semblables aux suivants

bull Echange de carte SIM avec un autre appareil (du mecircme type) pour tenter dacceacuteder au contenu de leacuteleacutement seacutecuriseacute Dans certains cas lutilisation dun appareil de type diffeacuterent peut offrir un accegraves suppleacutementaire aux informations de leacuteleacutement seacutecuriseacute sil nest pas mis en œuvre de maniegravere seacutecuriseacutee Par exemple il existe un risque de contournement de lapplication de paiement ou de la protection du mot de passe au niveau du teacuteleacutephone en cas deacutechange de carte SIM dans un teacuteleacutephone eacutequivalent avec lapplication de paiement et sans mot de passe

bull Identification des donneacutees contenant des informations sensibles dans leacuteleacutement seacutecuriseacute situeacute dans la carte SIM apregraves une opeacuteration de restauration sur un autre appareil Il peut sagir aussi dattaques visant agrave cloner ou copier la carte SIM au moyen dun mateacuteriel externe

Notez que la difficulteacute daccegraves agrave leacuteleacutement seacutecuriseacute offre une certaine garantie sur lenvironnement de seacutecuriteacute de leacuteleacutement seacutecuriseacute sur lappareil cible

Cas 4Dans certains cas il est possible que limpleacutementation de lapplet VMPA dans leacuteleacutement seacutecuriseacute nait pas tenu compte de tous les eacuteleacutements de seacutecuriteacute Il peut sagir par exemple dune signature et dun controcircle daccegraves insuffisants de lapplet VMPA qui permettent agrave une application quelconque de deacutemarrer et dy soumettre des requecirctes Cette situation peut offrir agrave une application non autoriseacutee la possibiliteacute dappeler lapplet VMPA via la commande APDU (JSR 177) Une requecircte bien formuleacutee peut potentiellement permettre dactiver la radio NFC et de transmettre des informations de carte de creacutedit


21

Bien que des informations et une analyse exactes peuvent ecirctre obtenues agrave partir dun appareil dinvestigation (si un accegraves agrave ce type de mateacuteriel est disponible) il nexiste pour lheure aucun outil autorisant laccegraves agrave des informations de leacuteleacutement seacutecuriseacute Leacuteleacutement seacutecuriseacute comme son nom lindique fournit des meacutecanismes de seacutecuriteacute preacutecis (par exemple controcircle daccegraves cryptage et reacutepartition) qui empecircchent lextraction dinformations sensibles eacuteventuelles Cest pourquoi un accegraves dinvestigation explicite agrave leacuteleacutement seacutecuriseacute nest actuellement pas possible mecircme avec un outil dinvestigation distribueacute par les leaders du marcheacute

RecommandationsIl existe des mesures que les organisations peuvent prendre pour reacuteduire les risques que posent les failles de seacutecuriteacute des applications mobiles Avant tout les applications doivent ecirctre manuellement controcircleacutees et eacutevalueacutees avant le lancement des produits afin de deacuteterminer la preacutesence de vulneacuterabiliteacutes dinjection ou de vulneacuterabiliteacutes de fuite dinformation Le code doit ecirctre analyseacute via une analyse statique au moment de le deacutevelopper pour y rechercher des failles Comme pour toutes les applications il est moins coucircteux de geacuterer des failles de seacutecuriteacute lors de la phase de deacuteveloppement quau moment de leur diffusion

Les normes de transmission seacutecuriseacutee des donneacutees doivent ecirctre incluses dans le cahier des charges de toutes les applications surtout si ces derniegraveres sont eacutelaboreacutees par des deacuteveloppeurs tiers Il en va de mecircme pour le stockage seacutecuriseacute des donneacutees et le journal des applications Des exigences raisonnables en matiegravere daffichage des communications entre applications et dautorisations dans ces derniegraveres doivent ecirctre rigoureusement deacutefinies Tous ces aspects doivent ecirctre geacutereacutes lors de la phase de deacutefinition des exigences et testeacutes lors du deacuteveloppement Au moment dexeacutecuter les tests de seacutecuriteacute et lanalyse sur les applications mobiles les services Web cocircteacute serveur et les API avec lesquels les clients mobiles communiquent doivent ecirctre pris dans leur contexte et analyseacutes pour y deacuteceler des vulneacuterabiliteacutes Des failles agrave haut risque peuvent passer agrave la trappe si ces deux eacuteleacutements sont testeacutes et compareacutes hors de leur contexte

