Trois leçons sur la sécurité des applications Web à garder à l'esprit. L'expert Semalt sait comment éviter d'être victime de cybercriminels

En 2015, le Ponemon Institute a publié les résultats d'une étude «Cost of Cyber Crime», qu'ils avaient menée. Il n'est pas surprenant que le coût de la cybercriminalité augmente. Cependant, les chiffres bégayaient. Cybersecurity Ventures (conglomérat mondial) prévoit que ce coût atteindra 6 billions de dollars par an. En moyenne, il faut 31 jours à une organisation pour rebondir après un cybercrime avec un coût de réparation d'environ 639 500 $.

Saviez-vous que le déni de service (attaques DDOS), les violations sur le Web et les initiés malveillants représentent 55% de tous les coûts de la cybercriminalité? Cela représente non seulement une menace pour vos données, mais pourrait également vous faire perdre des revenus.

Frank Abagnale, le Customer Success Manager de Semalt Digital Services, propose d'examiner les trois cas de violation suivants survenus en 2016.

Premier cas: Mossack-Fonseca (The Panama Papers)

Le scandale des Panama Papers a éclaté sous les projecteurs en 2015, mais à cause des millions de documents qui ont dû être passés au crible, il a explosé en 2016. La fuite a révélé comment les politiciens, les riches hommes d'affaires, les célébrités et la crème de la crème de la société stockaient leur argent dans des comptes offshore. Souvent, c'était louche et franchi la ligne éthique. Bien que Mossack-Fonseca soit une organisation spécialisée dans le secret, sa stratégie de sécurité de l'information était presque inexistante. Pour commencer, le plugin de diapositive d'image WordPress qu'ils ont utilisé était obsolète. Deuxièmement, ils ont utilisé un Drupal de 3 ans avec des vulnérabilités connues. Étonnamment, les administrateurs système de l'organisation ne résolvent jamais ces problèmes.

Cours:

  • > assurez-vous toujours que vos plateformes CMS, plugins et thèmes sont régulièrement mis à jour.
  • > restez à jour avec les dernières menaces de sécurité CMS. Joomla, Drupal, WordPress et d'autres services ont des bases de données pour cela.
  • > analyser tous les plugins avant de les implémenter et de les activer

Deuxième cas: la photo de profil de PayPal

Florian Courtial (un ingénieur logiciel français) a trouvé une vulnérabilité CSRF (cross site request forgery) dans le nouveau site de PayPal, PayPal.me. Le géant mondial du paiement en ligne a dévoilé PayPal.me pour faciliter les paiements plus rapides. Cependant, PayPal.me pourrait être exploité. Florian a pu modifier et même supprimer le jeton CSRF, mettant ainsi à jour la photo de profil de l'utilisateur. En fait, n'importe qui pouvait se faire passer pour quelqu'un d'autre en mettant sa photo en ligne, par exemple sur Facebook.

Cours:

  • > disposer de jetons CSRF uniques pour les utilisateurs - ceux-ci doivent être uniques et changer chaque fois que l'utilisateur se connecte.
  • > jeton par demande - autre que le point ci-dessus, ces jetons doivent également être mis à disposition lorsque l'utilisateur en fait la demande. Il offre une protection supplémentaire.
  • > expiration - réduit la vulnérabilité si le compte reste inactif pendant un certain temps.

Troisième cas: le ministère russe des Affaires étrangères face à un embarras XSS

Alors que la plupart des attaques Web visent à faire des ravages sur les revenus, la réputation et le trafic d'une organisation, certaines sont destinées à embarrasser. Affaire au point, le piratage qui n'a jamais eu lieu en Russie. C'est ce qui s'est produit: un pirate informatique américain (surnommé le bouffon) a exploité la vulnérabilité XSS (Cross Site Scripting) qu'il a vue sur le site Web du ministère russe des Affaires étrangères. Le bouffon a créé un site Web factice qui imitait les perspectives du site Web officiel, à l'exception du titre, qu'il a personnalisé pour en faire une moquerie.

Cours:

  • > assainir le balisage HTML
  • > n'insérez pas de données à moins de les vérifier
  • > utilisez un d'échappement JavaScript avant de saisir des données non fiables dans les valeurs de données du langage (JavaScript)
  • > protégez-vous des vulnérabilités XSS basées sur DOM

mass gmail