Livre blanc
Rapport HP 2012 sur les cyber-risques
Livre blanc | Rapport HP 2012 sur les cyber-risques
Table des matiegraveres3 Preacutesentation
Les vulneacuterabiliteacutes ou failles dites critiques sont en baisse mais constituent toujours une menace importante
Les technologies arriveacutees agrave maturiteacute posent toujours des risques
Les plates-formes mobiles offrent un terrain tregraves propice au deacuteveloppement de nouvelles vulneacuterabiliteacutes
Les applications Web demeurent une source importante de vulneacuterabiliteacutes
Les attaques par scripts intersites restent une menace majeure pour les organisations et les utilisateurs
La preacutevention des risques lieacutes aux attaques par script sur plusieurs cadres semble nulle
4 Tendances des vulneacuterabiliteacutes
La chasse aux vulneacuterabiliteacutes 19 de vulneacuterabiliteacutes en plus en 2012 quen 2011
Des marcheacutes qui ne cessent deacutevoluer et une complexiteacute accrue qui nuit agrave la deacutetection et la signalisation des vulneacuterabiliteacutes
Les applications Web posent toujours des risques importants pour les entreprises
La maturiteacute dune technologie ne deacutefinit pas son profil de vulneacuterabiliteacute
9 Vulneacuterabiliteacutes des applications Web
Des attaques deacutevastatrices
En-tecircte X-Frame-Options eacutechec de lancement
17 Seacutecuriteacute des applications mobiles
Fuite de donneacutees sensibles sur des canaux non seacutecuriseacutes
Les accegraves non autoriseacutes concernent quasiment la moitieacute des applications mobiles
Les dix principales vulneacuterabiliteacutes des applications mobiles
Recherche en technologie mobile la communication en champ proche (NFC) pour les applications mobiles de paiement
Recommandations
21 Conclusions
Militarisation des vulneacuterabiliteacutes
Vulneacuterabiliteacutes des technologies mobiles
Des technologies matures toujours autant de risques
Les applications Web restent vulneacuterables
23 Contributeurs
3
Preacutesentation
Dans ce rapport HP 2012 sur les cyber-risques HP Enterprise Security offre un large aperccedilu des vulneacuterabiliteacutes actuelles allant des donneacutees sectorielles geacuteneacuterales jusquagrave un examen attentif des diffeacuterentes technologies notamment dans le domaine du Web et des mobiles Lobjectif de ce rapport est de deacuteterminer des mesures de seacutecuriteacute exploitables indispensables aux organismes de collecte dinformations pour dresser et maicirctriser le panorama des vulneacuterabiliteacutes actuelles mais eacutegalement mieux deacuteployer leurs ressources afin de minimiser les risques de seacutecuriteacute
Pour eacutevaluer ces vulneacuterabiliteacutes sous un angle large le rapport se fonde sur les sources suivantes
bull Donneacutees de la base de donneacutees OSVDB (Open Source Vulnerability Database)1
bull Donneacutees de vulneacuterabiliteacute du programme Zero Day Initiative (ZDI)2 mis en place par HP
bull Analyse HP DVLabs des vulneacuterabiliteacutes et des donneacutees dexploitation malveillante
bull Donneacutees des tests de seacutecuriteacute statiques et dynamiques HP Fortify on Demand3
bull Reacutesultats des recherches Web meneacutees par le groupe HP Fortify Software Security Research en matiegravere de vulneacuterabiliteacutes
bull Donneacutees de Security Compass (partenaire HP) sur la vulneacuterabiliteacute des mobiles
A partir de ces donneacutees le rapport fait ressortir les principaux constats suivants
Les vulneacuterabiliteacutes ou failles dites critiques sont en baisse mais constituent toujours une menace importante Les vulneacuterabiliteacutes les plus graves (note CVSS4 entre 8 et 10) qui repreacutesentaient 23 de lensemble des vulneacuterabiliteacutes eacutevalueacutees et enregistreacutees dans la base de donneacutees OSVDB en 2011 ont connu une baisse de 20 en 2012 Si cette diminution est importante les donneacutees montrent neacuteanmoins que presque une vulneacuterabiliteacute sur cinq permet toujours agrave des attaquants de prendre le controcircle total dune cible
Les technologies arriveacutees agrave maturiteacute posent toujours des risquesComme le montre lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure qui preacuteconisait de deacutesactiver la plate-forme Java Standard Edition (SE) dOracle dans tous les navigateurs Web concerneacutes les technologies matures en apparence sont toujours la cible de nouvelles formes dexploitation malveillante Les donneacutees de 2012 montrent notamment que le nombre de vulneacuterabiliteacutes observeacutees dans les systegravemes de controcircle et de collecte de donneacutees (SCADA) est passeacute de 22 en 2008 agrave 191 en 2012 (soit une augmentation de 768 )
Lesplates-formesmobilesoffrentunterraintregravespropiceaudeacuteveloppement de nouvelles vulneacuterabiliteacutesFace au boom des appareils mobiles et des applications installeacutees dessus on note une explosion eacutequivalente du nombre de failles pour les technologies mobiles Les cinq derniegraveres anneacutees affichent une hausse de 787 du nombre de failles constateacutees dans le domaine des applications mobiles hausse notamment due aux nouvelles technologies comme la communication en champ proche (NFC) qui geacutenegraverent des failles de type ineacutedit
Lesapplications WebdemeurentunesourceimportantedevulneacuterabiliteacutesLes donneacutees OSVDB recueillies entre 2000 et 2012 montrent que sur les six principaux types de vulneacuterabiliteacute soumis quatre (linjection SQL les scripts intersites la falsification de requecircte intersites (CSRF) et les inclusions de fichiers agrave distance) concernent principalement ou exclusivement les applications Web
Les attaques par scripts intersites restent une menace majeure pour les organisations et les utilisateursLes scripts intersites (XSS) restent un problegraveme tregraves reacutepandu puisque 445 des applications dans nos jeux de donneacutees souffrent toujours de cette faille Un cas preacutecis celui de lanalyse dune entreprise multinationale montre que presque la moitieacute (4832 ) de ses applications Web se sont aveacutereacutees vulneacuterables face agrave une certaine forme dattaque XSS De plus agrave la lecture des recherches meneacutees speacutecifiquement pour les failles de type XSS dans le cadre du programme ZDI on constate que de nouvelles meacutethodes dexploitation de cette vulneacuterabiliteacute sont en permanence deacuteceleacutees
Livre blanc | Rapport HP 2012 sur les cyber-risques
1 Open Source Vulnerability Database osvdborg
2 Programme HP Zero Day Initiative zerodayinitiativecom
3 HP Fortify on Demand fortifymyappcom
4 Common Vulnerability Scoring System (CVSS) firstorgcvsscvss-guidehtml
4
La preacutevention des risques lieacutes aux attaques par script sur plusieurs cadres semble nulleLa premiegravere vulneacuterabiliteacute de type XFS deacutecouverte soit la cause racine des attaques de type clickjacking (deacutetournement de clic) remonte agrave plus de dix ans Depuis le clickjacking sest banaliseacute et pourtant moins de un pour cent des 100 000 URL testeacutees incluaient loutil de preacutevention le plus connu agrave savoir len-tecircte X-Frame-Options
Tendances des vulneacuterabiliteacutes
Pour comprendre les risques techniques en matiegravere de seacutecuriteacute il faut dabord savoir ougrave et comment les vulneacuterabiliteacutes surviennent au sein dune organisation Les vulneacuterabiliteacutes peuvent frapper agrave tous les niveaux de linfrastructure de lorganisation du mateacuteriel jusquau reacuteseau et aux logiciels (les nouveaux comme les anciens) Ces vulneacuterabiliteacutes sont la voie quempruntent des acteurs malveillants pour contourner les meacutecanismes de seacutecuriteacute et deacuterober ou endommager des donneacutees refuser des accegraves et compromettre les processus meacutetier strateacutegiques de lorganisation
En se basant sur les donneacutees de la base de donneacutees OSVDB (Open Source Vulnerability Database) et du programme HP Zero Day Initiative (ZDI) cette section du rapport deacutegage les tendances globales suivantes en matiegravere de vulneacuterabiliteacutes
bullLachasseauxvulneacuterabiliteacutes 19devulneacuterabiliteacutesenplusen 2012 quen 2011 Le nombre total de vulneacuterabiliteacutes releveacute offre un aperccedilu global des vulneacuterabiliteacutes actuelles et deacutevoile un panorama de cyber-menaces en perpeacutetuelle eacutevolution
bullDes marcheacutes qui ne cessent deacutevoluer et une complexiteacute accrue qui nuit agrave la deacutetection et la signalisation des failles Les donneacutees de divulgation des vulneacuterabiliteacutes montrent limpact des eacutevolutions du marcheacute des vulneacuterabiliteacutes et de la complexiteacute technique des systegravemes sur le nombre et la graviteacute des vulneacuterabiliteacutes signaleacutees
bullLesapplications Webposentencoreaujourdhuidesrisquestechniquesimportantspourlesorganisations Une petite poigneacutee dapplications Web strateacutegiques vulneacuterables repreacutesente toujours une large minoriteacute des vulneacuterabiliteacutes totales deacutecouvertes en 2012
bullLamaturiteacutedunetechnologienedeacutefinitpassonprofildevulneacuterabiliteacute Les donneacutees recueillies en 2012 montrent une augmentation de plus de 700 du nombre de vulneacuterabiliteacutes deacutecouvertes ayant un impact agrave la fois sur les systegravemes de controcircle et de collecte de donneacutees SCADA (principale technologie utiliseacutee) et sur les appareils mobiles (la prochaine eacutetape dans le deacuteveloppement des technologies de linformation)
Lachasseauxvulneacuterabiliteacutes 19 devulneacuterabiliteacutesenplusen 2012quen 2011Le nombre total de nouvelles vulneacuterabiliteacutes signaleacutees au cours de lanneacutee 2012 (8 137) montre une augmentation denviron 19 par rapport au nombre enregistreacute en 2011 (6 844) mais il demeure infeacuterieur agrave 19 au nombre record de 2006 Ce reacuteajustement constant du nombre de vulneacuterabiliteacutes signaleacutees montrent bien que la guerre que se livrent les organisations et les attaquants fait rage sans quun vainqueur ne se deacutegage clairement (voir la Figure 1)
Figure 1 Vulneacuterabiliteacutes deacutecouvertes et enregistreacutees dans la base de donneacutees OSVDB entre 2000 et 2012
0
2 000
4 000
6 000
8 000
10 000
12 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Nom
bre
tota
l de
vuln
eacuterab
iliteacute
s
Livre blanc | Rapport HP 2012 sur les cyber-risques
5
Laffichage par anneacutee des donneacutees OSVDB montre clairement que les vulneacuterabiliteacutes deacutecouvertes nont cesseacute dosciller depuis le niveau record de 2006 et quaucune tendance agrave la hausse ou agrave la baisse ne sest deacutegageacutee dans les anneacutees qui ont suivi Le nombre total de vulneacuterabiliteacutes apparues au cours dune anneacutee preacutecise ne mesure pas neacutecessairement la seacutecuriteacute globale du secteur Il indique plutocirct comment les changements dans la maniegravere de deacutetecter divulguer et exploiter les vulneacuterabiliteacutes peuvent grandement varier dune anneacutee sur lautre La section suivante souligne comment ces changements du marcheacute des vulneacuterabiliteacutes expliquent en partie ces variations
Des marcheacutes qui ne cessent deacutevoluer et une complexiteacute accrue qui nuit agrave la deacutetection et la signalisation des vulneacuterabiliteacutesMecircme si le nombre des vulneacuterabiliteacutes signaleacutees reste largement infeacuterieur au niveau record observeacute en 2006 un examen des facteurs ayant une incidence sur la deacutetection et la divulgation des failles est primordial Les informations de vulneacuterabiliteacute peuvent ecirctre distribueacutees via diffeacuterents canaux notamment des programmes communautaires comme la base de donneacutees OSVDB ou le programme HP ZDI des consultants priveacutes en seacutecuriteacute les programmes Bug Bounty (recherche de vulneacuterabiliteacutes reacutecompenseacutee) des fabricants et le marcheacute noir clandestin
Si la base de donneacutees OSVDB offre un excellent aperccedilu du paysage actuel des vulneacuterabiliteacutes elle permet seulement de recenser les vulneacuterabiliteacutes qui sont publiquement divulgueacutees ou directement transmises agrave lorganisation De plus en plus les agences de conseil speacutecialiseacutees en seacutecuriteacute deacutecouvrent et achegravetent des vulneacuterabiliteacutes qui sont ensuite directement divulgueacutees agrave leurs groupes priveacutes de clients Cette pratique ignore un grand nombre de vulneacuterabiliteacutes qui ne sont pas comptabiliseacutes dans les reacutesultats publics
Un autre eacuteleacutement qui complique le deacutefi que posent les vulneacuterabiliteacutes est la complexiteacute des logiciels actuels La seacutecuriteacute est devenue est une prioriteacute croissante et pour lutter contre les attaques incessantes de personnes malveillantes les organisations ont doteacute leurs logiciels de meacutecanismes de seacutecuriteacute et ajouteacute des fonctionnaliteacutes pour contrecarrer les initiatives de deacutecouverte et dexploitation non autoriseacutees de leurs vulneacuterabiliteacutes Ces mesures nont pas seulement contribueacute agrave combler des lacunes elles ont eacutegalement compliqueacute davantage la deacutetection des vulneacuterabiliteacutes qui demeuraient
Le changement dorientation des marcheacutes publics et priveacutes des vulneacuterabiliteacutes associeacute agrave la complexiteacute croissante quimplique lidentification des vulneacuterabiliteacutes a fait grimper la valeur des vulneacuterabiliteacutes agrave fort potentiel dexploitation (celles avec une note CVSS entre 8 et 10) Cette augmentation amegravene deux conclusions
bull Les chercheurs en seacutecuriteacute doivent deacutevelopper des compeacutetences eacutetendues dans des systegravemes speacutecifiques pour rester efficaces
bull Les chercheurs beacuteneacuteficient dun meilleur retour sur investissement pour les vulneacuterabiliteacutes graves qui atteignent des prix plus eacuteleveacutes
Cependant avec la hausse theacuteorique du nombre total de vulneacuterabiliteacutes hautement exploitables signaleacutee par lOSVDB en 2012 le pourcentage du nombre total de vulneacuterabiliteacutes signaleacutees avec une note CVSS eacuteleveacutee a diminueacute pour passer de 23 en 2011 agrave 20 en 2012 (voir la Figure 2) Notez que lOSVDB nexige pas de note CVSS pour signaler des vulneacuterabiliteacutes Les vulneacuterabiliteacutes sans note CVSS ont la valeur Zeacutero dans la figure
Figure 2 Panorama de la graviteacute des vulneacuterabiliteacutes dapregraves les donneacutees de lOSVDB (2000 agrave 2012)
0
2 000
4 000
6 000
8 000
10 000
12 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Zeacutero 1 2 3 4 5 6 7 8 9 10
Livre blanc | Rapport HP 2012 sur les cyber-risques
6
