Afin de pouvoir dresser un portait robot du mode opératoire de certains hackers (ceux qui créent un dommage à une entité, selon l'éditeur), Imperva a réalisé un classement des sujets les plus discutés sur les forums spécialisés. Résultat, parmi les types d'attaques les plus discutées figure en première position le déni de service (DoS et DDoS), puis l'injection SQL, le spam, l'accès à la ligne de commande (Shell Code). Suivent ensuite et dans une moindre mesure la brute force, le 0-Day et l'injection HTML.
Effet Kiddies ? Pas vraiment puisqu'en scrutant d'autres forums plus privés, l'éditeur a également tenté de comprendre quelles étaient les vulnérabilités les plus utilisées par les hackers. Dans son rapport, il constate que le « Directory Traversal » est la méthode actuellement la plus utilisée. Elle consiste à réécrire une URL afin d'accéder à du contenu inaccessible ou protégé. Suivent ensuite l'utilisation de vulnérabilités XSS (Cross-site scripting ou diffusion d'un code sur une page insuffisamment sécurisée), l'injection SQL et l'attaque par RFI (Remote file inclusion).
Imperva explique la « popularité » de certaines vulnérabilités par le succès de groupes comme celui des LulzSec. Sylvain Gil, chef de produit Imperva, responsable de la Hacker Intelligence Initiative commente : « Désormais, faire un DoS est en quelque sorte le premier diplôme du hacker. Par contre, le mode opératoire des LulzSec est en cela significatif de la tendance actuelle. Outre cette méthode simple, ils ont utilisé de nombreuse injections SQL et aussi du cross-site scripting pour mener leurs attaques. Le groupe est ainsi parvenu à infecter pas moins de 8 000 serveurs, selon nos observations ».
Notifier les failles pour mieux sécuriser ?
Face à cet ensemble de menaces, l'éditeur souhaite orienter les professionnels afin de mieux comprendre les risques éventuels d'une perte de données ou d'une indisponibilité de leurs services Web. Dans cette optique, Imperva milite pour que la France se dote d'une législation qui, à l'image de la Grande-Bretagne ou de l'Allemagne, oblige les professionnels à notifier toute faille de sécurité constatée.
Un vœu qui pourrait bien être prochainement exaucé notamment pour les professionnels de la Santé. En effet, la Directive européenne dédiée à la protection des données personnelles doit être révisée au deuxième semestre 2011. Elle pourrait préconiser de nouvelles règles plus strictes pour certains secteurs (notamment la Santé) manipulant des données sensibles.
Ces derniers pourraient alors être obligés de notifier à la Cnil ainsi qu'aux patients toute « violation aux traitements de données à caractère personnel ». Dans ce cas, ces mêmes professionnels pourraient donc avoir à s'interroger sur les éventuelles failles sur leur réseau...