Conclusions

Lobjectif de ce rapport est de fournir aux organisations toutes les informations de seacutecuriteacute qui les aideront agrave mieux comprendre comment deacuteployer les ressources limiteacutees dont elles disposent pour minimiser au maximum leurs risques en matiegravere de seacutecuriteacute A cet effet les tendances et les enseignements agrave tirer de lanneacutee 2012 sont nombreux et doivent ecirctre pris en compte pour la ou mecircme les anneacutees qui viennent

Militarisation des vulneacuterabiliteacutes Les attaquants ne cesseront jamais de militariser les vulneacuterabiliteacutes pour mener agrave bien leurs activiteacutes malveillantes Ceux qui eacutelaborent les kits dexploitation continueront de se focaliser sur des vulneacuterabiliteacutes dans les logiciels les plus reacutepandus ciblant le plus souvent des navigateurs et des plug-ins de navigateur tels que Oracle Java et Adobereg Flash De mecircme le nombre dattaques meneacutees publiquement agrave lencontre de technologies et dentreprises speacutecifiques continuera daugmenter Des organisations criminelles des Etats-nations et des hacktivistes se serviront toujours des cyber-attaques comme moyen duniformiser les regravegles du jeu contre des adversaires riches ou puissants mecircme si les reacuteelles motivations derriegravere ces attaques resteront souvent difficiles agrave deacuteterminer

Vulneacuterabiliteacutes des technologies mobilesLadoption croissante des technologies mobiles et leur utilisation au sein de lentreprise engendreront toujours des risques consideacuterables Nombre de gens lont deacutejagrave constateacute les programmes malveillants deacuteployeacutes sur les marcheacutes qui opposent Android et Apple poursuivent leur croissance Laggravation de ce problegraveme est essentiellement lieacutee au fait que les entreprises ne disposent pas du mecircme type de controcircle sur ces appareils que sur des PC Au moment ougrave le BYOD (Bring your own device) devient la norme et que ladoption des appareils mobiles prend de lampleur on peut sattendre agrave une hausse proportionnelle du nombre de failles chez les applications mobiles tendance qui devrait se maintenir dans un avenir preacutevisible


22

DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables

Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications

Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables

Pourensavoirplusconsultezlapage Web hpcomgoSIRM


Evaluer ce documentPartager avec des collegravegues

Abonnez-voussur hpcomgogetupdated

ImpressionnumeacuteriqueHPIndigo


Contributeurs

Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees

Contributeur Titre

Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand

Brian Hein Chercheur en seacutecuriteacute HP Security Research

Patrick Hill Chef de produit senior HP DVLabs

Adam Hils Chef de produit senior HP TippingPoint

Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research

Jason Lancaster Chercheur en seacutecuriteacute HP Security Research

Mark Painter Directeur Marketing Produits HP Fortify

John Pirc Directeur Seacutecuriteacute HP Security Research

Joe Sechman Directeur groupe HP Software Security Research HP Security Research

Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research

Ryan Strecker Directeur Marketing Produits HP TippingPoint

Jewel Timpe Directeur groupe Malware Research HP Security Research

copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document

Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales

4AA4-5495FRE feacutevrier 2013

Preacutesentation








La chasse aux vulneacuterabiliteacutes 19 de vulneacuterabiliteacutes en plus en 2012 quen 2011




Vulneacuterabiliteacutes des applications Web



Seacutecuriteacute des applications mobiles





Recommandations

Conclusions





Contributeurs


Table des matiegraveres3 Preacutesentation







4 Tendances des vulneacuterabiliteacutes

La chasse aux vulneacuterabiliteacutes 19 de vulneacuterabiliteacutes en plus en 2012 quen 2011




