Un récent rapport publié par le cabinet Imperva s'est penché sur la sécurité des applications web ainsi que les enjeux des infrastructures de sécurité.
Au lendemain des attaques ayant touché Sony et PBS, les experts se sont intéressés à la sécurité des sites Internet. Au mois de juillet 2011, l'on estime à 357 292 065 le nombre de sites sur la Toile. L'année dernière la plupart des applications en ligne possédaient 230 vulnérabilités. « En estimant qu'1% des sites Internet soient commerciaux et requièrent un haut degré de protection, cela porte à 821 771 600 le nombre de vulnérabilités actives », explique ainsi Imperva.
Les experts ont ainsi analysé le trafic des attaques sur Internet durant une période de six mois entre décembre 2010 et mai 2011. Au total 10 millions d'attaques ont été scrutées « aussi bien celles passant par un réseau décentralisé de routeurs (TOR) que celles ciblant les applications web des entreprises et du gouvernement ». L'une des grandes tendances observées est la modernisation des botnets capables d'automatiser des scans afin de repérer d'éventuelles failles. « Ces botnets opèrent de manière aussi efficace que les bots de Google indexant les sites web », affirme le cabinet.
En moyenne un site Internet subirait 27 attaques par heure. Mais si ce dernier venait à croiser l'un de ces botnets, il pourrait encaisser jusqu'à 25 000 tentatives d'intrusion par heure ou 7 par seconde. En dressant une comparaison avec la base de données d'Alexa, il semblerait que la popularité des sites en question ne soit pas un facteur de choix pour les hackers, l'occasion pour Imperva de rappeler que n'importe quelle entreprise peut donc faire les frais de ces menaces.
Les experts ont discerné quatre types de manipulations : le Directory Traversal (visant à obliger l'application web à accéder à un fichier vérolé), le cross-site scripting (injection d'un script dans une page web ou manipulation de l'URL), l'injection SQL ou l'inclusion d'un fichier distant. Les deux premiers groupes d'attaques compte pour 75% de l'ensemble observé contre 23% pour l'injection SQL. Plus de 61% du trafic a été observé aux Etats-Unis contre 10% pour la Chine.
Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.
Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