Un eacuteleacutement qui contraste avec cette hausse modeste du nombre de vulneacuterabiliteacutes hautement exploitables signaleacutees en 2012 est la tendance globale des donneacutees de lOSVDB puisque ces derniegraveres montrent que le pourcentage pour ce type de vulneacuterabiliteacute a augmenteacute de maniegravere consideacuterable et homogegravene au cours des dix derniegraveres anneacutees (voir la Figure 3)
Figure 3 Graviteacute des vulneacuterabiliteacutes OSVDB sur dix ans
Graviteacute moyennement eacuteleveacutee (note CVSS 5 agrave 7) Graviteacute la plus eacuteleveacutee (note CVSS 8 agrave 10)Graviteacute la moins eacuteleveacutee (note CVSS 1 agrave 4)
8
2002 2007 2012
17
75
14
22 64
20
36
44
Entre 2002 et 2007 les vulneacuterabiliteacutes moyennement graves (note CVSS entre 5 et 7) formaient la majoriteacute des deacutecouvertes Cette peacuteriode comporte une hausse importante du nombre total de vulneacuterabiliteacutes deacuteclareacutees agrave un moment ougrave les outils de test agrave donneacutees aleacuteatoires (fuzzing) devenaient la norme et les chercheurs commenccedilaient agrave identifier les vulneacuterabiliteacutes les plus reacutepandues et simples agrave deacutetecter gracircce agrave lautomatisation Depuis ce nombre a nettement baisseacute notamment gracircce aux organisations de deacuteveloppement qui par le biais de lautomatisation ont pu identifier et reacutesoudre ces vulneacuterabiliteacutes avant que les chercheurs ne les trouvent
Par quoi sexplique alors le pourcentage en deacutecrue des vulneacuterabiliteacutes agrave fort potentiel dexploitation observeacute en 2012 Les donneacutees commerciales laissent agrave penser que du fait des compeacutetences et du temps requis pour deacutevoiler et deacutemontrer le potentiel dexploitation des vulneacuterabiliteacutes les plus graves un nombre sans cesse croissant de ce type de vulneacuterabiliteacute est vendu sur des marcheacutes commerciaux priveacutes (gris) ou clandestins (noirs) ce qui les exclut (du moins provisoirement) de tout recensement public comme celui de lOSVDB
Lesapplications Webposenttoujoursdesrisquesimportantspourles entreprisesLa Figure 4 met en eacutevidence les six vulneacuterabiliteacutes les plus reacutepandues signaleacutees dans lOSVDB deacutepassement de meacutemoire tampon deacuteni de service inclusion de fichier agrave distance injection SQL scripts intersites et falsification de requecircte intersites (CSRF) Toutes sont potentiellement exploitables agrave distance
Figure 4 Les vulneacuterabiliteacutes les plus courantes dans lOSVDB preacutesenteacutees par cateacutegories (2000 agrave 2012)
0
600
1 200
1 800
2 400
3 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Deacutepassement de meacutemoire tampon
Deacuteni de service
Inclusions de fichiers agrave distance
Injection SQL
Scripts intersites
Falsification de requecirctes intersites
Sur ces six cateacutegories de vulneacuterabiliteacute quatre (linjection SQL les scripts intersites la falsification de requecircte intersites (CSRF) et les inclusions de fichiers agrave distance) ont principalement ou exclusivement un impact sur les applications Web et repreacutesentent 40 du volume total de vulneacuterabiliteacutes deacutecouvertes en 2012 selon lOSVDB
Si le nombre de vulneacuterabiliteacutes Web a atteint un niveau record en 2006 il a eacutevolueacute depuis et de maniegravere similaire au nombre global de vulneacuterabiliteacutes (voir la Figure 5)
Livre blanc | Rapport HP 2012 sur les cyber-risques
7
Figure 5 Vulneacuterabiliteacutes des applications Web et des applications non Web
0
2 000
4 000
6 000
8 000
10 000
12 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Vulneacuterabiliteacutes des applications Web Vulneacuterabiliteacutes des applications non Web
On peut en conclure que si les vulneacuterabiliteacutes des applications non connecteacutees au Web repreacutesentent toujours la majoriteacute des vulneacuterabiliteacutes divulgueacutees quelques cateacutegories de vulneacuterabiliteacutes des applications Web introduisent encore des risques techniques consideacuterables pour les organisations
LamaturiteacutedunetechnologienedeacutefinitpassonprofildevulneacuterabiliteacuteLun des changements majeurs de paradigme technique au cours de la derniegravere deacutecennie a eacuteteacute ladoption massive dappareils mobiles capables dexeacutecuter des applications personnaliseacutees Au cours des cinq derniegraveres anneacutees seulement les donneacutees OSVDB ont afficheacute une croissance de 787 du nombre de vulneacuterabiliteacutes deacutecouvertes dans le cas des technologies mobiles (voir la Figure 6) La derniegravere anneacutee agrave elle seule montre une augmentation de 68 avec 158 vulneacuterabiliteacutes deacutecouvertes en 2011 et 266 en 2012
Figure 6 Vulneacuterabiliteacutes deacutecouvertes pour les technologies mobiles et eacutevalueacutees par lOSVDB entre 2008 et 2012
0
50
100
150
200
250
300
2008 2009 2010 2011 2012
Par comparaison les systegravemes de controcircle et de collecte de donneacutees (SCADA) qui controcirclent les processus industriels automatiseacutes notamment dans les domaines de la fabrication la production deacutelectriciteacute le secteur minier et le traitement des eaux sappuient sur des technologies beaucoup plus abouties Ces systegravemes qui opeacuteraient historiquement sur des reacuteseaux distincts avec des protocoles proprieacutetaires ont ensuite entameacute une migration vers des reacuteseaux standard et mecircme Internet dans le but de simplifier la gestion des ressources la facturation et les aspects opeacuterationnels A mesure que ces systegravemes ont quitteacute leurs reacuteseaux isoleacutes distincts des problegravemes de seacutecuriteacute autrefois masqueacutes par une surface dattaque reacuteduite ont commenceacute agrave se manifester
Livre blanc | Rapport HP 2012 sur les cyber-risques
8
Dapregraves les donneacutees de lOSVDB 76 vulneacuterabiliteacutes seulement ont eacuteteacute deacutetecteacutees dans les systegravemes SCADA entre 2008 et 2010 En revanche apregraves la deacutecouverte en 2010 du ver Stuxnet dans une usine denrichissement duranium iranienne lattention sest focaliseacutee sur la seacutecuriteacute des systegravemes SCADA En 2011 164 vulneacuterabiliteacutes ont eacuteteacute recenseacutees dans les systegravemes SCADA et ce nombre a atteint 191 en 2012 soit une augmentation de 768 par rapport aux chiffres de 2008 (voir la Figure 7)
Figure 7 Vulneacuterabiliteacutes des systegravemes SCADA deacutecouvertes et eacutevalueacutees par lOSVDB entre 2008 et 2012
0
50
100
150
200
250
2008 2009 2010 2011 2012
ProgrammeZero Day Initiative coupdœilsur 2012Gracircce agrave la position de leader du ZDI en qualiteacute de programme dacquisition des vulneacuterabiliteacutes les chercheurs de leacutequipe ont maintes fois eu loccasion danalyser certaines des vulneacuterabiliteacutes les plus inteacuteressantes et les plus deacutebattues qui sont survenues au cours des douze derniers mois Les cas dignes dinteacuterecirct suivants observeacutes en 2012 illustrent le croisement des marcheacutes blanc et noir
Au deacutebut de lanneacutee 2012 une vulneacuterabiliteacute des services Bureau agrave distance Microsoftreg (ZDI-12-044 MS12-020 et CVE-2012-0002) a fait lobjet de toutes les attentions
bull Le ZDI a signaleacute cette faille speacutecifique agrave Microsoft en aoucirct 2011
bull Aucune attaque exteacuterieure connue ne fut signaleacutee mais consciente de son pouvoir dattraction aupregraves des attaquants la socieacuteteacute Microsoft sattendait deacutejagrave agrave des exploitations imminentes pour mars 2012
bull Il eacutetait possible dacceacuteder agrave cette faille sur le reacuteseau avant toute authentification requise Elle se manifestait deacutejagrave lors de la gestion des erreurs au moment du chargement des eacuteleacutements dans un tableau
Un mois plus tard Samba publia un correctif tregraves attendu fondeacute sur une faille identifieacutee par un chercheur du ZDI (TPTI-12-04 CVE-2012-1182)
bull Le ZDI signala cette faille agrave Samba en septembre 2011
bull Aucune attaque exteacuterieure connue ne fut signaleacutee mais la vulneacuterabiliteacute incrimineacutee comptait parmi les vulneacuterabiliteacutes les plus graves pour un programme et Samba traita sans attendre le problegraveme
bull Cette faille nexigeait aucune connexion authentifieacutee et aboutissait agrave une meacutemoire corrompue quun attaquant pouvait librement exploiter pour exeacutecuter du code agrave distance
La fin de lanneacutee 2012 fut une peacuteriode dactiviteacute intense pour les attaques de type zero-day qui toucha autant Oracle (CVE-2012-0422 CVE-2012-3174) que Microsoft (MS13-008 CVE-2012-4792) Le ZDI eacutetait aux premiegraveres loges et signala une vulneacuterabiliteacute importante de Java lieacutee agrave une faille zero-day
bull Le ZDI signala cette faille Java agrave Oracle en deacutecembre 2012
bull Cette faille eacutetait exploiteacutee au grand jour
bull Elle permettait agrave une applet malveillante dexeacutecuter un code fourni par un attaquant et de le faire agrave distance dans le contexte de lutilisateur actuel
Ces cas ne sont pas les seuls cas geacutereacutes par le ZDI en 2012 mais ils montrent bien le croisement des marcheacutes noir et blanc dans cette chasse aux vulneacuterabiliteacutes Une chose est sucircre nos chercheurs sont engageacutes dans une course contre la montre visant agrave identifier et divulguer de maniegravere responsable les vulneacuterabiliteacutes des technologies logicielles les plus reacutepandues
Livre blanc | Rapport HP 2012 sur les cyber-risques
9
Vulneacuterabiliteacutesdesapplications Web
Pour dresser un tableau plus complet des vulneacuterabiliteacutes actuelles leacutequipe HP Fortify on Demand sest reacuteunie et a analyseacute les reacutesultats de milliers deacutevaluations pour savoir agrave quoi ressemble la seacutecuriteacute des applications Web de linteacuterieur Pour cela elle a proceacutedeacute agrave des examens de code et des tests de peacuteneacutetration Un examen minutieux des reacutesultats des analyses statiques (recherche de vulneacuterabiliteacutes dans le code source sans exeacutecution de ce dernier) et dynamiques (tests de fonctionnement du logiciel en qualiteacute dattaquant sans accegraves au code mecircme) constitue une base solide pour eacutetablir un reacuteel eacutetat des lieux en matiegravere de risques pour les applications Web
Les jeux deacutechantillons utiliseacutes pour cette analyse comprenaient 200 applications choisies au hasard pour lanalyse dynamique et 800 applications pour lanalyse statique La Figure 8 montre les cinq principales vulneacuterabiliteacutes deacutecouvertes dans le cadre de lanalyse dynamique en 2012
Figure 8 Cinq principales vulneacuterabiliteacutes deacutecouvertes lors de lanalyse dynamique en 2012 via HP Fortify on Demand
45
26 25
13
9
0
5
10
15
20
25
30
35
40
45
50
Scripts intersites ProtectionTransport
Layer insuffisante
Mauvaiseconfiguration
de seacutecuriteacute
Gestion delauthentification
et des sessiondeacutefaillante
Failles dinjection
Les reacutesultats dynamiques obtenus agrave partir de ce jeu deacutechantillons ainsi que dautres reacutesultats consigneacutes dans ce rapport montrent que les attaques par script intersite constituent toujours une menace importante lors de toute tentative de seacutecurisation des applications Web Si lon tient compte de la premiegravere place quoccupent les attaques par script intersite parmi les types de vulneacuterabiliteacute acquis par le ZDI lanneacutee derniegravere et de lampleur reacuteelle de ces attaques confirmeacutee par des tests reacutepeacuteteacutes les organisations peuvent agrave juste titre les consideacuterer comme une preacuteoccupation majeure en matiegravere de seacutecuriteacute
La Figure 9 deacutecrit le mode opeacuteratoire dune attaque par script intersite classique et comment lexploiter pour deacuterober des informations didentification dauthentification sur des sites strateacutegiques
Livre blanc | Rapport HP 2012 sur les cyber-risques
10
Figure 9 Anatomie dune attaque par script intersite reacutefleacutechie
Site bancaire
Utilisateur creacutedule
Attaquantmalveillant
1 Un attaquant deacutecouvre une faille XSS dans une application Web
3 Lattaquant distribue le lien XSS malveillant via dingeacutenierie sociale agrave des utilisateurs creacutedules
2 Lattaquant creacutee une URL dattaque pour voler des informations sensibles et la deacuteguise afin quelle paraisse leacutegitime
4 Lorsque la victime se connecte JavaScript qui est inteacutegreacute au lien XSS malveillant sexeacutecute et transmet les informations de connexion de la victime agrave lattaquant
La Figure 10 montre les cinq principales vulneacuterabiliteacutes deacutecouvertes dans le cadre de lanalyse statique en 2012 et inclut le pourcentage relatif dapplications toucheacutees par chaque cateacutegorie de vulneacuterabiliteacute
Figure 10 Cinq principales vulneacuterabiliteacutes deacutecouvertes lors de lanalyse statique en 2012 via HP Fortify on Demand
92 88 86
75
61
0
10
20
30
40
50
60
70
80
90
100
Fuites dinformationset gestion des
erreurs inapproprieacutee
Stockagedes donneacutees
cryptographiquesnon seacutecuriseacute
Failles dinjection Reacutefeacuterencedobjet directenon seacutecuriseacutee
Gestion delauthentification et des
session deacutefaillante
Les reacutesultats de lanalyse statique reacutevegravelent que les fuites dinformation les problegravemes de stockage des donneacutees cryptographiques et les failles dinjection sont les vulneacuterabiliteacutes les plus freacutequentes Un eacuteleacutement non citeacute dans cette liste des cinq principales vulneacuterabiliteacutes est que pour 51 des applications il eacutetait question dune attaque par script intersite reacutefleacutechie (voir la Figure 9 ci-avant) Sil ne figure pas dans la liste il reste neacuteanmoins un eacuteleacutement important si on lajoute aux autres reacutesultats de ce rapport
Les reacutesultats de ces jeux deacutechantillons confirment nettement que les applications Web souffrent encore aujourdhui de nombreuses faiblesses pourtant jugeacutees critiques par les diverses normes industrielles en vigueur Les cinq principales cateacutegories de vulneacuterabiliteacute qui dominent les reacutesultats sont souvent celles qui exposent les applications Web agrave des risques importants notamment le vol dinformations lescalade de privilegraveges etc Ces deux jeux deacutechantillons nous amegravenent agrave la conclusion que les organisations ne parviennent toujours pas agrave appliquer des mesures coheacuterentes pour faire face agrave des vulneacuterabiliteacutes omnipreacutesentes comme les scripts intersites et les fuites dinformation
Livre blanc | Rapport HP 2012 sur les cyber-risques
11
