” Allons-nous attendre d’être victimes d’une attaque cyber-terroriste ou agit-on maintenant ? “, s’interrogeait Art Covello, le PDG de RSA Security, en ouverture de son salon européen, mardi matin. Sans tomber dans l’alarmisme d’Art Covello, les experts en sécurité, réunis à la conférence européenne de RSA Security, s’accordent sur la réelle menace que représentent les pirates informatiques.” On distingue quatre types de méfaits prisés par les pirates informatiques : le vol de biens (financiers, intellectuels comme le code source d’un programme…), la falsification de transactions Web, la récupération d’informations personnelles sur des clients et la défiguration d’un site Web “, observe Peggy Weigle, la PDG de Sanctum, un éditeur américain de logiciels de sécurité. ” Et, contrairement à ce que l’on pourrait penser, défigurer un site est l’un des hacks les plus difficiles à réaliser. Lorsque cela arrive à une entreprise, cela signifie qu’elle a de gros problèmes de sécurité “, ajoute-t-elle.Les entreprises ont déjà beaucoup investi dans la sécurité ces dernières années, la majorité d’entre elles protègent trois couches de leur informatique. Le poste de travail est protégé à l’aide d’un antivirus, la couche de transport est sécurisée grâce au cryptage informatique et la couche réseau s’abrite derrière un pare-feu. Mais cela ne suffit pas.” La seule couche que les entreprises ne sécurisent pas est celle des applications Web. Or, plus de 75 % des attaques exploitent les failles des applications Web, selon les chiffres du cabinet d’études Gartner, analyse Peggy Weigle. Si l’on observe les méthodes les plus utilisées par les pirates, on s’aperçoit que la plupart d’entre elles utilisent des dépassements de mémoire tampon, des formulaires malicieux, des cookies empoisonnés, etc. Des attaques contre lesquelles un pare-feu est impuissant. “
S’informer pour mieux se protéger
Également présent sur le salon, Stuart Mc Lane, l’auteur du best-seller
“Halte aux hackers” et cofondateur de la société de sécurité informatique Foundstone, a rappelé quelques principes de bases de la sécurité informatique.” Toutes les attaques réussies sont fondées sur une vulnérabilité. Il est donc important que les administrateurs système appliquent les correctifs de sécurité fournis par les éditeurs et s’abonnent aux listes de diffusion Web consacrées à la sécurité, a rappelé Stuart Mc Lane. Les outils de détection automatique de failles de sécurité sont utiles mais ne suffisent pas. Les attaques les plus nombreuses sont réalisées via http, sur le port 80. Les attaques exploitant des failles SQL sont également très populaires. “Pour démontrer ce dernier point, Stuart Mc Lane a expliqué une méthode d’attaque appelée ” injection de SQL “. En entrant une commande SQL particulière dans un type de formulaire utilisé par les banques en ligne, il parvenait à accéder à la base de données des clients et à leurs coordonnées bancaires.Petit frisson dans la salle : au moins une vingtaine de personnes assistant à la démonstration travaillaient pour des banques. Nul doute qu’elles sont reparties avec quelques vérifications à effectuer sur leurs systèmes, en guise de travaux pratiques !
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
