Bilan de la sécurité des sites web en France - Analyse des 1029 failles identifiées dans les sites des grandes entreprises
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Bilan de la sécurité
des sites web en France
Analyse des 1029 failles identifiées
dans les sites des grandes entreprises…
Yann FILLIAT Gérôme BILLOIS
yann.filliat@wavestone.com gerome.billois@wavestone.com
Responsable de l’offre Audit de Sécurité Senior Manager
@gbillois
Dans un monde où la capacité à se transformer est la clé du succès,
nous éclairons et guidons nos clients dans leurs décisions les plus stratégiques
Des clients leaders 2 500 collaborateurs Parmi les leaders du conseil
dans leur secteur sur 4 continents indépendant en Europe,
n°1 en France
Paris | London | New York | Hong Kong | Singapore* | Dubai*
Brussels | Luxembourg | Geneva | Casablanca
Lyon | Marseille | Nantes
* Partenariats stratégiques © WAVESTONE 2
Wavestone Cybersécurité & Confiance numérique
Réussir sa
transformation numérique
grâce à la confiance numérique
400+ 1,000+
Nos clients
Experts & Missions par an
COMEX, Métier,
Consultants dans plus de
CDO, CIO, CISO, BCM
Cybersécurité 20 pays
UNE EXPERTISE EPROUVEE NOS DIFFERENCIATEURS
/ Stratégie et Conformité / Connaissance des risques métier
/ Transformation métier sécurisée / Méthodologie AMT pour les
/ Architecture et programme sécurité schémas directeurs
/ Identité, Fraude et Services de Confiance / Radars Innovation et Startups
/ Tests d’intrusion & Réponse à incident / CERT-W
/ Continuité d’Activité & Résilience
© WAVESTONE 3Wavestone : un retour d’expérience
unique sur les audits de sécurité
300 audits de 100 clients 8 secteurs
sécurité par différents d’activité
an couverts
Périmètres Essentiellement des Banque/Assurance,
d’interventions variés : très grandes Distribution, Médical,
sites web, tests entreprises françaises, Énergie, Service,
d’intrusion physiques, présentes sur le Télécom, Transport et
ingénierie sociale, revue marché national ou Institutions Publiques
de configuration, de international
code, etc.
© WAVESTONE 4Un benchmark des failles des sites web
128 sites
47 failles 90 % des sites
web testés 82 organisations
testées à en ligne avant
85 sur Internet concernées
chaque fois l’audit
43 privés
Tests d’intrusion de sites De multiples secteurs Des tests respectant la Malgré les efforts
web réalisés entre juin d’activités : banque, santé, même méthodologie, pour d’anticipation consentis
2015 et juin 2016 sur 84 ministère, énergie, services, des résultats comparables. dans les entreprises, les
sites sur Internet et 43 télécom et transport. Des failles incluant le tests sont généralement
sites sur des réseaux Une confidentialité préservée : contrôle d’accès, la qualité réalisés sur des versions
privés d’entreprise. les données de nos clients du chiffrement, la diffusion déjà en production.
sont anonymisées, l’analyse d’informations techniques
est uniquement statistique. superflues, le traitement
des communications, etc.
© WAVESTONE 53 constats marquants sur la sécurité web
100% 50 % 75 %
des sites web testés des sites des sites web
sont vulnérables, et accessibles à tous internes réservés
ceci quel que soit le depuis Internet aux collaborateurs
contexte ou le ont au moins une ont au moins une
secteur faille grave faille grave
4 zones à risque lors de la conception d’un site web
parmi le TOP 10 Wavestone des failles les plus rencontrées
Contrôle d’accès Fichiers
Fichiers Sessions Langage
Un attaquant peut, Le dépôt
Le dépôt de fichiers
de fichiers Un attaquant peut, Le langage de
avec un compte permet fréquemment
permet fréquemment à partir d’un onglet développement ne
utilisateur, accéder à unà attaquant
un attaquantde de ouvert, agir sur un change pas le
aux données de tous prendre
prendre le contrôle
le contrôle site ouvert dans nombre de failles…
les utilisateurs du site
du site webweb un autre onglet mais leur criticité !
© WAVESTONE 6#1 : Tous vulnérables !
Le chiffre
100%
Parmi les 128 sites
web testés, au
moins une faille de
sécurité a été découverte lors de chacun des
tests
100 %
© WAVESTONE 7Des failles graves dans 60% des cas
60% des sites sont
touchés par au moins
une faille grave
39% des sites ne sont 1% des sites ne sont
touchés que par des touchés que par des
failles importantes failles mineures
Faille grave Faille importante Faille mineure
Permet d’accéder à l'ensemble Permet d’accéder aux Permet principalement
du contenu du site et/ou de informations d’autres d’obtenir des informations
compromettre les serveurs utilisateurs mais en nombre pour continuer l’attaque
Accès à l’ensemble des données du site, limité ou de manière complexe Messages techniques superflus, absence
exécution de code par le serveur, Vol de session d’un utilisateur, faiblesses de sécurisation des cookies, déconnexion
utilisateur A ayant accès aux données de dans le chiffrement, possibilité de faire utilisateur non efficace, etc.