Un autre eacuteleacutement agrave retenir est que la vulneacuterabiliteacute la plus employeacutee par des attaquants en relation avec dautres vulneacuterabiliteacutes connues est la fuite dinformation Un eacuteleacutement dinformation preacutecis peut sembler sans inteacuterecirct mais peut pourtant ecirctre le composant cleacute qui permettra agrave un attaquant dimposer une technique pour mener une attaque plus deacutevastatrice encore En somme pour preacuteparer et reacuteussir une attaque des techniques minutieuses de collecte des informations et de reconnaissance sont indispensables
Risquesdesapplications Web eacutetudedecas
ProfildelasocieacuteteacuteGrande entreprise multinationale (plus de 100 000 employeacutes) avec un chiffre daffaires de plus de 82 milliards de dollars pour lexercice fiscal 2012
Cette entreprise dispose dun programme de seacutecuriteacute actif et opeacuterationnel Les reacutesultats montrent les efforts qui sont neacutecessaires pour geacuterer entiegraverement les risques lieacutes agrave la seacutecuriteacute des applications Les reacutesultats qui suivent proviennent de plus de 1 300 eacutevaluations dynamiques uniques meneacutees sur les divers sites de lentreprise Dans legravere de la seacutecuriteacute des applications modernes une vulneacuterabiliteacute est souvent une de trop
Reacutesultats
bull 541 des eacutevaluations ont reacuteveacuteleacute des cookies persistants LAgence europeacuteenne chargeacutee de la seacutecuriteacute des reacuteseaux et de linformation (ENISA) emploie le terme cookies doux-amers pour parler de ces cookies Les cookies persistants augmentent consideacuterablement la probabiliteacute dattaques par relecture en raison de la dureacutee de validiteacute prolongeacutee des cookies La divulgation dinformations sur des ordinateurs publics partageacutes peut eacutegalement produire des cookies persistants Parce que les cookies servent entre autres agrave observer le comportement des utilisateurs il est probable que les avantages potentiels quils preacutesentent pour lentreprise aient quelque peu relayeacute les questions de seacutecuriteacute au second plan
bull Un peu moins de la moitieacute (4832 ) des sites eacutetaient vulneacuterables face agrave une certaine forme dattaque par script intersite
bull Presque un cinquiegraveme (1957 ) des sites contenaient un formulaire de connexion non crypteacute agrave scheacutema mixte ougrave les informations dune page HTTP eacutetaient publieacutees dans une page HTTPS ou inversement
bull 1277 des eacutevaluations eacutetaient vulneacuterables agrave une certaine forme dinjection SQL Le plus intrigant cest que 1097 des eacutevaluations confirmaient les vulneacuterabiliteacutes dinjection SQL agrave laveugle Si lon tient compte du caractegravere particuliegraverement dangereux des injections SQL agrave laveugle et du fait que ces vulneacuterabiliteacutes sont souvent employeacutees pour compromettre un systegraveme ce pourcentage pose de graves problegravemes
bull Un autre cinquiegraveme (197 ) des sites eacutetaient vulneacuterables aux connexions transmises via une connexion non crypteacutee ce qui signifie que le formulaire nutilisait pas le protocole SSL
bull 526 des sites eacutetaient exposeacutes agrave une vulneacuterabiliteacute de lectureinclusion de fichier local Sil eacutetait jugeacute sensible le contenu du fichier pouvait ecirctre utiliseacute pour prendre le controcircle du systegraveme
Des attaques deacutevastatricesOutre des statistiques les organismes chargeacutes de collecter des informations de seacutecuriteacute ont eacutegalement besoin dobservations et dideacutees Dans cette optique la section qui suit propose une liste sommaire des attaques deacutevastatrices que les responsables des tests de peacuteneacutetration chez HP Fortify on Demand ont deacutecouvertes en 2012 Chaque compte a eacuteteacute deacutecouvert moyennant autorisation au cours dopeacuterations approuveacutees meneacutees agrave lencontre de sites de production avec des difficulteacutes techniques allant des plus simples aux plus complexes Le deacutenominateur commun est que toutes les attaques avaient des conseacutequences extrecircmement graves si elles eacutetaient deacutecouvertes par un attaquant malveillant Pour des raisons eacutevidentes les noms des clients nont pas eacuteteacute inclus mais les secteurs eux-mecircmes sont inseacutereacutes dans la liste pour illustrer le danger potentiel et la pertinence des attaques Si ces exemples revecirctent un caractegravere anecdotique par deacutefinition ils profitent de lexpeacuterience et des avis de nos responsables de tests de peacuteneacutetration dune maniegravere que les simples statistiques ne permettent pas Lagrave encore la seacutecuriteacute est plus quune affaire de produits Cest un processus
Attaques par injection et attaques par validation dentreacutee incorrecte Secteurs dactiviteacute peacutetrochimie industrie alimentaire eacutenergie et logicielsTeacuteleacutechargementsdefichiersnonseacutecuriseacutesetconfigurationincorrectedelaseacutecuriteacute Un programme client lourd permettait agrave nimporte quel utilisateur de charger (au moyen de sa fonction de chargement intrinsegraveque) des programmes malveillants sur un serveur Web muni daucune protection contre ce type de programme Environ 30 000 utilisateurs dans le monde entier se servaient de ce programme les risques eacutetaient donc particuliegraverement grands Les fonctions de teacuteleacutechargement de fichiers doivent impeacuterativement faire preuve de meacutefiance agrave leacutegard des types de fichiers acceptables La Figure 11 deacutecrit les conseacutequences de ce sceacutenario
Livre blanc | Rapport HP 2012 sur les cyber-risques
12
Figure 11 Lautorisation de teacuteleacutechargements de fichiers peut avoir des conseacutequences seacutevegraveres
Teacuteleacutechargementsde fichiers
non valideacutes
Aucuneprotectionpar logiciel
anti-programmemalveillant
30 000utilisateurs
sont infecteacutes parle logiciel
malveillant
Injection SQLagravelaveugle les fonctionnaliteacutes daide agrave la recherche (une seacuterie de cases agrave cocher conccedilues pour aider les utilisateurs agrave restreindre leurs critegraveres de recherche) sans validation dentreacutee ont abouti agrave laffichage de 35 bases de donneacutees dID dutilisateur de systegraveme de base de donneacutees et de hachages de mot de passe y compris le compte dadministrateur systegraveme Linjection SQL agrave laveugle peut ecirctre difficile agrave deacuteceler parce quelle geacutenegravere rarement des messages derreur et manifeste un comportement applicatif anormal Les requecirctes parameacutetrables eacutegalement appeleacutees instructions preacutepareacutees empecircchent avec efficaciteacute les attaques par injection SQL si elles ont correctement mises en place5 La Figure 12 deacutecrit cette seacutequence
Instructions SQLentexteclair lors des tests effectueacutes sur une application cliente lourde il a eacuteteacute deacutecouvert que le client exeacutecutait des instructions SQL directement sur le serveur SQL principal avec des autorisations de niveau administrateur sur HTTP Une escalade des privilegraveges utilisateur et la modification des mots de passe furent possibles en soumettant le protocole agrave une ingeacutenierie agrave rebours et en le manipulant (voir la Figure 13)
Inclusiondefichierlocal des techniques de traversement de reacutepertoires (Directory Traversal) et dinclusion de fichier local ont eacuteteacute employeacutees pour afficher le contenu du fichier SAM (Gestionnaire de comptes de seacutecuriteacute) de sauvegarde du serveur Web qui permettait de deacutecoder les mots de passe Au bout de dix minutes il eacutetait possible pour un administrateur local dacceacuteder au systegraveme et de tout compromettre Les routines de validation dentreacutee quelles soient inheacuterentes agrave lapplication ou interviennent au niveau de configuration du serveur Web auraient eacutelimineacute ce vecteur
AttaquesvisantagraveexploiterunemauvaiseconfigurationdeseacutecuriteacuteSecteurs dactiviteacute peacutetrochimie et secteur bancaire internationalImpossibiliteacutederestreindrelaccegravesauxreacutepertoiressensibles dans ce cas le reacutepertoire deacutecouvert eacutetait ldquohttpswwwexamplecompasswordsrdquo Naturellement aucun dossier ldquopasswordsrdquo tout du moins public ne devrait exister Le dossier eacutetait accessible via des navigateurs Web sans aucune authentification et comprenait une liste de reacutepertoires avec des fichiers texte aux noms divers tels que ldquopasswordsprojectrdquo ou mecircme ldquopasswordssystemsrdquo Un simple clic sur un fichier provoquait louverture dun document texte muni dune liste dutilisateurs et de mots de passe au format suivant userpassword Une des listes contenait mecircme ldquosysadminpassword adminpassword etchelliprdquo (voir la Figure 14) Ceci illustre la neacutecessiteacute et limportance de la validation danalyse post-automatique puisque cette vulneacuterabiliteacute qui pose de faibles risques en apparence pouvait aiseacutement passer inaperccedilu aux yeux du client Qui plus est le problegraveme aurait pu ecirctre eacuteviteacute si laccegraves au reacutepertoire avait eacuteteacute restreint comme il le fallait
Leprotocole WebDAVactiveacuteautorisaitlesopeacuterationsdeacutecritureagravedistance Le mode dactivation du protocole WebDAV sur un serveur Web en particulier permettait agrave des utilisateurs dapplications distants de communiquer avec lhocircte et deacutecrire des fichiers dans des reacutepertoires arbitraires Lexploitation de cette vulneacuterabiliteacute permettait de teacuteleacutecharger une porte deacuterobeacutee personnaliseacutee puis de lexeacutecuter en parcourant le chemin daccegraves agrave lURL du fichier reacutecemment transfeacutereacute Une fois exeacutecuteacutee elle offrait la possibiliteacute de controcircler entiegraverement le serveur Web En preacutevoyant de plus amples tests la personne chargeacutee de ces tests pouvait librement poursuivre une attaque contre dautres hocirctes sur le reacuteseau interne de lentreprise processus appeleacute glissement (pivoting) La suppression de laccegraves WebDAV et de meacutethodes HTTP exteacuterieures aurait pu eacuteviter cette attaque
Injection SQLetcommandesdevalidationdentreacuteefaibles Un filtre SQL filtrait tout agrave lexception de lopeacuterateur ldquoORrdquo Cela signifie essentiellement quapregraves insertion de lopeacuterateur ldquoORrdquo dans une instruction SQL chaque commande serait exeacutecuteacutee sur le systegraveme Le parameacutetrage des requecirctes empecircchera les attaques par injection SQL La Figure 15 deacutecrit le deacuteroulement seacutequentiel dune attaque par injection SQL
Livre blanc | Rapport HP 2012 sur les cyber-risques
5 httpswwwowasporgindexphpSQL_Injection_Prevention_Cheat_Sheet
Figure 12 Injection SQL agrave laveugle
Injection SQLagrave laveugle
Voldinformationsutilisateur
Accegraves agraveladministrationsystegraveme
Figure 13 Instructions SQL en texte clair
Protocoledingeacutenierie clientserveur agrave rebours
Exeacutecution SQL
Reacuteinitialisation dumot de passe avec
des privilegravegesplus eacuteleveacutes
Figure 14 Restriction daccegraves impossible
Accegraves au reacutepertoire non restreint
passwrdsprojectuserpassword sysadminmot de passe
passwordssystems fichier
httpswwwexamplecompasswords reacutepertoire
13
Figure 15 Anatomie dune attaque par injection SQL
Site bancaireBase de donneacutees
de la banque
1=1
Attaquant malveillant
1 Lattaquant envoie des informations suppleacutementaires telles quun guillemet ou 1=1 avec des informations de connexion ou inclure des variablespour modifier linstruction SQL originale
3 Une fois que le scheacutema de base de donneacutees a eacuteteacute deacutefini lattaquant peut extraire les donneacutees contenues dans la base de donneacutees notamment les noms dutilisateur les mots de passes les informations de carte de creacutedit etc
2 Avec lapproche par essais et erreurs lattaquant peut construire des arguments SQL pouvant ecirctre utiliseacutes pour reacutecupeacuterer des donneacutees telles que des noms de tableaux ou des noms delignes etc
Mauvaiseconfiguration SAP Linteacutegraliteacute de la base de donneacutees des cartes de creacutedit eacutetait accessible et eacutetait transfeacutereacutee dans un fichier Les commandes configureacutees dans la structure SAP mise en place eacutetaient de qualiteacute meacutediocre et permettaient agrave des repreacutesentants du service clientegravele dexeacutecuter des transactions agrave caractegravere sensible y compris le navigateur de donneacutees HR (SE16) Cette fonction eacutetait exploiteacutee pour parcourir et charger le contenu tout entier de la table des donneacutees des cartes de creacutedit des clients Accessibles de cette maniegravere toutes les donneacutees pouvaient aiseacutement ecirctre exporteacutees agrave laide de comptes SAP avec des privilegraveges moindres
AttaquesparauthentificationparsessionlogiqueetautresattaquesSecteurs dactiviteacute compagnies aeacuteriennes secteur bancaire international et eacutenergieListedebilletsdavionviadesservices Webdecreacuteationdecodes QRmobiles Les testeurs eacutetaient capables de reconstituer agrave rebours une partie de la fonction des services Web pour creacuteer des numeacuteros de billets De faux codes QR de billets davion eacutetaient ainsi geacuteneacutereacutes pour des vols aeacuteriens Il est tout est fait possible que lexploitation de cette fonction ait permis aux attaquants de voler gratuitement En labsence de controcircles preacuteventifs efficaces ils pouvaient senregistrer librement par le biais de leurs appareils mobiles Le recours agrave une fonction de controcircle aleacuteatoire standard des numeacuteros de billets aurait pu eacutegalement eacuteviter ce problegraveme
Figure 16 Creacuteation de mots de passe dynamiques agrave cryptage facilement reacuteversible
AttaqueSQL
Servicedauthen-tification
Web
Capturedu trafic chiffreacute
Deacutesactivationdu chiffrement
du mot depasse
Randomisationdes mots de
passeinsuffisante
Accegravesadministrateur
agrave la basede donneacutees
Deacutesactivation du chiffrement -mot de passe devinable
Accegraves complet agrave labase de donneacutees avec des
autorisations dadministrateur
Livre blanc | Rapport HP 2012 sur les cyber-risques
14
Creacuteationdemotsdepassedynamiquesagravecryptagefacilementreacuteversible lapplication cliente lourde testeacutee communiquait avec un service Web qui se chargeait dabord dauthentifier lutilisateur qui tentait de se connecter Ensuite lapplication demandait le mot de passe au serveur de base de donneacutees principal Au deacutepart le mot de passe eacutetait crypteacute pour la transmission mais simultaneacutement lors dune autre attaque SQL un indicateur de la base de donneacutees a eacuteteacute renverseacute deacutesactivant et annulant ainsi les effets du cryptage Il sest aveacutereacute que le systegraveme mettait en place des mots de passe dynamiques qui changeaient freacutequemment cependant apregraves regroupement des nombreux mots de passe un scheacutema eacutevident est apparu Le mot de passe suivait une chronologie et eacutetait donc facile agrave deviner Un accegraves direct agrave la base de donneacutees avec des autorisations administratives fut confirmeacute et compromit entiegraverement le systegraveme (voir la Figure 16)