9 Vulneacuterabiliteacutes des applications Web



17 Seacutecuriteacute des applications mobiles





Recommandations

21 Conclusions





23 Contributeurs

3

Preacutesentation




















4











0

2 000

4 000

6 000

8 000

10 000

12 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012

Nom

bre

tota

l de

vuln

eacuterab

iliteacute

s


5










0

2 000

4 000

6 000

8 000

10 000

12 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012

Zeacutero 1 2 3 4 5 6 7 8 9 10


6




8

2002 2007 2012

17

75

14

22 64

20

36

44





0

600

1 200

1 800

2 400

3 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012




Injection SQL

Scripts intersites





7


0

2 000

4 000

6 000

8 000

10 000

12 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012





0

50

100

150

200

250

300

2008 2009 2010 2011 2012



8



0

50

100

150

200

250

2008 2009 2010 2011 2012
















9





45

26 25

13

9

0

5

10

15

20

25

30

35

40

45

50


Layer insuffisante





Failles dinjection




10


Site bancaire









92 88 86

75

61

0

10

20

30

40

50

60

70

80

90

100











11





Reacutesultats










12



non valideacutes



30 000utilisateurs


malveillant















Exeacutecution SQL








13



de la banque

1=1








AttaqueSQL


Web



du mot depasse


passeinsuffisante







14









ltscriptgt


ltscriptgt



15













2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013










cgiid=154957

16






















Options X-Frame 38

Options X-Frame


REFUS 17 Allow-from


MEcircME ORIGINE 80

17










18











19




























20














21




Conclusions





22










Contributeurs


Contributeur Titre
















Preacutesentation




















Recommandations

Conclusions





Contributeurs

3

Preacutesentation




















4











0

2 000

4 000

6 000

8 000

10 000

12 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012

Nom

bre

tota

l de

vuln

eacuterab

iliteacute

s


5










0

2 000

4 000

6 000

8 000

10 000

12 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012

Zeacutero 1 2 3 4 5 6 7 8 9 10


6




8

2002 2007 2012

17

75

14

22 64

20

36

44





0

600

1 200

1 800

2 400

3 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012




Injection SQL

Scripts intersites





7


0

2 000

4 000

6 000

8 000

10 000

12 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012





0

50

100

150

200

250

300

2008 2009 2010 2011 2012



8



0

50

100

150

200

250

2008 2009 2010 2011 2012
















9





45

26 25

13

9

0

5

10

15

20

25

30

35

40

45

50


Layer insuffisante





Failles dinjection




10


Site bancaire









92 88 86

75

61

0

10

20

30

40

50

60

70

80

90

100











11





Reacutesultats










12



non valideacutes



30 000utilisateurs


malveillant















Exeacutecution SQL








13



de la banque

1=1








AttaqueSQL


Web



du mot depasse


passeinsuffisante







14









ltscriptgt


ltscriptgt



15













2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013










cgiid=154957

16






















Options X-Frame 38

Options X-Frame


REFUS 17 Allow-from


MEcircME ORIGINE 80

17










18











19




























20














21




Conclusions





22










Contributeurs


Contributeur Titre
















Preacutesentation




















Recommandations

Conclusions





Contributeurs

4











0

2 000

4 000

6 000

8 000

10 000

12 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012

Nom

bre

tota

l de

vuln

eacuterab

iliteacute

s


5










0

2 000

4 000

6 000

8 000

10 000

12 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012

Zeacutero 1 2 3 4 5 6 7 8 9 10


6




8

2002 2007 2012

17

75

14

22 64

20

36

44





0

600

1 200

1 800

2 400

3 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012




Injection SQL

Scripts intersites





7


0

2 000

4 000

6 000

8 000

10 000

12 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012





0

50

100

150

200

250

300

2008 2009 2010 2011 2012



8



0

50

100

150

200

250

2008 2009 2010 2011 2012
















9





45

26 25

13

9

0

5

10

15

20

25

30

35

40

45

50


Layer insuffisante





Failles dinjection




10


Site bancaire









92 88 86

75

61

0

10

20

30

40

50

60

70

80

90

100











11





Reacutesultats










12



non valideacutes



30 000utilisateurs


malveillant















Exeacutecution SQL








13



de la banque

1=1








AttaqueSQL


Web



du mot depasse


passeinsuffisante







14









ltscriptgt


ltscriptgt



15













2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013










cgiid=154957

16






















Options X-Frame 38

Options X-Frame


REFUS 17 Allow-from


MEcircME ORIGINE 80

17










18











19




























20














21




Conclusions





22










Contributeurs


Contributeur Titre
















Preacutesentation




















Recommandations

Conclusions





Contributeurs

5










0

2 000

4 000

6 000

8 000

10 000

12 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012

Zeacutero 1 2 3 4 5 6 7 8 9 10


6




8

2002 2007 2012

17

75

14

22 64

20

36

44





0

600

1 200

1 800

2 400

3 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012




Injection SQL

Scripts intersites





7


0