B, etc. réaliser des actions à l’insu de © WAVESTONE 8
l’utilisateur, etc.Des failles graves dans les sites
sur Internet, comme en interne
Un attaquant A peut accéder aux données
#2 : 50% des sites d’un utilisateur B (cloisonnement)
26%
accessibles à tous Un attaquant peut collecter toutes les 19%
depuis Internet ont au données du site (ex : injection SQL)
moins une faille grave Un attaquant peut faire réaliser des actions
non prévues par le site (ex : dépôt de code) 31%
Un attaquant A peut accéder aux données
#3: 75% des sites web d’un utilisateur B (cloisonnement)
47%
internes réservés aux Un attaquant peut collecter toutes les
33%
collaborateurs ont au données du site (ex : injection SQL)
moins une faille grave Un attaquant peut faire réaliser des actions
non prévues par le site (ex : dépôt de code) 38%
© WAVESTONE 9Un contrôle d’accès
pas toujours contrôlé…
44% des tests réalisés en
mode boite grise (utilisation d’un
compte utilisateur standard) ont permis
de contourner le cloisonnement applicatif
pour accéder à des données ou des
fonctions (escalade horizontale ou
verticale) non autorisées
© WAVESTONE 10Dépôt de fichier ?
Attention danger !
Dans 37% des 68 cas où une
fonctionnalité de type « dépôt de pièce
jointe » était offerte, une faille a permis
de déposer et d’exécuter du code sur le
serveur
C’est une voie royale pour
37 % rebondir depuis ce serveur vers
d’autres composants du SI
© WAVESTONE 11Surfer sur plusieurs sites en parallèle
nuit gravement à la sécurité
2/3 des sites sont vulnérables à
du CSRF* (ou XSRF*) :
Pendant l’utilisation d’un site web
sensible, vous décidez d’ouvrir un 67 %
nouvel onglet pour surfer.
Le site web de ce nouvel onglet, s’il
des sites
contient une attaque, est capable de vulnérables
réaliser des actions à votre insu sur le
site web sensible : modifier votre à du XSRF*
adresse de contact pour réinitialiser le
mot de passe par exemple…
*CSRF ou XSRF : Cross Site Request Forgery
© WAVESTONE 12Le langage ne change pas le nombre de failles…
mais leur criticité
Java PHP Java PHP
39% 44% 40% 75%
de failles sur les de failles sur les des sites présentent des sites présentent
sites sites une faille grave une faille grave
© WAVESTONE 13Top 10 des failles découvertes
Des informations techniques superflues sont diffusées
88%
(ex: page d’erreur ou entêtes divulguant la version d’un composant, etc.)
Le chiffrement des informations sensibles n’est pas de bonne qualité 81%
(ex : certificat invalide, protocoles vulnérables…)
Il est possible de faire réaliser une action à l'insu d'un utilisateur 67%
(ex : XSRF ou CSRF)
Il est possible de piéger un utilisateur visitant le site 57%
web en lui faisant exécuter du code à son insu (ex : XSS)
Les mécanismes d'authentification ne sont pas suffisamment robustes 55%
(ex: absence d’anti brute-force, complexité des mots de passe, etc.)
Un attaquant peut accéder à des données d’un autre utilisateur 44%
ou à des fonctions du site non autorisées (cloisonnement)
Un attaquant peut faire réaliser des actions non prévues par le site 37%
(ex : dépôt de code)
Les sessions des utilisateurs ne sont pas suffisamment protégées 33%
(ex: déconnexion inefficace)
Des informations superflues lors de l’utilisation du site sont diffusées
31%
(ex: affichage de la validité ou non d’un compte utilisateur)
Un attaquant peut collecter toutes les données du site 25%
(ex : injection SQL)
© WAVESTONE 14
Failles conduisant à un risque majeur important mineurOui, et maintenant ?
Chamboulées par des Qui nécessitent une
Des causes bien connues
nouvelles méthodes organisation adaptée !
Le constat est sans appel : Le rythme ne cesse de Car la réponse ne viendra pas
une faille grave découverte sur s’accélérer avec l’essor des uniquement d’investissements
près de 60% de sites web méthodes agiles, DevOps… sur des nouveaux composants
déjà en production… de sécurité, de contrôles a
Pourrait-on réaliser un test posteriori, etc.
tous les 15 jours alors qu’il
La gestion actuelle des projets
n’est pas possible aujourd’hui
ne laisse pas beaucoup de Il est plus que jamais
d’en faire un seul avant la
place à la sécurité : mise en nécessaire d’investir dans les
mise en production ?
production urgente, projet compétences des équipes, en
dont on apprend l’existence à C’est pourtant une opportunité particulier des développeurs,
sa sortie, etc. d’appliquer ce qui n’a jamais pour que la sécurité soit bien
été possible : intégrer la plus qu’une étape dans des
L’intégration de la sécurité dès sécurité en continu dans le processus peu suivis, mais
le début du projet est l’une processus de développement bien une réalité de chaque
des clés à maîtriser pour en rapprochant les contrôles instant.
améliorer ce chiffre. des développeurs.
© WAVESTONE 15Yann FILLIAT M +33 (0)6 24 76 08 67
Manager – Responsable offre audit de sécurité yann.filliat@wavestone.com
Etienne CAPGRAS M +33 (0)6 67 49 45 35
Manager – Responsable offre audit de sécurité etienne.capgras@wavestone.com
Gérôme BILLOIS M +33 (0)6 10 99 00 60
Senior Manager gerome.billois@wavestone.com
riskinsight-wavestone.com
@Risk_Insight
securityinsider-wavestone.com
wavestone.com
@SecuInsider
@wavestone_PARIS LONDON NEW YORK HONG KONG SINGAPORE * DUBAI * BRUSSELS LUXEMBOURG GENEVA CASABLANCA LYON MARSEILLE NANTES * Strategic partners
Vous pouvez aussi lire