Leservice Webautorisaitdesrequecirctes SQLdirectes une application autorisait des connexions agrave sa base de donneacutees principale via un interpreacuteteur Web accessible sur Internet sans authentification Avec des connaissances limiteacutees en SQL un attaquant pouvait aiseacutement extraire toutes les donneacutees enregistreacutees dans la base de donneacutees cliente y compris les deacutetails complets des comptes des utilisateurs noms dutilisateurs mots de passe adresses de messagerie et autres informations didentification personnelle
En partageant les reacutesultats de ces tests de peacuteneacutetration en conditions reacuteelles notre but est dattirer lattention sur la creacuteativiteacute sans bornes et la deacutetermination sans fin des attaquants malveillants Les testeurs de peacuteneacutetration cherchent agrave reproduire ces techniques pour tenter deacutevaluer avec efficaciteacute chaque commande de seacutecuriteacute et sassurer que les donneacutees sensibles et les fonctions applicatives sont proteacutegeacutees Comme le prouvent ces reacutesultats les tests de seacutecuriteacute automatiseacutes seuls ne mesurent pas inteacutegralement la politique globale dun environnement en matiegravere de seacutecuriteacute et doivent ecirctre compleacuteteacutes par une analyse manuelle
Dans la section suivante les chercheurs HP en seacutecuriteacute de logiciels cherchent agrave mettre agrave jour une vulneacuterabiliteacute cruciale souvent utiliseacutee conjointement avec les nombreuses attaques et techniques mentionneacutees plus haut et pour lesquelles une strateacutegie de preacutevention efficace reste globalement agrave mettre en place
En-tecircteX-Frame-Options eacutechecdelancementPour illustrer la nature toujours changeante de la seacutecuriteacute des applications Web les speacutecialistes du groupe HP Software Security Research ont examineacute une vulneacuterabiliteacute deacutejagrave reconnue et officiellement appeleacute script sur plusieurs cadres ou XFS XFS est un outil indispensable pour tout attaquant qui tente deacutelaborer une attaque de hameccedilonnage (phishing) ou dingeacutenierie sociale dans le but de charger un site Web vulneacuterable dans une balise iFrame HTML sur une page malveillante controcircleacutee par un attaquant Ce dernier peut alors extraire des eacuteveacutenements (des seacutequences de touches par exemple) appeleacutes par un utilisateur quelconque sur le site Web cibleacute
Les vulneacuterabiliteacutes XFS ouvrent eacutegalement la voie aux attaques de type clickjacking6 qui trompent les utilisateurs en les incitant agrave cliquer sur des eacuteleacutements preacutecis sur le site Web cibleacute chargeacute agrave linteacuterieur dune balise iFrame invisible Souvent ces reacutesultats aboutissent sur des actions non voulues voire privileacutegieacutees Depuis des anneacutees les chercheurs mettent en garde contre linefficaciteacute des protections par code frame-busting baseacute sur des scripts dans la preacutevention des menaces du XFS Pourtant les deacuteveloppeurs et les administrateurs de serveur qui les assistent ont toujours uniquement recours au meacutecanisme JavaScript (Figure 17) pour deacutetecter des attaques XFS
Les diverses meacutethodes de preacutevention contre XFS se sont maintes fois montreacutees incomplegravetes ou inefficaces Le plus reacutepandu de ces modes de preacutevention est la logique de frame-busting (destruction) de JavaScript ou plus preacuteciseacutement un script cocircteacute client qui ressemble agrave celui preacutesenteacute dans la Figure 175
Figure 17 Logique classique de frame-busting JavaScript
ltscriptgt
if (top=self) toplocationhref = selflocationhref
ltscriptgt
Livre blanc | Rapport HP 2012 sur les cyber-risques
6 cvedetailscomcveCVE-2002-1217
15
Outre les nombreuses variantes de cette technique quil est facile de deacutenicher en ligne des contre-mesures datteacutenuation ont eacutegalement eacuteteacute mises en place pour lutter aussi contre ces variantes avec des regravegles grosso modo eacutequivalentes agrave celles du jeu de la taupe
Comme le montre la Figure 18 la premiegravere vulneacuterabiliteacute XFS documenteacutee a eacuteteacute deacutecouverte il y a plus de 10 ans7 Depuis le clickjacking est devenu une vulneacuterabiliteacute reacutepandue et malgreacute cela moins de un pour cent de nos eacutechantillons incluait loutil de preacutevention le plus connu agrave savoir len-tecircte X-Frame-Options
Figure 18 Bref historique des eacuteveacutenements majeurs lieacutes agrave la deacutetection de failles de type XFS (script sur plusieurs cadres)
29062002Bug iFrame Jesse Rudermana
28102002Premier CVE XFS connub
16112005Echec des techniques de Framec
21052008Premiegravere mention publique de lattribut iFrame sandboxd
12092008Le terme clickjacking est inventeacutee
26012009Premier navigateur prenant en charge des options X-Framef
17062010Busting Frame Bustinga Study of ClickjackingVulnerabilities on Popular Sitesg
27012012Facebook poursuit uneentreprise de clickjackingh
11072012Dernier conseilXFS connui
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
a httpsbugzillamozillaorgshow_bugcgiid=154957 b httpwwwcvedetailscomcveCVE-2002-1217 c httpcryptostanfordeduframebust d httphtml5orgtoolsweb-apps-trackerfrom=1642ampto=1643 e httpwwwsectheorycomclickjackinghtm f httpblogsmsdncombiearchive20090126internet-explorer-8-release-candidate-now-availableaspx g httpcdnlytlpublicationsbusting-frame-busting-a-study-of-clickjacking-vulnerabilities-on-popular-sitespdf h httpwwwguardiancouktechnology2012jan27facebook-sues-clickjacking-firm-adscend i httposvdborgshowosvdb83762
Lhistoire du XFS (Cross-Frame Scripting ou scripts sur plusieurs cadres) remonte agrave la publication dun rapport relativement banal sur un comportement observeacute par Jesse Ruderman en 20028 et devenu aujourdhui un eacuteleacutement moteur dun autre pheacutenomegravene communeacutement appeleacute clickjacking Un eacuteleacutement cleacute de la reacutegression identifieacutee en matiegravere de seacutecuriteacute eacutetait la deacutecision dajouter lattribut sandbox agrave leacutebauche de la speacutecification HTML5 pour la balise iFrame au milieu de lanneacutee 2008
Les chercheurs ont deacutemontreacute que plusieurs contre-mesures datteacutenuation eacutetaient possibles avec des bugs des navigateurs ou des astuces JavaScript Le dernier eacuteleacutement ajouteacute agrave cette liste comme le montre la Figure 19 est lutilisation dune fonction de seacutecuriteacute introduite dans la speacutecification HTML5 sous la forme dun attribut sandbox iFrame que les attaquants peuvent exploiter pour deacutesactiver les protections de frame-busting de JavaScript
Figure 19 Attribut sandbox iFrame
ltiframe sandbox=rdquoallow-scriptsrdquo src=rdquohttpexamplecomrdquogtltiframegt
Lobjet de lattribut sandbox est daccorder lautorisation dexeacutecuter des scripts (allow-scripts) dans le contenu cibleacute A titre accessoire toutes les logiques de frame-busting employeacutees par examplecom sont effectivement deacutesactiveacutees en lui refusant lautorisation allow-top-navigation dans sa speacutecification sandbox
Gracircce agrave lattribut sandbox cette technique permet agrave un attaquant de deacutejouer de maniegravere efficace toutes les tentatives de frame-busting que megravenent les deacuteveloppeurs pour se proteacuteger de tout encadrement de site et toute opeacuteration de clickjacking par des tiers Les eacutediteurs de navigateurs ont introduit et valideacute une technique de preacutevention baseacutee sur des strateacutegies bien plus forte gracircce agrave len-tecircte X-Frame-Options Les deacuteveloppeurs peuvent se servir de cet en-tecircte pour dicter au navigateur les actions adeacutequates agrave entreprendre si leur site est inclus dans un iFrame Malheureusement ladoption de cette fonction parmi les deacuteveloppeurs est tregraves lente et offre aux attaquants un vaste terrain de sites potentiellement exploitables agrave mesure quils deacutecouvrent de nouvelles techniques pour contourner les scripts de frame-busting Ceci rend plus indispensable encore ladoption et la mise en œuvre de len-tecircte X-Frame-Options puisque ce dernier constitue la solution de facto agrave ce problegraveme et reste en vigueur mecircme lorsque le nouvel attribut sandbox HTML5 est utiliseacute Voilagrave donc ce qui motive notre projet de recherche et ce qui est agrave lorigine de notre question de deacutepart Combien de domaines incluent des en-tecirctes X-Frame-Options et combien le font correctement
Livre blanc | Rapport HP 2012 sur les cyber-risques
7 cvedetailscomcveCVE-2002-1217 8 httpsbugzillamozillaorgshow_bug
cgiid=154957
16
Collection de jeux deacutechantillons Dans le cadre de cette eacutetude le groupe HP Fortify Software Security Research a meneacute des recherches pour eacutevaluer agrave quel point les faibles pratiques de preacutevention des attaques XFS restent aujourdhui adopteacutees et font autoriteacute Nos reacutesultats soulignent eacutegalement la reacuteticence et le rythme dadoption tregraves lent dautres meacutethodes plus seacutecuriseacutees recommandeacutees par des speacutecialistes des navigateurs et des experts en seacutecuriteacute
Alexa9 fut utiliseacute pour renseigner une collection de 100 000 sites Web (les plus connus) et geacuteneacuterer une liste distribueacutee dans de nombreux secteurs diffeacuterents Une fois la liste de deacutepart creacuteeacutee avec ses 100 000 URL les demandes de niveau supeacuterieur furent assembleacutees en concateacutenant ldquohttprdquo dans lURL obtenue Par exemple
ldquohttprdquo + exemplecom = httpexemplecom
Ensuite la nouvelle URL composeacutee fut demandeacutee et la reacuteponse obtenue examineacutee de maniegravere passive agrave la recherche des eacuteleacutements suivants
bull La preacutesence dun en-tecircte X-Frame-Options et de ses valeurs respectives
bull La preacutesence dun champ de mot de passe dans la reacuteponse de la demande de niveau supeacuterieur Un champ de mot de passe est censeacute indiquer un niveau de sensibiliteacute qui doit ecirctre proteacutegeacute par lapplication
bull Si la preacutesence de len-tecircte neacutetait pas respecteacutee lURL cible eacutetait soumise agrave des tests suppleacutementaires afin de distinguer si une tentative de deacutejouer les attaques XFS avait eu lieu Le recours agrave la preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade a eacuteteacute enregistreacute pour une analyse ulteacuterieure
Reacutesultats90 des eacutechantillons analyseacutes nont jamais rien tenteacute pour se proteacuteger des attaques XFS De tous les domaines doteacutes dune protection active contre les attaques XFS 62 ont recours agrave des meacutecanismes de preacutevention faibles fondeacutes sur les scripts Sur les 100 000 domaines testeacutes 19 848 disposaient de champs de mot de passe dans la demande de niveau supeacuterieur avec seulement 101 domaines preacutecisant un en-tecircte X-Frame-Options Celasignifieque01 deseacutechantillonssontproteacutegeacutesDe plus plus de 99 des eacutechantillons oubliaient de speacutecifier un en-tecircte X-Frame-Options tandis que 19 dentre eux avaient une raison dinclure len-tecircte mais ne lont pas fait
Les reacutesultats montrent que soit les deacuteveloppeurs ne sont pas suffisamment informeacutes des risques que posent les vulneacuterabiliteacutes XFS soit ils ne souhaitent consacrer aucun effort agrave la protection de leurs visiteurs Si 2 307 eacutechantillons deacutevoilaient des protections contre les attaques XFS seulement 38 ont opteacute pour lutilisation de len-tecircte X-Frame-Options preacuteconiseacute 1 432 eacutechantillons ont montreacute quils employaient toujours des techniques de preacutevention et datteacutenuation fondeacutees sur JavaScript ou les feuilles de style en cascade qui se sont aveacutereacutees insuffisantes (voir la Figure 20)
Les 875 domaines fondeacutes sur len-tecircte X-Frame-Options affichaient la distribution de valeurs suivante
1 702 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur SAMEORIGIN
2 151 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur DENY
3 13 des 875 domaines eacutetaient deacutefinis avec lattribut Allow-from
4 8 des 875 valeurs fournies eacutetaient conformes agrave leacutebauche de lIETF10
Aucun des 13 domaines utilisant lattribut Allow-from ne preacutecisait un caractegravere geacuteneacuterique () reacuteduisant les risques lieacutes agrave une politique de libre accegraves La Figure 21 preacutesente ces valeurs sous forme de pourcentages
Livre blanc | Rapport HP 2012 sur les cyber-risques
9 httpsbugzillamozillaorgshow_bugcgiid=154957
10 httptoolsietforghtmldraft-ietf-websec-x-frame-options-01
Figure 20Preacutevention des risques lieacutes aux scripts sur plusieurs cadres
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade 62
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade
Options X-Frame 38
Options X-Frame
Figure 21Reacutepartition des valeurs den-tecircte X-Frame-Options fournies
REFUS 17 Allow-from
2 Autres (valeurs non en conformiteacute)1
MEcircME ORIGINE 80
17
Encadrementintersites conclusionIl est eacutevident que toutes les ressources nont pas besoin decirctre proteacutegeacutees contre les attaques XFS Cependant il demeure des situations ougrave la mise en place dune protection adeacutequate est justifieacutee et indispensable Une mesure employeacutee pour identifier ces cas au cours de cette eacutetude eacutetait la preacutesence dun champ de saisie de mot de passe dans un formulaire Les pages dauthentification sont les plus exposeacutees agrave une attaque de type clickjacking En se focalisant sur les pages munies de champs pour la saisie des mots de passe lanalyse tente deacutetablir un lien entre la sensibiliteacute dune ressource et les efforts investis pour la proteacuteger Une des statistiques les plus surprenantes dans lanalyse est que seulement 103 des 100 000 domaines proteacutegeaient comme il se doit les pages avec des champs de mots de passe confidentiels soit un taux exorbitant de 010 qui suggegravere que la puissance et lefficaciteacute de len-tecircte ont fait lobjet dune mauvaise promotion nont pas obtenu ladheacutesion des administrateurs des serveurs ou nont pas seacuteduit les deacuteveloppeurs
Il convient de souligner que si un peu plus de 80 des reacuteponses ne contenaient aucun champ de mot de passe cela ne veut pas dire pour autant quil ne faut pas proteacuteger le contenu Autrement dit leacutechantillon nincluait aucun champ de mot de passe dans la demande de niveau supeacuterieur Il est donc tregraves probable que beaucoup dautres sites sexposent agrave des risques en avanccedilant plus loin dans larborescence du site La mesure la plus importante agrave noter est le pourcentage remarquable de sites sans en-tecircte X-Frame-Options soit 99
