Si l'on parle souvent de "nouvelles technologies de l'information et de la communication" pour évoquer Internet, on oublie souvent que le Web, principal protocole de communication du réseau, repose sur des technologies vieilles de plus de vingt ans qui n'ont que très peu évoluées…

Conçu en 1989 et mis en pratique un an plus tard par Tim Berners-Lee du CERN, le protocole HTTP véhicule aujourd'hui le contenu du "Web" sur des spécifications dont la dernière version date de 1999 soit il y a plus de 23 ans.

Désormais omniprésent et utilisé à diverses fins (applications communautaires et métier, sites vitrines et transactionnels, Intranet/Extranet, etc.), ce protocole est devenu de plus en plus dynamique, s'adaptant ainsi aux besoins des utilisateurs du Web.

Or cette course à la sophistication n'a pas été suivie d'une évolution équivalente en termes de sécurité et de fiabilité des données véhiculées. Ce décalage entre utilisation massive et sécurité provoque aujourd'hui une brèche importante dans les systèmes d'information, faisant du protocole HTTP un vecteur privilégié d'attaques et de compromission de données.

Les cybercriminels l'ont bien compris et en font une cible principale… Il ne se passe pas une semaine sans qu'une société ou organisation se fasse compromettre via le protocole HTTP (Sony, RSA, Oracle, etc.) affirme Matthieu Estrade, Directeur Technique de Bee Ware, qui décrit l'importance du protocole HTTP et du Web dans les " Advanced Persistent Threats "

Identifiées par le terme APT pour Advanced Persistent Threat, ces attaques sont orchestrées dans la durée avec un but précis : récupérer des données sensibles.

Anatomie d'une APT

De plus en plus médiatisées et nocives pour l'image des sociétés, les APT se décomposent en 4 étapes principales :

• l'intrusion

• le maintien dans le système d'information

• le rebond et la progressions en profondeur

• l'extraction de données.

L'intrusion est opérée en attaquant une zone exposée au public sur Internet (Site Web, Blog, etc.). Cette porte d'entrée permet le plus souvent de poser un premier pied dans l'infrastructure et offre ainsi un point de départ permettant de récolter des informations importantes pour la suite (mots de passe utilisateurs, destinations réseau et machine, connecteurs vers d'autres systèmes, etc.).

De plus, selon la localisation de l'application dans l'infrastructure et le manque de cloisonnement, il est possible qu'une application simple et peu utilisée se retrouve à coté ou sur le même serveur qu'une application métier, qui deviendra alors accessible via ce rebond, et avec des droits plus élevés.

J'y suis... j'y reste...

Une fois le premier pied posé dans l'infrastructure, il est nécessaire d'assurer le fait de pouvoir revenir sur la machine et de l'utiliser sans éveiller les soupçons des administrateurs systèmes.

Pour rester le plus furtif possible, l'idéal est d'insérer une backdoor dans l'application Web ou sur le service applicatif, en vue d'utiliser les connexions HTTP comme une connexion directe et/ou un tunnel vers les autres applications (sans être filtré et sans attirer l'attention sur un processus ouvrant un port inconnu sur le système).

Les étapes d'intrusion et de maintien sont ensuite répétées autant de fois que nécessaire jusqu'à atteindre les données sensibles.

Le protocole HTTP prend une place importante dans cette évolution au sein du système d'information car ce dernier est souvent laissé ouvert pour permettre aux administrateurs de naviguer ou de mettre à jours les machines (dialogue entre serveurs applicatifs, Web Services, interface d'administration, etc.).

Une fois la cible atteinte, le protocole HTTP, dont les restrictions en sortie sont généralement faibles, reste à nouveau le moyen le plus discret pour faire sortir les données sensibles.