2 000

4 000

6 000

8 000

10 000

12 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012





0

50

100

150

200

250

300

2008 2009 2010 2011 2012



8



0

50

100

150

200

250

2008 2009 2010 2011 2012
















9





45

26 25

13

9

0

5

10

15

20

25

30

35

40

45

50


Layer insuffisante





Failles dinjection




10


Site bancaire









92 88 86

75

61

0

10

20

30

40

50

60

70

80

90

100











11





Reacutesultats










12



non valideacutes



30 000utilisateurs


malveillant















Exeacutecution SQL








13



de la banque

1=1








AttaqueSQL


Web



du mot depasse


passeinsuffisante







14









ltscriptgt


ltscriptgt



15













2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013










cgiid=154957

16






















Options X-Frame 38

Options X-Frame


REFUS 17 Allow-from


MEcircME ORIGINE 80

17










18











19




























20














21




Conclusions





22










Contributeurs


Contributeur Titre
















Preacutesentation




















Recommandations

Conclusions





Contributeurs

6




8

2002 2007 2012

17

75

14

22 64

20

36

44





0

600

1 200

1 800

2 400

3 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012




Injection SQL

Scripts intersites





7


0

2 000

4 000

6 000

8 000

10 000

12 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012





0

50

100

150

200

250

300

2008 2009 2010 2011 2012



8



0

50

100

150

200

250

2008 2009 2010 2011 2012
















9





45

26 25

13

9

0

5

10

15

20

25

30

35

40

45

50


Layer insuffisante





Failles dinjection




10


Site bancaire









92 88 86

75

61

0

10

20

30

40

50

60

70

80

90

100











11





Reacutesultats










12



non valideacutes



30 000utilisateurs


malveillant















Exeacutecution SQL








13



de la banque

1=1








AttaqueSQL


Web



du mot depasse


passeinsuffisante







14









ltscriptgt


ltscriptgt



15













2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013










cgiid=154957

16






















Options X-Frame 38

Options X-Frame


REFUS 17 Allow-from


MEcircME ORIGINE 80

17










18











19




























20














21




Conclusions





22










Contributeurs


Contributeur Titre
















Preacutesentation




















Recommandations

Conclusions





Contributeurs

7


0

2 000

4 000

6 000

8 000

10 000

12 000

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012





0

50

100

150

200

250

300

2008 2009 2010 2011 2012



8



0

50

100

150

200

250

2008 2009 2010 2011 2012
















9





45

26 25

13

9

0

5

10

15

20

25

30

35

40

45

50


Layer insuffisante





Failles dinjection




10


Site bancaire









92 88 86

75

61

0

10

20

30

40

50

60

70

80

90

100











11





Reacutesultats










12



non valideacutes



30 000utilisateurs


malveillant















Exeacutecution SQL








13



de la banque

1=1








AttaqueSQL


Web



du mot depasse


passeinsuffisante







14









ltscriptgt


ltscriptgt



15













2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013










cgiid=154957

16






















Options X-Frame 38

Options X-Frame


REFUS 17 Allow-from


MEcircME ORIGINE 80

17










18











19




























20














21




Conclusions





22










Contributeurs


Contributeur Titre
















Preacutesentation




















Recommandations

Conclusions





Contributeurs

8



0

50

100

150

200

250

2008 2009 2010 2011 2012
















9





45

26 25

13

9

0

5

10

15

20

25

30

35

40

45

50


Layer insuffisante





Failles dinjection




10


Site bancaire









92 88 86

75

61

0

10

20

30

40

50

60

70

80

90

100











11





Reacutesultats










12



non valideacutes



30 000utilisateurs


malveillant















Exeacutecution SQL








13



de la banque

1=1








AttaqueSQL


Web



du mot depasse


passeinsuffisante







14









ltscriptgt


ltscriptgt



15













2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013










cgiid=154957

16






















Options X-Frame 38

Options X-Frame


REFUS 17 Allow-from


MEcircME ORIGINE 80

17










18











19




























20














21




Conclusions





22










Contributeurs


Contributeur Titre
















Preacutesentation




















Recommandations

Conclusions





Contributeurs

9





45

26 25

13

9

0

5

10

15

20

25

30

35

40

45

50


Layer insuffisante





Failles dinjection




10


Site bancaire









92 88 86

75

61

0

10

20

30

40

50

60

70

80

90

100











11





Reacutesultats










12



non valideacutes



30 000utilisateurs


malveillant















Exeacutecution SQL








13



de la banque

1=1








AttaqueSQL


Web



du mot depasse


passeinsuffisante







14









ltscriptgt


ltscriptgt



15













2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013










cgiid=154957

16






















Options X-Frame 38

Options X-Frame


REFUS 17 Allow-from


MEcircME ORIGINE 80

17










18











19




























20














21




Conclusions





22










Contributeurs


Contributeur Titre
















Preacutesentation




















Recommandations