Apregraves une analyse approfondie des reacutesultats des recherches speacutecialiseacutees consacreacutees aux attaques XFS la section qui suit se concentre agrave nouveau sur ce qui semble ecirctre le sujet de conversation le plus populaire en 2012 en matiegravere de seacutecuriteacute la seacutecuriteacute des applications mobiles
Seacutecuriteacutedesapplicationsmobiles
Dix secondes dans une file dattente nimporte ougrave suffisent pour se rendre compte que lutilisation dappareils mobiles a litteacuteralement exploseacute En fait pour la premiegravere fois 2012 est lanneacutee pendant laquelle le nombre de smartphones vendus a deacutepasseacute le nombre dordinateurs portables et dordinateurs de bureau agrave la fois11 Cette augmentation a eacuteteacute suivie aussi dune hausse proportionnelle des risques surtout au moment ougrave les entreprises essaient de mettre agrave profit les avantages quoffre la mobiliteacute Comme nous lavons vu plus haut lOSVDB a signaleacute une hausse de 68 du nombre de vulneacuterabiliteacutes signaleacutees pour les technologies mobiles depuis 2011 soit une augmentation de 787 sur les cinq derniegraveres anneacutees Lors de nos tests nous sommes toujours revenus au mecircme constat Si vous posseacutedez des donneacutees des attaquants chercheront agrave sen emparer
Pour eacutevaluer leacutetat actuel de la seacutecuriteacute des applications mobiles leacutequipe HP Fortify on Demand a rassembleacute les reacutesultats de plus de 70 applications mobiles agrave la recherche de failles de seacutecuriteacute Ce jeu deacutechantillons concernait plus de 50 organisations uniques et de nombreux secteurs au niveau local et international Il peut donc ecirctre consideacutereacute comme une repreacutesentation relativement preacutecise dune application mobile moyenne Les reacutesultats montrent que les vulneacuterabiliteacutes qui compromettent la seacutecuriteacute des applications mobiles sont les mecircmes que pour les applications classiques Ils montrent eacutegalement quun problegraveme surtout se distingue des autres Dans le paysage informatique actuel la fuite dinformation est un problegraveme particuliegraverement reacutepandu et neacutefaste La demande croissante dinformations des travailleurs mobiles allieacutee aux services de cloud de plus en plus omnipreacutesents et agrave une hausse des appareils grand public non geacutereacutes sur le reacuteseau dentreprise repreacutesente un deacutefi notable pour de nombreuses organisations
Fuite de donneacutees sensibles sur des canaux non seacutecuriseacutesLa fuite de donneacutees est un problegraveme de longue date pour les applications Web Si elle peut paraicirctre un problegraveme dampleur modeacutereacutee elle implique souvent une information en apparence inoffensive qui permet agrave un attaquant de renforcer sa strateacutegie dattaque pour mener une attaque plus dangereuse encore La mecircme chose vaut pour les applications mobiles Plus des trois quarts (77 ) des applications mobiles dans notre eacutetude eacutetaient vulneacuterables et en proie agrave des fuites dinformations Nous avons deacutecouvert que les donneacutees personnelles dun utilisateur eacutetaient souvent transmises via des protocoles reacuteseau non crypteacutes comme le protocole HTTP Il sagissait pour la plupart dinformations simples comme des noms des adresses et des numeacuteros de teacuteleacutephone Cependant dans notre jeu deacutechantillons ces donneacutees comprenaient eacutegalement lemplacement actuel de lutilisateur ainsi que lidentifiant unique de lappareil (eacutegalement appeleacute UDID)
Livre blanc | Rapport HP 2012 sur les cyber-risques
11 voiceswashingtonpostcomposttech201011smartphone_sales_to_pass_compuhtml
18
LUDID est primordial pour un appareil car il peut servir agrave des attaques extrecircmement cibleacutees contre des utilisateurs en particulier Si les donneacutees de geacuteolocalisation lidentifiant unique de lappareil et les donneacutees personnelles eacutetaient intercepteacutees sur une application vulneacuterable ce que cela implique dans la reacutealiteacute est eacutetonnant Un attaquant pourrait localiser une cible dans le monde reacuteel et les possibiliteacutes qui souvriraient alors agrave lui seraient illimiteacutees Cest la porte ouverte agrave un sceacutenario effroyable que la plupart des gens ne soupccedilonnent pas Bien entendu lexploitation dapplications simples et banales peut eacutegalement avoir lieu Imaginez le sceacutenario suivant Si lapplication transmet lUDID le nom complet ladresse et ainsi de suite agrave un service Web vulneacuterable et que ce dernier est la cible potentielle dune attaque par injection SQL on conccediloit aiseacutement que chaque bit de donneacutees sur cet appareil mobile soit accessible Il est eacutetonnant de voir jusquougrave une fuite dinformation peut mener un attaquant si les circonstances jouent en sa faveur et que tout alors est du domaine du probable voire du possible
Les donneacutees transmises sur des canaux non seacutecuriseacutes ne se limitaient pas aux donneacutees personnelles Les donneacutees applicatives elles non plus neacutetaient pas proteacutegeacutees Nous avons deacutecouvert que des informations de connexion des informations didentification utilisateur des ID de session des jetons et des donneacutees dentreprise sensibles eacutetaient transmises via des protocoles reacuteseau non crypteacutes agrave linstar du protocole HTTP Imaginez les conseacutequences pour une application bancaire vulneacuterable Si des informations didentification des identificateurs de session des informations didentification personnelle ou dautres donneacutees strateacutegiques sont transmises vers un serveur principal la transmission se doit decirctre seacutecuriseacutee sans quoi les donneacutees peuvent ecirctre intercepteacutees par un attaquant au moyen doutils ou dapplications de capture de paquets reacuteseau courants (par exemple DroidSheep)
Les recherches ont montreacute que 375 des applications pouvaient ecirctre la cible dune vulneacuterabiliteacute impliquant une forme quelconque dautorisation notamment des mots de passe en texte clair des mots de passe codeacutes en dur et des mots de passe inteacutegreacutes agrave la reacuteponse Ce pourcentage bien plus eacuteleveacute que pour les applications dites traditionnelles prouve eacutegalement que les deacuteveloppeurs dapplications mobiles doivent travailler davantage pour proteacuteger leurs donneacutees
Dautres vulneacuterabiliteacutes deacutetecteacutees en nombres importants incluaient les attaques de type stack-smashing Plus de la moitieacute des vulneacuterabiliteacutes (5545 ) noffraient aucune protection adeacutequate contre ce type dattaque Si cet oubli nentraicircne pas lexeacutecution du code il peut quand mecircme geacuteneacuterer une panne injustifieacutee de lapplication vulneacuterable
Qui plus est 135 des applications eacutetaient vulneacuterables agrave des attaques XSS Ceci fut une reacuteelle surprise puisque tous les autres ensembles dapplications que nous avons testeacutes mobiles et traditionnels reacuteveacutelaient des nombres de vulneacuterabiliteacutes XSS plus eacuteleveacutes Un examen plus attentif de ces nombres a montreacute que les applications vulneacuterables eacutetaient des applications destineacutees autant agrave la gestion de la finance que des bases de donneacutees En dautres termes le faible pourcentage ne reacuteduisait pas limpact potentiel
Les accegraves non autoriseacutes concernent quasiment la moitieacute des applications mobilesNous avons chercheacute dautres donneacutees en examinant les reacutesultats obtenus par notre partenaire Security Compass lors de ses tests sur dautres applications A de nombreux eacutegards ils confirment les chiffres eacutevoqueacutes preacuteceacutedemment
48 des applications eacutetaient la proie de vulneacuterabiliteacutes daccegraves non autoriseacute Elles valident les vulneacuterabiliteacutes dauthentification (375 ) que nous avons eacutevoqueacutees dans notre eacutechantillon plus haut Les chiffres montrent que les deacuteveloppeurs dapplications mobiles doivent autant se concentrer sur la preacutevention des accegraves non autoriseacutes sur les applications mobiles que sur les moyens de faciliter laccegraves pour les utilisateurs leacutegitimes
37 des applications posaient des problegravemes de divulgation dinformations sensibles 26 avaient recours agrave des pratiques de connexion meacutediocres et 19 affichaient des messages derreur de mauvaise qualiteacute qui reacuteveacutelaient des informations susceptibles decirctre exploiteacutees par des attaquants Ceci corrobore nos donneacutees preacuteceacutedentes car nous avons vu agrave quel point les fuites dinformations eacutetaient importantes Lors du codage des applications mobiles les deacuteveloppeurs ne tiennent pas compte de ce quimplique la seacutecuriteacute pour le stockage la transmission et laccegraves des donneacutees
33 des applications eacutetaient vulneacuterables agrave des attaques XSS Des tests reacutepeacutetitifs montrent que les attaques par script intersite (XSS) sont autant une menace pour les applications mobiles que pour les applications stationnaires Ces reacutesultats sont en phase avec ce que nous avons constateacute lors des tests des applications traditionnelles
Livre blanc | Rapport HP 2012 sur les cyber-risques
19
26 des applications employaient une meacutethode de cryptage inadapteacutee Le cryptage sur des ordinateurs dentreprise est aujourdhui une pratique standard pour la plupart des entreprises du classement Fortune 500 Il y a dix ans la presse regorgeait dhistoires de donneacutees deacuterobeacutees sur des ordinateurs perdus Les risques dans ce domaine se sont reacuteduits dune part gracircce aux mesures leacutegislatives mises en places et dautre part parce que les entreprises ont eu loccasion de lapprendre agrave leurs deacutepens Pourtant ces mecircmes pratiques standard ne sont pas appliqueacutees aux appareils mobiles et agrave legravere du BYOD (Bring your own device) cela peut saveacuterer dangereux
Les dix principales vulneacuterabiliteacutes des applications mobiles Le partenaire dHP Security Compass a eacutegalement analyseacute les vulneacuterabiliteacutes des applications mobiles et les a eacutetiqueteacutees par type (voir la Figure 22) Ainsi donc agrave quoi les applications moyennes sont-elles le plus vulneacuterables par ordre de preacutevalence des vulneacuterabiliteacutes A quels types dattaques par incident les applications mobiles sont-elles le plus vulneacuterables
Sur les dix principales vulneacuterabiliteacutes constateacutees en matiegravere dapplications mobiles XSS affichait le deuxiegraveme taux le plus eacuteleveacute et repreacutesentait 15 de toutes les vulneacuterabiliteacutes deacutecouvertes dans ce jeu deacutechantillons Les chiffres confirment eacutegalement que lorsquelles sont consigneacutees par ordre doccurrence les vulneacuterabiliteacutes de fuite dinformation et daccegraves non autoriseacuteauthentification indiquent aux deacuteveloppeurs dapplications mobiles comment ils peuvent mieux seacutecuriser leurs applications en concentrant davantage leurs efforts sur ces domaines
Rechercheentechnologiemobile lacommunicationenchampproche (NFC)pourlesapplicationsmobilesdepaiementNous avons constateacute que les vulneacuterabiliteacutes lieacutees aux applications mobiles eacutetaient en hausse constante mais il est indispensable eacutegalement danticiper et de connaicirctre les nouvelles vulneacuterabiliteacutes qui verront le jour Les nouvelles technologies introduisent en permanence des failles de seacutecuriteacute possibles La plate-forme mobile ne fait pas exception Lune de ces nouvelles technologies est la communication en champ proche (NFC) La communication en champ proche (NFC) deacutesigne une meacutethode de communication de donneacutees sans contact entre des appareils proches les uns des autres Elle a deacutejagrave eacuteteacute adopteacutee en Europe et en Asie et fait depuis peu des adeptes en Ameacuterique du Nord Le Forum NFC (consortium regroupant plusieurs membres tels que Sony Nokia et Philips) applique des normes strictes pour les fabricants dappareils compatibles NFC Les eacutediteurs dapplications disposent ainsi dune architecture seacutecuriseacutee et dune infrastructure compatible qui leur permettent dexploiter cette technologie pour des applications de paiement mobiles et le partage de donneacutees (par exemple leacutechange de devises entre homologues)
Il existe actuellement plusieurs smartphones compatibles NFC Cest le cas du Googletrade Nexus 5 du Samsung Galaxy S II et des BlackBerry Bold 9900 et 9930 Plusieurs socieacuteteacutes exploitent aujourdhui cette technologie
bull Google Wallet conteneur seacutecuriseacute pour les informations de carte de creacutedit qui facilite les transactions NFC
bull MasterCard PayPass service de paiement sans contact (actuellement pris en charge dans Google Wallet)
bull Visa payWave service de paiement sans contact
bull PayPal meacutethode bump (application Bump) pour le transfert dargent ou la reacutealisation de paiements entre utilisateurs
bull Apple iPhone prise en charge de la NFC attendue dans une prochaine version (non confirmeacutee)12
Problegravemes de seacutecuriteacutePlusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (donneacutees de carte de creacutedit ou numeacuteros de comptes) sont transmises via un canal NFC sur un appareil mobile Voici des exemples de cas reacuteels constateacutes reacutecemment dans le domaine de la seacutecuriteacute
Cas 1La technologie NFC est employeacutee dans le cadre de solutions de paiement grand public avec deux modes de mise en œuvre distincts
bull Puce NFC dans des cartes de creacutedit grand public telles que MasterCard PayPass et Visa payWave
bull NFC utiliseacutee dans des solutions de portefeuille mobile
Livre blanc | Rapport HP 2012 sur les cyber-risques
12 Il existe actuellement des eacutediteurs agrave linstar de DeviceFidelity qui proposent des composants tiers qui reproduisent la prise en charge de la communication en champ proche (NFC) pour les appareils iPhone
Figure 22Preacutevalence des dix principales vulneacuterabiliteacutes (en pourcentage)
Accegraves non autoriseacute 18
Scripts intersites 15
Divulgation dinformations sensibles 12
Traitementnon seacutecuriseacute des sessions 11
Vulneacuterabiliteacutes du traitement des cookies 9
Meacutethode de cryptage inadapteacutee 9
Pratiques de connexion meacutediocres 8
Saisie semi-automatique sur des formulaires agrave donneacutees sensibles 6
Informations didentificationen texte clair 6
Messages derreur de mauvaise qualiteacute 6
20
