Expert en sécurité applicative et spécialiste de la sécurisation des flux HTTP, Bee Ware revient sur les évolutions techniques développées en 2012 entraînant, pour 2013, de nouveaux risques sécuritaires.

L'avènement du BYOD

Phénomène émergeant de l'année 2012, le BYOD (Bring Your Own Device) légitimise l'utilisation d'équipements personnels (ordinateurs portables, Smartphones, etc.) au sein de l'entreprise. Cet accès permanent aux ressources professionnelles (agenda, mails, fichiers, etc.) est aujourd'hui devenu indispensable aux organisations qui souhaitent maintenir leur compétitivité.

Ouvrir ainsi des terminaux personnels au monde professionnel engendre néanmoins de sérieux risques d'usurpation d'identité et de vol de données... Ayant accès à de nombreuses applications internes sensibles, ces terminaux représentent une possibilité de rebond parfait à destination des systèmes d'information. Une personne malveillante pourra de ce fait infiltrer l'un de ces terminaux et accéder à l'ensemble des données classées confidentielles de l'entreprise (rapports financiers, propriété intellectuelles, etc.).

Bien que de plus en plus banalisé, le BYOD reste aujourd'hui complexe à encadrer : révision des politiques de sécurité internes, déploiement d'outils sécuritaires adaptés, évangélisation des utilisateurs, etc. Les risques de perte et de vol, conjugués à la recrudescence d'attaques visant ces périphériques mobiles, feront de ce phénomène l'une des principales préoccupations des RSSI en 2013.

La démocratisation du Cloud Computing

Autre phénomène émergeant de ces dernières années, le Cloud Computing consiste à déporter tout ou partie de vos données et de vos applications sur des serveurs distants. Encore relativement flou pour la majorité de ses usagers, le Cloud Computing englobe différents types de services utiles aux entreprises :

• La disponibilité des données sur le réseaux (DaaS)

• La virtualisation de l'infrastructure (IaaS)

• L'hébergement d'applications (SaaS)

• Etc.

Très simple d'utilisation, ce concept repose sur le développement d'APIs, ou interfaces de programmation, permettant de déléguer le traitement des données en dehors de leur infrastructure d'origine. Bien qu'il existe d'ores et déjà de nombreuses solutions de sécurité dédiées, le Cloud Computing demeure une cible privilégiée pour accéder aux données sensibles de l'entreprise...

Les APIs, socle commun des technologies de dernière génération

Les APIs constituent le socle commun du BYOD et du Cloud Computing. Ces fonctions, permettant d'accéder aux services d'une application, mettent à disposition des utilisateurs des informations de façon plus ou moins standardisée (via les langages XML, JSON, etc.). Interfaces directes avec le coeur du système d'information, elles peuvent assurer l'authentification et la gestion des autorisations associées mais restent vulnérables à de nombreuses attaques :

• Etant liées entres elles, un défaut peut entrainer un disfonctionnement en chaine sur d'autres APIs et provoquer d'importants problèmes de disponibilité

• Le plus souvent basées sur le protocole HTTP, elles subissent les mêmes types d'attaques que les applications Web (injections SQL, cross-site scripting, DDOS)

• Etc.

Omniprésentes dans les technologies de dernière génération, ces APIs ne peuvent être protégées par les protections réseaux habituellement mises en place... Plus complexes et accessibles via différents consommateurs (navigateurs, périphériques mobiles), elles nécessitent le déploiement de filtrages applicatifs spécifiques pour garantir un niveau de sécurité optimal.

Le top 5 des menaces Web 2013

Outre les risques évoqués ci-dessus, l'année 2013 verra le nombre de SPAM/SCAM et les attaques visant les navigateurs Web se multiplier : En constante évolution, les tentatives de phishing (techniques utilisées pour obtenir des renseignements personnels en vue d'usurper l'identité d'une personne) augmenteront et seront malheureusement de plus en plus perfectionnées...

Les problèmes liés aux applications Flash, Java et autres accéléreront le déploiement du langage de programmation HTML5 (langage permettant l'affichage de pages Web), extrêmement ergonomique mais sujet à de nombreuses failles de sécurité...

Matthieu Estrade, directeur Technique de Bee Ware et spécialiste en sécurité informatique nous résume en 5 points les principales menaces Web de 2013 :

• Les malwares et les attaques visant les périphériques mobiles : "Le remplacement du poste de travail révolutionne l'usage des applications d'entreprise et se démocratise à l'insu des règles de sécurité établies... Cette problématiques représente pour les RSSI la première source de menace de l'année 2013"

• Les attaques visant les navigateurs Web : "Très vite adopté par les développeurs d'applications Web, le langage HTML5 connaitra un succès grandissant au cours des prochains mois. Cette utilisation précoce (NB: la finalisation de ses spécifications n'est officiellement prévue qu'en 2014) débouchera nécessairement sur de nombreuses failles de sécurité..."

• L'abus de fonctionnalité des APIs : "Rarement standardisées, les APIs dialoguent directement avec le coeur du système d'information des Sociétés. Développées au travers de Framework plus ou moins sécurisé, ces APIs représentent un danger encore méconnu."

• Le vol de données sensibles dans le Cloud : "Très facile d'utilisation, le Cloud héberge un nombre considérable de données sensibles et restera en 2013 la cible privilégiée des hackers. La délocalisation des applications n'implique en aucun cas une diminution des risques d'attaques..."

• Le phishing et vol de données bancaires : "Le contexte économique dans lequel nous évoluons actuellement influence également le monde de la sécurité Web... En période de crise, le volume de SPAM/SCAM destinés à récupérer des informations bancaires ou à usurper des identités se développe de plus en plus..."