Conclusions





Contributeurs

10


Site bancaire









92 88 86

75

61

0

10

20

30

40

50

60

70

80

90

100











11





Reacutesultats










12



non valideacutes



30 000utilisateurs


malveillant















Exeacutecution SQL








13



de la banque

1=1








AttaqueSQL


Web



du mot depasse


passeinsuffisante







14









ltscriptgt


ltscriptgt



15













2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013










cgiid=154957

16






















Options X-Frame 38

Options X-Frame


REFUS 17 Allow-from


MEcircME ORIGINE 80

17










18











19




























20














21




Conclusions





22










Contributeurs


Contributeur Titre
















Preacutesentation




















Recommandations

Conclusions





Contributeurs

11





Reacutesultats










12



non valideacutes



30 000utilisateurs


malveillant















Exeacutecution SQL








13



de la banque

1=1








AttaqueSQL


Web



du mot depasse


passeinsuffisante







14









ltscriptgt


ltscriptgt



15













2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013










cgiid=154957

16






















Options X-Frame 38

Options X-Frame


REFUS 17 Allow-from


MEcircME ORIGINE 80

17










18











19




























20














21




Conclusions





22










Contributeurs


Contributeur Titre
















Preacutesentation




















Recommandations

Conclusions





Contributeurs

12



non valideacutes



30 000utilisateurs


malveillant















Exeacutecution SQL








13



de la banque

1=1








AttaqueSQL


Web



du mot depasse


passeinsuffisante







14









ltscriptgt


ltscriptgt



15













2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013










cgiid=154957

16






















Options X-Frame 38

Options X-Frame


REFUS 17 Allow-from


MEcircME ORIGINE 80

17










18











19




























20














21




Conclusions





22










Contributeurs


Contributeur Titre
















Preacutesentation




















Recommandations

Conclusions





Contributeurs

13



de la banque

1=1








AttaqueSQL


Web



du mot depasse


passeinsuffisante







14









ltscriptgt


ltscriptgt



15













2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013










cgiid=154957

16






















Options X-Frame 38

Options X-Frame


REFUS 17 Allow-from


MEcircME ORIGINE 80

17










18











19




























20














21




Conclusions





22










Contributeurs


Contributeur Titre
















Preacutesentation




















Recommandations

Conclusions





Contributeurs

14









ltscriptgt


ltscriptgt



15













2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013










cgiid=154957

16






















Options X-Frame 38

Options X-Frame


REFUS 17 Allow-from


MEcircME ORIGINE 80

17










18











19




























20














21




Conclusions





22










Contributeurs


Contributeur Titre
















Preacutesentation




















Recommandations

Conclusions





Contributeurs

15













2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013










cgiid=154957

16






















Options X-Frame 38

Options X-Frame


REFUS 17 Allow-from


MEcircME ORIGINE 80

17










18











19




























20














21




Conclusions





22










Contributeurs


Contributeur Titre
















Preacutesentation




















Recommandations

Conclusions





Contributeurs

16






















Options X-Frame 38

Options X-Frame


REFUS 17 Allow-from


MEcircME ORIGINE 80

17










18











19




























20














21




Conclusions





22










Contributeurs


Contributeur Titre
















Preacutesentation




















Recommandations

Conclusions





Contributeurs

17










18











19




























20














21




Conclusions





22










Contributeurs


Contributeur Titre
















Preacutesentation




















Recommandations

Conclusions





Contributeurs

18











19




























20














21




Conclusions





22










Contributeurs


Contributeur Titre
















Preacutesentation




















Recommandations

Conclusions





Contributeurs

19




























20














21




Conclusions





22










Contributeurs


Contributeur Titre
















Preacutesentation




















Recommandations

Conclusions





Contributeurs

20














21




Conclusions





22










Contributeurs


Contributeur Titre
















Preacutesentation




















Recommandations

Conclusions





Contributeurs

21




Conclusions





22










Contributeurs


Contributeur Titre
















Preacutesentation




















Recommandations

Conclusions





Contributeurs

22










Contributeurs


Contributeur Titre
















Preacutesentation




















Recommandations

Conclusions





Contributeurs





Contributeurs


Contributeur Titre
















Preacutesentation




















Recommandations

Conclusions





Contributeurs

Rapport hp 2012 sur les cyber risques

Business

Transcript of Rapport hp 2012 sur les cyber risques