Le deacutefi du premier mode de mise en œuvre est double le premier est que pour la plupart des eacutemetteurs de cartes de creacutedit linstallation de la puce NFC est obligatoire le deuxiegraveme est que par deacutefinition la puce NFC est toujours activeacutee Par exemple si la carte de creacutedit dun utilisateur est dans le champ dun lecteur NFS actif comme celui que lon rencontre dans un terminal de point de vente la carte de creacutedit transmet automatiquement le numeacutero de carte de creacutedit de lutilisateur au lecteur NFS de reacuteception A preacutesent imaginez le sceacutenario pour les appareils mobiles les plus modernes eacutequipeacutes de puces NFS inteacutegreacutees Dans le monde dAndroid il existe des applications conccedilues pour activer la puce NFC de lappareil mobile pour reproduire le comportement du lecteur NFS dun terminal de point de vente A laide dun appareil mobile ou dune application de ce genre un attaquant peut potentiellement activer la puce NFC de son appareil Android croiser des gens dans un endroit peupleacute et tenter danalyser leurs cartes de creacutedit pour recueillir leur numeacutero de compte permanent (PAN)
Les solutions de portefeuille mobile NFC sont souvent vulneacuterables agrave ce mecircme type dattaque si la solution concerneacutee ne deacutesactive pas ou ne retire pas la puce NFC une fois lexeacutecution dune transaction termineacutee Heureusement cette vulneacuterabiliteacute peut facilement ecirctre reacutesolue par des deacuteveloppeurs de solutions de portefeuille mobile sils retirent la puce NFC apregraves usage
Cas 2Plusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (par exemple des donneacutees de carte de creacutedit ou des numeacuteros de comptes) sont transmises via un canal NFC
bull Ecoute tentative dintercepter la communication des donneacutees de transmission NFC (par exemple proxy NFC)
bull Manipulation des donneacutees tentative de manipuler la communication des donneacutees de transmission NFC (par exemple pour identifier des reacutesultats erroneacutes)
bull Attaques par interception tentative dexploitation des modes actifpassif de lappareil pour envoyer et recevoir la communication des donneacutees de transmission NFC
bull Vol tentative dacceacuteder sans autorisation agrave lapplication de paiement mobile (comme si lappareil a eacuteteacute voleacute ou perdu) et examen des fichiers stockeacutes sur lappareil agrave la recherche dinformations sensibles
Cas 3Au cœur mecircme de la fonction NFC se trouve un composant appeleacute eacuteleacutement seacutecuriseacute Deux types de mise en œuvre de cet eacuteleacutement sont possibles (1) les eacuteleacutements incorporeacutes dans lappareil et (2) les eacuteleacutements chargeacutes dans une carte SIM Dans les cas ougrave leacuteleacutement seacutecuriseacute est chargeacute dans une carte SIM il est possible que la carte SIM soit retireacutee et eacutechangeacutee sous les yeux dun utilisateur creacutedule Cette situation aboutit agrave des sceacutenarios dattaque semblables aux suivants
bull Echange de carte SIM avec un autre appareil (du mecircme type) pour tenter dacceacuteder au contenu de leacuteleacutement seacutecuriseacute Dans certains cas lutilisation dun appareil de type diffeacuterent peut offrir un accegraves suppleacutementaire aux informations de leacuteleacutement seacutecuriseacute sil nest pas mis en œuvre de maniegravere seacutecuriseacutee Par exemple il existe un risque de contournement de lapplication de paiement ou de la protection du mot de passe au niveau du teacuteleacutephone en cas deacutechange de carte SIM dans un teacuteleacutephone eacutequivalent avec lapplication de paiement et sans mot de passe
bull Identification des donneacutees contenant des informations sensibles dans leacuteleacutement seacutecuriseacute situeacute dans la carte SIM apregraves une opeacuteration de restauration sur un autre appareil Il peut sagir aussi dattaques visant agrave cloner ou copier la carte SIM au moyen dun mateacuteriel externe
Notez que la difficulteacute daccegraves agrave leacuteleacutement seacutecuriseacute offre une certaine garantie sur lenvironnement de seacutecuriteacute de leacuteleacutement seacutecuriseacute sur lappareil cible
Cas 4Dans certains cas il est possible que limpleacutementation de lapplet VMPA dans leacuteleacutement seacutecuriseacute nait pas tenu compte de tous les eacuteleacutements de seacutecuriteacute Il peut sagir par exemple dune signature et dun controcircle daccegraves insuffisants de lapplet VMPA qui permettent agrave une application quelconque de deacutemarrer et dy soumettre des requecirctes Cette situation peut offrir agrave une application non autoriseacutee la possibiliteacute dappeler lapplet VMPA via la commande APDU (JSR 177) Une requecircte bien formuleacutee peut potentiellement permettre dactiver la radio NFC et de transmettre des informations de carte de creacutedit
Livre blanc | Rapport HP 2012 sur les cyber-risques
21
Bien que des informations et une analyse exactes peuvent ecirctre obtenues agrave partir dun appareil dinvestigation (si un accegraves agrave ce type de mateacuteriel est disponible) il nexiste pour lheure aucun outil autorisant laccegraves agrave des informations de leacuteleacutement seacutecuriseacute Leacuteleacutement seacutecuriseacute comme son nom lindique fournit des meacutecanismes de seacutecuriteacute preacutecis (par exemple controcircle daccegraves cryptage et reacutepartition) qui empecircchent lextraction dinformations sensibles eacuteventuelles Cest pourquoi un accegraves dinvestigation explicite agrave leacuteleacutement seacutecuriseacute nest actuellement pas possible mecircme avec un outil dinvestigation distribueacute par les leaders du marcheacute
RecommandationsIl existe des mesures que les organisations peuvent prendre pour reacuteduire les risques que posent les failles de seacutecuriteacute des applications mobiles Avant tout les applications doivent ecirctre manuellement controcircleacutees et eacutevalueacutees avant le lancement des produits afin de deacuteterminer la preacutesence de vulneacuterabiliteacutes dinjection ou de vulneacuterabiliteacutes de fuite dinformation Le code doit ecirctre analyseacute via une analyse statique au moment de le deacutevelopper pour y rechercher des failles Comme pour toutes les applications il est moins coucircteux de geacuterer des failles de seacutecuriteacute lors de la phase de deacuteveloppement quau moment de leur diffusion
Les normes de transmission seacutecuriseacutee des donneacutees doivent ecirctre incluses dans le cahier des charges de toutes les applications surtout si ces derniegraveres sont eacutelaboreacutees par des deacuteveloppeurs tiers Il en va de mecircme pour le stockage seacutecuriseacute des donneacutees et le journal des applications Des exigences raisonnables en matiegravere daffichage des communications entre applications et dautorisations dans ces derniegraveres doivent ecirctre rigoureusement deacutefinies Tous ces aspects doivent ecirctre geacutereacutes lors de la phase de deacutefinition des exigences et testeacutes lors du deacuteveloppement Au moment dexeacutecuter les tests de seacutecuriteacute et lanalyse sur les applications mobiles les services Web cocircteacute serveur et les API avec lesquels les clients mobiles communiquent doivent ecirctre pris dans leur contexte et analyseacutes pour y deacuteceler des vulneacuterabiliteacutes Des failles agrave haut risque peuvent passer agrave la trappe si ces deux eacuteleacutements sont testeacutes et compareacutes hors de leur contexte
Conclusions
Lobjectif de ce rapport est de fournir aux organisations toutes les informations de seacutecuriteacute qui les aideront agrave mieux comprendre comment deacuteployer les ressources limiteacutees dont elles disposent pour minimiser au maximum leurs risques en matiegravere de seacutecuriteacute A cet effet les tendances et les enseignements agrave tirer de lanneacutee 2012 sont nombreux et doivent ecirctre pris en compte pour la ou mecircme les anneacutees qui viennent
Militarisation des vulneacuterabiliteacutes Les attaquants ne cesseront jamais de militariser les vulneacuterabiliteacutes pour mener agrave bien leurs activiteacutes malveillantes Ceux qui eacutelaborent les kits dexploitation continueront de se focaliser sur des vulneacuterabiliteacutes dans les logiciels les plus reacutepandus ciblant le plus souvent des navigateurs et des plug-ins de navigateur tels que Oracle Java et Adobereg Flash De mecircme le nombre dattaques meneacutees publiquement agrave lencontre de technologies et dentreprises speacutecifiques continuera daugmenter Des organisations criminelles des Etats-nations et des hacktivistes se serviront toujours des cyber-attaques comme moyen duniformiser les regravegles du jeu contre des adversaires riches ou puissants mecircme si les reacuteelles motivations derriegravere ces attaques resteront souvent difficiles agrave deacuteterminer
Vulneacuterabiliteacutes des technologies mobilesLadoption croissante des technologies mobiles et leur utilisation au sein de lentreprise engendreront toujours des risques consideacuterables Nombre de gens lont deacutejagrave constateacute les programmes malveillants deacuteployeacutes sur les marcheacutes qui opposent Android et Apple poursuivent leur croissance Laggravation de ce problegraveme est essentiellement lieacutee au fait que les entreprises ne disposent pas du mecircme type de controcircle sur ces appareils que sur des PC Au moment ougrave le BYOD (Bring your own device) devient la norme et que ladoption des appareils mobiles prend de lampleur on peut sattendre agrave une hausse proportionnelle du nombre de failles chez les applications mobiles tendance qui devrait se maintenir dans un avenir preacutevisible
Livre blanc | Rapport HP 2012 sur les cyber-risques
22
DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables
Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications
Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables
Pourensavoirplusconsultezlapage Web hpcomgoSIRM
Livre blanc | Rapport HP 2012 sur les cyber-risques
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013
Livre blanc | Rapport HP 2012 sur les cyber-risques
Table des matiegraveres3 Preacutesentation
Les vulneacuterabiliteacutes ou failles dites critiques sont en baisse mais constituent toujours une menace importante
Les technologies arriveacutees agrave maturiteacute posent toujours des risques
Les plates-formes mobiles offrent un terrain tregraves propice au deacuteveloppement de nouvelles vulneacuterabiliteacutes
Les applications Web demeurent une source importante de vulneacuterabiliteacutes
Les attaques par scripts intersites restent une menace majeure pour les organisations et les utilisateurs
La preacutevention des risques lieacutes aux attaques par script sur plusieurs cadres semble nulle
4 Tendances des vulneacuterabiliteacutes
La chasse aux vulneacuterabiliteacutes 19 de vulneacuterabiliteacutes en plus en 2012 quen 2011
Des marcheacutes qui ne cessent deacutevoluer et une complexiteacute accrue qui nuit agrave la deacutetection et la signalisation des vulneacuterabiliteacutes
Les applications Web posent toujours des risques importants pour les entreprises
La maturiteacute dune technologie ne deacutefinit pas son profil de vulneacuterabiliteacute
9 Vulneacuterabiliteacutes des applications Web
Des attaques deacutevastatrices
En-tecircte X-Frame-Options eacutechec de lancement
17 Seacutecuriteacute des applications mobiles
Fuite de donneacutees sensibles sur des canaux non seacutecuriseacutes
Les accegraves non autoriseacutes concernent quasiment la moitieacute des applications mobiles
Les dix principales vulneacuterabiliteacutes des applications mobiles
Recherche en technologie mobile la communication en champ proche (NFC) pour les applications mobiles de paiement
Recommandations
21 Conclusions
Militarisation des vulneacuterabiliteacutes
Vulneacuterabiliteacutes des technologies mobiles
Des technologies matures toujours autant de risques
Les applications Web restent vulneacuterables
23 Contributeurs
3
Preacutesentation
Dans ce rapport HP 2012 sur les cyber-risques HP Enterprise Security offre un large aperccedilu des vulneacuterabiliteacutes actuelles allant des donneacutees sectorielles geacuteneacuterales jusquagrave un examen attentif des diffeacuterentes technologies notamment dans le domaine du Web et des mobiles Lobjectif de ce rapport est de deacuteterminer des mesures de seacutecuriteacute exploitables indispensables aux organismes de collecte dinformations pour dresser et maicirctriser le panorama des vulneacuterabiliteacutes actuelles mais eacutegalement mieux deacuteployer leurs ressources afin de minimiser les risques de seacutecuriteacute
Pour eacutevaluer ces vulneacuterabiliteacutes sous un angle large le rapport se fonde sur les sources suivantes
bull Donneacutees de la base de donneacutees OSVDB (Open Source Vulnerability Database)1
bull Donneacutees de vulneacuterabiliteacute du programme Zero Day Initiative (ZDI)2 mis en place par HP
bull Analyse HP DVLabs des vulneacuterabiliteacutes et des donneacutees dexploitation malveillante
bull Donneacutees des tests de seacutecuriteacute statiques et dynamiques HP Fortify on Demand3
bull Reacutesultats des recherches Web meneacutees par le groupe HP Fortify Software Security Research en matiegravere de vulneacuterabiliteacutes
bull Donneacutees de Security Compass (partenaire HP) sur la vulneacuterabiliteacute des mobiles
A partir de ces donneacutees le rapport fait ressortir les principaux constats suivants
Les vulneacuterabiliteacutes ou failles dites critiques sont en baisse mais constituent toujours une menace importante Les vulneacuterabiliteacutes les plus graves (note CVSS4 entre 8 et 10) qui repreacutesentaient 23 de lensemble des vulneacuterabiliteacutes eacutevalueacutees et enregistreacutees dans la base de donneacutees OSVDB en 2011 ont connu une baisse de 20 en 2012 Si cette diminution est importante les donneacutees montrent neacuteanmoins que presque une vulneacuterabiliteacute sur cinq permet toujours agrave des attaquants de prendre le controcircle total dune cible
Les technologies arriveacutees agrave maturiteacute posent toujours des risquesComme le montre lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure qui preacuteconisait de deacutesactiver la plate-forme Java Standard Edition (SE) dOracle dans tous les navigateurs Web concerneacutes les technologies matures en apparence sont toujours la cible de nouvelles formes dexploitation malveillante Les donneacutees de 2012 montrent notamment que le nombre de vulneacuterabiliteacutes observeacutees dans les systegravemes de controcircle et de collecte de donneacutees (SCADA) est passeacute de 22 en 2008 agrave 191 en 2012 (soit une augmentation de 768 )
