« Comment se fait-on infecter sur des sites légitimes ? », une tribune de Sébastien Commérot

Directeur Marketing Europe du Sud d'IronPort Systems (www.ironport.com/fr/), une division de Cisco, Sébastien Commérot propose cette tribune libre dans laquelle il évoque le risque d'infection informatique à travers la navigation par internet.

Le vecteur d'infection email, une menace historique

L'e-mail reste le vecteur le plus important de contamination des réseaux d'entreprise. En effet, on estime qu'environ 80% des codes malicieux pénètrent dans l'entreprise via la messagerie électronique. Les codes malicieux et autres virus peuvent se présenter sous forme d'attachements, mais il est également possible de se faire infecter simplement en lisant l'e-mail ou en le pré-visualisant ! Face au développement de ces menaces, la plupart des entreprises sont équipées de différents types de solutions de sécurité, qu'il s'agisse d'anti-virus, de solutions de mise en quarantaine dynamiques, ou encore de solutions de filtrage de contenu e-mail. Cependant, les pirates réagissent en contournant les solutions liées à la messagerie : ils sont en train de développer le vecteur d'infection Web !

Le web, un vecteur d'infection pernicieux de plus en plus important

En constante progression, le Web représente désormais plus de 20% des codes malicieux qui pénètrent dans le système d'information de l'entreprise.
L'infection via le Web est souvent beaucoup plus pernicieuse que par l'e-mail. En effet, lorsqu'un utilisateur reçoit un virus ou un spam via sa messagerie électronique, il s'en rend parfaitement compte. Dans le cadre d'une infection Web, l'utilisateur ne sait pas que son poste a été infecté ! Il s'agit là de menaces cachées, autrement appelées malware ou spyware.

Des infections par le web oui mais depuis des sites légitimes !

La plupart des infections ne proviennent pas des sites de musique ou de pornographie. En effet, selon Cisco, 87 % de la diffusion du malware se fait depuis des sites légitimes.
Cette année, de nombreux sites Web légitimes ont été infectés par des attaques de type IFrame. La balise IFrame est utilisée pour inclure à l'intérieur d'une page HTML un autre document HTML ; les concepteurs de sites utilisent notamment cette balise pour l'affichage des publicités. Grâce à une vulnérabilité du site ou du serveur web, le pirate peut rajouter par exemple sur une page du site cnn.com une balise IFrame, qui redirige les utilisateurs vers un deuxième site contenant une infection web. Le pirate rendant cette balise invisible à l'affichage, l'utilisateur consulte la page infectée à son insu !

On observe également une utilisation très large des injections SQL, utilisées pour pirater les applications Web dynamiques. Par le biais des formulaires Web dynamiques, les pirates injectent des codes malicieux sur les serveurs Web non protégés, infectant les utilisateurs qui s'y connecteraient ensuite. Enfin, le Cross Site Scripting, ou XSS, est un type d'attaque qui profite d'une faille dans les contrôles de validité des sites web. Ainsi, un utilisateur ayant à la fois une session ouverte sur Amazon et participant également à un forum, peut se voir exécuter un script à son insu...et se faire usurper son identité sur son compte client !

Il faut sécuriser le web !

Selon Cisco, 9 sites sur 10 sont vulnérables à un de ces types d'attaque. Face aux redirections IFrame, à l'injection de codes malicieux, ou encore face aux piratages de session, les solutions traditionnelles de filtrage URL ne sont plus suffisantes. Ces solutions sont uniquement réactives, et en cas d'apparition d'un malware sur un site donné, le temps que le site soit bien catégorisé et que la règle soit transmise aux clients, le code malicieux aura eu potentiellement le temps d'infecter l'entreprise.

Les infections web doivent ainsi désormais être gérées non plus par des systèmes de catégorisation plus ou moins figés, mais via des systèmes de réputation Web en temps réel, qui vont analyser plusieurs dizaines de paramètres pour tout serveur Web donné, et donner à celui-ci une note de réputation. Par exemple, si le site cnn.com est infecté par un iFrame qui redirige l'utilisateur vers un site frauduleux, la réputation Web va bloquer la redirection (le site frauduleux aura une réputation négative). En ne laissant plus passer des connexions qui auraient été jugées légitimes par des solutions traditionnelles reposant sur la catégorisation URL, la gestion de la réputation en temps réel permettra de conserver ouvert le réseau de l'entreprise, tout en agissant de manière préventive.