Lesplates-formesmobilesoffrentunterraintregravespropiceaudeacuteveloppement de nouvelles vulneacuterabiliteacutesFace au boom des appareils mobiles et des applications installeacutees dessus on note une explosion eacutequivalente du nombre de failles pour les technologies mobiles Les cinq derniegraveres anneacutees affichent une hausse de 787 du nombre de failles constateacutees dans le domaine des applications mobiles hausse notamment due aux nouvelles technologies comme la communication en champ proche (NFC) qui geacutenegraverent des failles de type ineacutedit
Lesapplications WebdemeurentunesourceimportantedevulneacuterabiliteacutesLes donneacutees OSVDB recueillies entre 2000 et 2012 montrent que sur les six principaux types de vulneacuterabiliteacute soumis quatre (linjection SQL les scripts intersites la falsification de requecircte intersites (CSRF) et les inclusions de fichiers agrave distance) concernent principalement ou exclusivement les applications Web
Les attaques par scripts intersites restent une menace majeure pour les organisations et les utilisateursLes scripts intersites (XSS) restent un problegraveme tregraves reacutepandu puisque 445 des applications dans nos jeux de donneacutees souffrent toujours de cette faille Un cas preacutecis celui de lanalyse dune entreprise multinationale montre que presque la moitieacute (4832 ) de ses applications Web se sont aveacutereacutees vulneacuterables face agrave une certaine forme dattaque XSS De plus agrave la lecture des recherches meneacutees speacutecifiquement pour les failles de type XSS dans le cadre du programme ZDI on constate que de nouvelles meacutethodes dexploitation de cette vulneacuterabiliteacute sont en permanence deacuteceleacutees
Livre blanc | Rapport HP 2012 sur les cyber-risques
1 Open Source Vulnerability Database osvdborg
2 Programme HP Zero Day Initiative zerodayinitiativecom
3 HP Fortify on Demand fortifymyappcom
4 Common Vulnerability Scoring System (CVSS) firstorgcvsscvss-guidehtml
4
La preacutevention des risques lieacutes aux attaques par script sur plusieurs cadres semble nulleLa premiegravere vulneacuterabiliteacute de type XFS deacutecouverte soit la cause racine des attaques de type clickjacking (deacutetournement de clic) remonte agrave plus de dix ans Depuis le clickjacking sest banaliseacute et pourtant moins de un pour cent des 100 000 URL testeacutees incluaient loutil de preacutevention le plus connu agrave savoir len-tecircte X-Frame-Options
Tendances des vulneacuterabiliteacutes
Pour comprendre les risques techniques en matiegravere de seacutecuriteacute il faut dabord savoir ougrave et comment les vulneacuterabiliteacutes surviennent au sein dune organisation Les vulneacuterabiliteacutes peuvent frapper agrave tous les niveaux de linfrastructure de lorganisation du mateacuteriel jusquau reacuteseau et aux logiciels (les nouveaux comme les anciens) Ces vulneacuterabiliteacutes sont la voie quempruntent des acteurs malveillants pour contourner les meacutecanismes de seacutecuriteacute et deacuterober ou endommager des donneacutees refuser des accegraves et compromettre les processus meacutetier strateacutegiques de lorganisation
En se basant sur les donneacutees de la base de donneacutees OSVDB (Open Source Vulnerability Database) et du programme HP Zero Day Initiative (ZDI) cette section du rapport deacutegage les tendances globales suivantes en matiegravere de vulneacuterabiliteacutes
bullLachasseauxvulneacuterabiliteacutes 19devulneacuterabiliteacutesenplusen 2012 quen 2011 Le nombre total de vulneacuterabiliteacutes releveacute offre un aperccedilu global des vulneacuterabiliteacutes actuelles et deacutevoile un panorama de cyber-menaces en perpeacutetuelle eacutevolution
bullDes marcheacutes qui ne cessent deacutevoluer et une complexiteacute accrue qui nuit agrave la deacutetection et la signalisation des failles Les donneacutees de divulgation des vulneacuterabiliteacutes montrent limpact des eacutevolutions du marcheacute des vulneacuterabiliteacutes et de la complexiteacute technique des systegravemes sur le nombre et la graviteacute des vulneacuterabiliteacutes signaleacutees
bullLesapplications Webposentencoreaujourdhuidesrisquestechniquesimportantspourlesorganisations Une petite poigneacutee dapplications Web strateacutegiques vulneacuterables repreacutesente toujours une large minoriteacute des vulneacuterabiliteacutes totales deacutecouvertes en 2012
bullLamaturiteacutedunetechnologienedeacutefinitpassonprofildevulneacuterabiliteacute Les donneacutees recueillies en 2012 montrent une augmentation de plus de 700 du nombre de vulneacuterabiliteacutes deacutecouvertes ayant un impact agrave la fois sur les systegravemes de controcircle et de collecte de donneacutees SCADA (principale technologie utiliseacutee) et sur les appareils mobiles (la prochaine eacutetape dans le deacuteveloppement des technologies de linformation)
Lachasseauxvulneacuterabiliteacutes 19 devulneacuterabiliteacutesenplusen 2012quen 2011Le nombre total de nouvelles vulneacuterabiliteacutes signaleacutees au cours de lanneacutee 2012 (8 137) montre une augmentation denviron 19 par rapport au nombre enregistreacute en 2011 (6 844) mais il demeure infeacuterieur agrave 19 au nombre record de 2006 Ce reacuteajustement constant du nombre de vulneacuterabiliteacutes signaleacutees montrent bien que la guerre que se livrent les organisations et les attaquants fait rage sans quun vainqueur ne se deacutegage clairement (voir la Figure 1)
Figure 1 Vulneacuterabiliteacutes deacutecouvertes et enregistreacutees dans la base de donneacutees OSVDB entre 2000 et 2012
0
2 000
4 000
6 000
8 000
10 000
12 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Nom
bre
tota
l de
vuln
eacuterab
iliteacute
s
Livre blanc | Rapport HP 2012 sur les cyber-risques
5
Laffichage par anneacutee des donneacutees OSVDB montre clairement que les vulneacuterabiliteacutes deacutecouvertes nont cesseacute dosciller depuis le niveau record de 2006 et quaucune tendance agrave la hausse ou agrave la baisse ne sest deacutegageacutee dans les anneacutees qui ont suivi Le nombre total de vulneacuterabiliteacutes apparues au cours dune anneacutee preacutecise ne mesure pas neacutecessairement la seacutecuriteacute globale du secteur Il indique plutocirct comment les changements dans la maniegravere de deacutetecter divulguer et exploiter les vulneacuterabiliteacutes peuvent grandement varier dune anneacutee sur lautre La section suivante souligne comment ces changements du marcheacute des vulneacuterabiliteacutes expliquent en partie ces variations
Des marcheacutes qui ne cessent deacutevoluer et une complexiteacute accrue qui nuit agrave la deacutetection et la signalisation des vulneacuterabiliteacutesMecircme si le nombre des vulneacuterabiliteacutes signaleacutees reste largement infeacuterieur au niveau record observeacute en 2006 un examen des facteurs ayant une incidence sur la deacutetection et la divulgation des failles est primordial Les informations de vulneacuterabiliteacute peuvent ecirctre distribueacutees via diffeacuterents canaux notamment des programmes communautaires comme la base de donneacutees OSVDB ou le programme HP ZDI des consultants priveacutes en seacutecuriteacute les programmes Bug Bounty (recherche de vulneacuterabiliteacutes reacutecompenseacutee) des fabricants et le marcheacute noir clandestin
Si la base de donneacutees OSVDB offre un excellent aperccedilu du paysage actuel des vulneacuterabiliteacutes elle permet seulement de recenser les vulneacuterabiliteacutes qui sont publiquement divulgueacutees ou directement transmises agrave lorganisation De plus en plus les agences de conseil speacutecialiseacutees en seacutecuriteacute deacutecouvrent et achegravetent des vulneacuterabiliteacutes qui sont ensuite directement divulgueacutees agrave leurs groupes priveacutes de clients Cette pratique ignore un grand nombre de vulneacuterabiliteacutes qui ne sont pas comptabiliseacutes dans les reacutesultats publics
Un autre eacuteleacutement qui complique le deacutefi que posent les vulneacuterabiliteacutes est la complexiteacute des logiciels actuels La seacutecuriteacute est devenue est une prioriteacute croissante et pour lutter contre les attaques incessantes de personnes malveillantes les organisations ont doteacute leurs logiciels de meacutecanismes de seacutecuriteacute et ajouteacute des fonctionnaliteacutes pour contrecarrer les initiatives de deacutecouverte et dexploitation non autoriseacutees de leurs vulneacuterabiliteacutes Ces mesures nont pas seulement contribueacute agrave combler des lacunes elles ont eacutegalement compliqueacute davantage la deacutetection des vulneacuterabiliteacutes qui demeuraient
Le changement dorientation des marcheacutes publics et priveacutes des vulneacuterabiliteacutes associeacute agrave la complexiteacute croissante quimplique lidentification des vulneacuterabiliteacutes a fait grimper la valeur des vulneacuterabiliteacutes agrave fort potentiel dexploitation (celles avec une note CVSS entre 8 et 10) Cette augmentation amegravene deux conclusions
bull Les chercheurs en seacutecuriteacute doivent deacutevelopper des compeacutetences eacutetendues dans des systegravemes speacutecifiques pour rester efficaces
bull Les chercheurs beacuteneacuteficient dun meilleur retour sur investissement pour les vulneacuterabiliteacutes graves qui atteignent des prix plus eacuteleveacutes
Cependant avec la hausse theacuteorique du nombre total de vulneacuterabiliteacutes hautement exploitables signaleacutee par lOSVDB en 2012 le pourcentage du nombre total de vulneacuterabiliteacutes signaleacutees avec une note CVSS eacuteleveacutee a diminueacute pour passer de 23 en 2011 agrave 20 en 2012 (voir la Figure 2) Notez que lOSVDB nexige pas de note CVSS pour signaler des vulneacuterabiliteacutes Les vulneacuterabiliteacutes sans note CVSS ont la valeur Zeacutero dans la figure
Figure 2 Panorama de la graviteacute des vulneacuterabiliteacutes dapregraves les donneacutees de lOSVDB (2000 agrave 2012)
0
2 000
4 000
6 000
8 000
10 000
12 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Zeacutero 1 2 3 4 5 6 7 8 9 10
Livre blanc | Rapport HP 2012 sur les cyber-risques
6
Un eacuteleacutement qui contraste avec cette hausse modeste du nombre de vulneacuterabiliteacutes hautement exploitables signaleacutees en 2012 est la tendance globale des donneacutees de lOSVDB puisque ces derniegraveres montrent que le pourcentage pour ce type de vulneacuterabiliteacute a augmenteacute de maniegravere consideacuterable et homogegravene au cours des dix derniegraveres anneacutees (voir la Figure 3)
Figure 3 Graviteacute des vulneacuterabiliteacutes OSVDB sur dix ans
Graviteacute moyennement eacuteleveacutee (note CVSS 5 agrave 7) Graviteacute la plus eacuteleveacutee (note CVSS 8 agrave 10)Graviteacute la moins eacuteleveacutee (note CVSS 1 agrave 4)
8
2002 2007 2012
17
75
14
22 64
20
36
44
Entre 2002 et 2007 les vulneacuterabiliteacutes moyennement graves (note CVSS entre 5 et 7) formaient la majoriteacute des deacutecouvertes Cette peacuteriode comporte une hausse importante du nombre total de vulneacuterabiliteacutes deacuteclareacutees agrave un moment ougrave les outils de test agrave donneacutees aleacuteatoires (fuzzing) devenaient la norme et les chercheurs commenccedilaient agrave identifier les vulneacuterabiliteacutes les plus reacutepandues et simples agrave deacutetecter gracircce agrave lautomatisation Depuis ce nombre a nettement baisseacute notamment gracircce aux organisations de deacuteveloppement qui par le biais de lautomatisation ont pu identifier et reacutesoudre ces vulneacuterabiliteacutes avant que les chercheurs ne les trouvent
Par quoi sexplique alors le pourcentage en deacutecrue des vulneacuterabiliteacutes agrave fort potentiel dexploitation observeacute en 2012 Les donneacutees commerciales laissent agrave penser que du fait des compeacutetences et du temps requis pour deacutevoiler et deacutemontrer le potentiel dexploitation des vulneacuterabiliteacutes les plus graves un nombre sans cesse croissant de ce type de vulneacuterabiliteacute est vendu sur des marcheacutes commerciaux priveacutes (gris) ou clandestins (noirs) ce qui les exclut (du moins provisoirement) de tout recensement public comme celui de lOSVDB
Lesapplications Webposenttoujoursdesrisquesimportantspourles entreprisesLa Figure 4 met en eacutevidence les six vulneacuterabiliteacutes les plus reacutepandues signaleacutees dans lOSVDB deacutepassement de meacutemoire tampon deacuteni de service inclusion de fichier agrave distance injection SQL scripts intersites et falsification de requecircte intersites (CSRF) Toutes sont potentiellement exploitables agrave distance
Figure 4 Les vulneacuterabiliteacutes les plus courantes dans lOSVDB preacutesenteacutees par cateacutegories (2000 agrave 2012)
0
600
1 200
1 800
2 400
3 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Deacutepassement de meacutemoire tampon
Deacuteni de service
Inclusions de fichiers agrave distance
Injection SQL
Scripts intersites
Falsification de requecirctes intersites
Sur ces six cateacutegories de vulneacuterabiliteacute quatre (linjection SQL les scripts intersites la falsification de requecircte intersites (CSRF) et les inclusions de fichiers agrave distance) ont principalement ou exclusivement un impact sur les applications Web et repreacutesentent 40 du volume total de vulneacuterabiliteacutes deacutecouvertes en 2012 selon lOSVDB
Si le nombre de vulneacuterabiliteacutes Web a atteint un niveau record en 2006 il a eacutevolueacute depuis et de maniegravere similaire au nombre global de vulneacuterabiliteacutes (voir la Figure 5)
Livre blanc | Rapport HP 2012 sur les cyber-risques
7
Figure 5 Vulneacuterabiliteacutes des applications Web et des applications non Web
0
2 000
4 000
6 000
8 000
10 000
12 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Vulneacuterabiliteacutes des applications Web Vulneacuterabiliteacutes des applications non Web
On peut en conclure que si les vulneacuterabiliteacutes des applications non connecteacutees au Web repreacutesentent toujours la majoriteacute des vulneacuterabiliteacutes divulgueacutees quelques cateacutegories de vulneacuterabiliteacutes des applications Web introduisent encore des risques techniques consideacuterables pour les organisations
LamaturiteacutedunetechnologienedeacutefinitpassonprofildevulneacuterabiliteacuteLun des changements majeurs de paradigme technique au cours de la derniegravere deacutecennie a eacuteteacute ladoption massive dappareils mobiles capables dexeacutecuter des applications personnaliseacutees Au cours des cinq derniegraveres anneacutees seulement les donneacutees OSVDB ont afficheacute une croissance de 787 du nombre de vulneacuterabiliteacutes deacutecouvertes dans le cas des technologies mobiles (voir la Figure 6) La derniegravere anneacutee agrave elle seule montre une augmentation de 68 avec 158 vulneacuterabiliteacutes deacutecouvertes en 2011 et 266 en 2012
Figure 6 Vulneacuterabiliteacutes deacutecouvertes pour les technologies mobiles et eacutevalueacutees par lOSVDB entre 2008 et 2012
0
50
100
150
200
250
300
2008 2009 2010 2011 2012
Par comparaison les systegravemes de controcircle et de collecte de donneacutees (SCADA) qui controcirclent les processus industriels automatiseacutes notamment dans les domaines de la fabrication la production deacutelectriciteacute le secteur minier et le traitement des eaux sappuient sur des technologies beaucoup plus abouties Ces systegravemes qui opeacuteraient historiquement sur des reacuteseaux distincts avec des protocoles proprieacutetaires ont ensuite entameacute une migration vers des reacuteseaux standard et mecircme Internet dans le but de simplifier la gestion des ressources la facturation et les aspects opeacuterationnels A mesure que ces systegravemes ont quitteacute leurs reacuteseaux isoleacutes distincts des problegravemes de seacutecuriteacute autrefois masqueacutes par une surface dattaque reacuteduite ont commenceacute agrave se manifester
Livre blanc | Rapport HP 2012 sur les cyber-risques
8
Dapregraves les donneacutees de lOSVDB 76 vulneacuterabiliteacutes seulement ont eacuteteacute deacutetecteacutees dans les systegravemes SCADA entre 2008 et 2010 En revanche apregraves la deacutecouverte en 2010 du ver Stuxnet dans une usine denrichissement duranium iranienne lattention sest focaliseacutee sur la seacutecuriteacute des systegravemes SCADA En 2011 164 vulneacuterabiliteacutes ont eacuteteacute recenseacutees dans les systegravemes SCADA et ce nombre a atteint 191 en 2012 soit une augmentation de 768 par rapport aux chiffres de 2008 (voir la Figure 7)
Figure 7 Vulneacuterabiliteacutes des systegravemes SCADA deacutecouvertes et eacutevalueacutees par lOSVDB entre 2008 et 2012
0
50
100
150
200
250
2008 2009 2010 2011 2012
ProgrammeZero Day Initiative coupdœilsur 2012Gracircce agrave la position de leader du ZDI en qualiteacute de programme dacquisition des vulneacuterabiliteacutes les chercheurs de leacutequipe ont maintes fois eu loccasion danalyser certaines des vulneacuterabiliteacutes les plus inteacuteressantes et les plus deacutebattues qui sont survenues au cours des douze derniers mois Les cas dignes dinteacuterecirct suivants observeacutes en 2012 illustrent le croisement des marcheacutes blanc et noir
Au deacutebut de lanneacutee 2012 une vulneacuterabiliteacute des services Bureau agrave distance Microsoftreg (ZDI-12-044 MS12-020 et CVE-2012-0002) a fait lobjet de toutes les attentions
bull Le ZDI a signaleacute cette faille speacutecifique agrave Microsoft en aoucirct 2011
bull Aucune attaque exteacuterieure connue ne fut signaleacutee mais consciente de son pouvoir dattraction aupregraves des attaquants la socieacuteteacute Microsoft sattendait deacutejagrave agrave des exploitations imminentes pour mars 2012
bull Il eacutetait possible dacceacuteder agrave cette faille sur le reacuteseau avant toute authentification requise Elle se manifestait deacutejagrave lors de la gestion des erreurs au moment du chargement des eacuteleacutements dans un tableau
Un mois plus tard Samba publia un correctif tregraves attendu fondeacute sur une faille identifieacutee par un chercheur du ZDI (TPTI-12-04 CVE-2012-1182)
bull Le ZDI signala cette faille agrave Samba en septembre 2011
bull Aucune attaque exteacuterieure connue ne fut signaleacutee mais la vulneacuterabiliteacute incrimineacutee comptait parmi les vulneacuterabiliteacutes les plus graves pour un programme et Samba traita sans attendre le problegraveme
bull Cette faille nexigeait aucune connexion authentifieacutee et aboutissait agrave une meacutemoire corrompue quun attaquant pouvait librement exploiter pour exeacutecuter du code agrave distance
La fin de lanneacutee 2012 fut une peacuteriode dactiviteacute intense pour les attaques de type zero-day qui toucha autant Oracle (CVE-2012-0422 CVE-2012-3174) que Microsoft (MS13-008 CVE-2012-4792) Le ZDI eacutetait aux premiegraveres loges et signala une vulneacuterabiliteacute importante de Java lieacutee agrave une faille zero-day
bull Le ZDI signala cette faille Java agrave Oracle en deacutecembre 2012
bull Cette faille eacutetait exploiteacutee au grand jour
bull Elle permettait agrave une applet malveillante dexeacutecuter un code fourni par un attaquant et de le faire agrave distance dans le contexte de lutilisateur actuel
Ces cas ne sont pas les seuls cas geacutereacutes par le ZDI en 2012 mais ils montrent bien le croisement des marcheacutes noir et blanc dans cette chasse aux vulneacuterabiliteacutes Une chose est sucircre nos chercheurs sont engageacutes dans une course contre la montre visant agrave identifier et divulguer de maniegravere responsable les vulneacuterabiliteacutes des technologies logicielles les plus reacutepandues
Livre blanc | Rapport HP 2012 sur les cyber-risques
9
Vulneacuterabiliteacutesdesapplications Web
Pour dresser un tableau plus complet des vulneacuterabiliteacutes actuelles leacutequipe HP Fortify on Demand sest reacuteunie et a analyseacute les reacutesultats de milliers deacutevaluations pour savoir agrave quoi ressemble la seacutecuriteacute des applications Web de linteacuterieur Pour cela elle a proceacutedeacute agrave des examens de code et des tests de peacuteneacutetration Un examen minutieux des reacutesultats des analyses statiques (recherche de vulneacuterabiliteacutes dans le code source sans exeacutecution de ce dernier) et dynamiques (tests de fonctionnement du logiciel en qualiteacute dattaquant sans accegraves au code mecircme) constitue une base solide pour eacutetablir un reacuteel eacutetat des lieux en matiegravere de risques pour les applications Web
Les jeux deacutechantillons utiliseacutes pour cette analyse comprenaient 200 applications choisies au hasard pour lanalyse dynamique et 800 applications pour lanalyse statique La Figure 8 montre les cinq principales vulneacuterabiliteacutes deacutecouvertes dans le cadre de lanalyse dynamique en 2012
Figure 8 Cinq principales vulneacuterabiliteacutes deacutecouvertes lors de lanalyse dynamique en 2012 via HP Fortify on Demand
45
26 25
13
9
0
5
10
15
20
25
30
35
40
45
50
Scripts intersites ProtectionTransport
Layer insuffisante
Mauvaiseconfiguration
de seacutecuriteacute
Gestion delauthentification
et des sessiondeacutefaillante
Failles dinjection
Les reacutesultats dynamiques obtenus agrave partir de ce jeu deacutechantillons ainsi que dautres reacutesultats consigneacutes dans ce rapport montrent que les attaques par script intersite constituent toujours une menace importante lors de toute tentative de seacutecurisation des applications Web Si lon tient compte de la premiegravere place quoccupent les attaques par script intersite parmi les types de vulneacuterabiliteacute acquis par le ZDI lanneacutee derniegravere et de lampleur reacuteelle de ces attaques confirmeacutee par des tests reacutepeacuteteacutes les organisations peuvent agrave juste titre les consideacuterer comme une preacuteoccupation majeure en matiegravere de seacutecuriteacute
La Figure 9 deacutecrit le mode opeacuteratoire dune attaque par script intersite classique et comment lexploiter pour deacuterober des informations didentification dauthentification sur des sites strateacutegiques
Livre blanc | Rapport HP 2012 sur les cyber-risques
10
Figure 9 Anatomie dune attaque par script intersite reacutefleacutechie
Site bancaire
Utilisateur creacutedule
Attaquantmalveillant
1 Un attaquant deacutecouvre une faille XSS dans une application Web
3 Lattaquant distribue le lien XSS malveillant via dingeacutenierie sociale agrave des utilisateurs creacutedules
2 Lattaquant creacutee une URL dattaque pour voler des informations sensibles et la deacuteguise afin quelle paraisse leacutegitime
4 Lorsque la victime se connecte JavaScript qui est inteacutegreacute au lien XSS malveillant sexeacutecute et transmet les informations de connexion de la victime agrave lattaquant
La Figure 10 montre les cinq principales vulneacuterabiliteacutes deacutecouvertes dans le cadre de lanalyse statique en 2012 et inclut le pourcentage relatif dapplications toucheacutees par chaque cateacutegorie de vulneacuterabiliteacute
Figure 10 Cinq principales vulneacuterabiliteacutes deacutecouvertes lors de lanalyse statique en 2012 via HP Fortify on Demand
92 88 86
75
61
0
10
20
30
40
50
60
70
80
90
100
Fuites dinformationset gestion des
erreurs inapproprieacutee
Stockagedes donneacutees
cryptographiquesnon seacutecuriseacute
Failles dinjection Reacutefeacuterencedobjet directenon seacutecuriseacutee
Gestion delauthentification et des
session deacutefaillante
Les reacutesultats de lanalyse statique reacutevegravelent que les fuites dinformation les problegravemes de stockage des donneacutees cryptographiques et les failles dinjection sont les vulneacuterabiliteacutes les plus freacutequentes Un eacuteleacutement non citeacute dans cette liste des cinq principales vulneacuterabiliteacutes est que pour 51 des applications il eacutetait question dune attaque par script intersite reacutefleacutechie (voir la Figure 9 ci-avant) Sil ne figure pas dans la liste il reste neacuteanmoins un eacuteleacutement important si on lajoute aux autres reacutesultats de ce rapport
Les reacutesultats de ces jeux deacutechantillons confirment nettement que les applications Web souffrent encore aujourdhui de nombreuses faiblesses pourtant jugeacutees critiques par les diverses normes industrielles en vigueur Les cinq principales cateacutegories de vulneacuterabiliteacute qui dominent les reacutesultats sont souvent celles qui exposent les applications Web agrave des risques importants notamment le vol dinformations lescalade de privilegraveges etc Ces deux jeux deacutechantillons nous amegravenent agrave la conclusion que les organisations ne parviennent toujours pas agrave appliquer des mesures coheacuterentes pour faire face agrave des vulneacuterabiliteacutes omnipreacutesentes comme les scripts intersites et les fuites dinformation
Livre blanc | Rapport HP 2012 sur les cyber-risques
11
Un autre eacuteleacutement agrave retenir est que la vulneacuterabiliteacute la plus employeacutee par des attaquants en relation avec dautres vulneacuterabiliteacutes connues est la fuite dinformation Un eacuteleacutement dinformation preacutecis peut sembler sans inteacuterecirct mais peut pourtant ecirctre le composant cleacute qui permettra agrave un attaquant dimposer une technique pour mener une attaque plus deacutevastatrice encore En somme pour preacuteparer et reacuteussir une attaque des techniques minutieuses de collecte des informations et de reconnaissance sont indispensables
Risquesdesapplications Web eacutetudedecas
ProfildelasocieacuteteacuteGrande entreprise multinationale (plus de 100 000 employeacutes) avec un chiffre daffaires de plus de 82 milliards de dollars pour lexercice fiscal 2012
Cette entreprise dispose dun programme de seacutecuriteacute actif et opeacuterationnel Les reacutesultats montrent les efforts qui sont neacutecessaires pour geacuterer entiegraverement les risques lieacutes agrave la seacutecuriteacute des applications Les reacutesultats qui suivent proviennent de plus de 1 300 eacutevaluations dynamiques uniques meneacutees sur les divers sites de lentreprise Dans legravere de la seacutecuriteacute des applications modernes une vulneacuterabiliteacute est souvent une de trop
Reacutesultats
bull 541 des eacutevaluations ont reacuteveacuteleacute des cookies persistants LAgence europeacuteenne chargeacutee de la seacutecuriteacute des reacuteseaux et de linformation (ENISA) emploie le terme cookies doux-amers pour parler de ces cookies Les cookies persistants augmentent consideacuterablement la probabiliteacute dattaques par relecture en raison de la dureacutee de validiteacute prolongeacutee des cookies La divulgation dinformations sur des ordinateurs publics partageacutes peut eacutegalement produire des cookies persistants Parce que les cookies servent entre autres agrave observer le comportement des utilisateurs il est probable que les avantages potentiels quils preacutesentent pour lentreprise aient quelque peu relayeacute les questions de seacutecuriteacute au second plan
bull Un peu moins de la moitieacute (4832 ) des sites eacutetaient vulneacuterables face agrave une certaine forme dattaque par script intersite
bull Presque un cinquiegraveme (1957 ) des sites contenaient un formulaire de connexion non crypteacute agrave scheacutema mixte ougrave les informations dune page HTTP eacutetaient publieacutees dans une page HTTPS ou inversement
bull 1277 des eacutevaluations eacutetaient vulneacuterables agrave une certaine forme dinjection SQL Le plus intrigant cest que 1097 des eacutevaluations confirmaient les vulneacuterabiliteacutes dinjection SQL agrave laveugle Si lon tient compte du caractegravere particuliegraverement dangereux des injections SQL agrave laveugle et du fait que ces vulneacuterabiliteacutes sont souvent employeacutees pour compromettre un systegraveme ce pourcentage pose de graves problegravemes
bull Un autre cinquiegraveme (197 ) des sites eacutetaient vulneacuterables aux connexions transmises via une connexion non crypteacutee ce qui signifie que le formulaire nutilisait pas le protocole SSL
bull 526 des sites eacutetaient exposeacutes agrave une vulneacuterabiliteacute de lectureinclusion de fichier local Sil eacutetait jugeacute sensible le contenu du fichier pouvait ecirctre utiliseacute pour prendre le controcircle du systegraveme
Des attaques deacutevastatricesOutre des statistiques les organismes chargeacutes de collecter des informations de seacutecuriteacute ont eacutegalement besoin dobservations et dideacutees Dans cette optique la section qui suit propose une liste sommaire des attaques deacutevastatrices que les responsables des tests de peacuteneacutetration chez HP Fortify on Demand ont deacutecouvertes en 2012 Chaque compte a eacuteteacute deacutecouvert moyennant autorisation au cours dopeacuterations approuveacutees meneacutees agrave lencontre de sites de production avec des difficulteacutes techniques allant des plus simples aux plus complexes Le deacutenominateur commun est que toutes les attaques avaient des conseacutequences extrecircmement graves si elles eacutetaient deacutecouvertes par un attaquant malveillant Pour des raisons eacutevidentes les noms des clients nont pas eacuteteacute inclus mais les secteurs eux-mecircmes sont inseacutereacutes dans la liste pour illustrer le danger potentiel et la pertinence des attaques Si ces exemples revecirctent un caractegravere anecdotique par deacutefinition ils profitent de lexpeacuterience et des avis de nos responsables de tests de peacuteneacutetration dune maniegravere que les simples statistiques ne permettent pas Lagrave encore la seacutecuriteacute est plus quune affaire de produits Cest un processus
Attaques par injection et attaques par validation dentreacutee incorrecte Secteurs dactiviteacute peacutetrochimie industrie alimentaire eacutenergie et logicielsTeacuteleacutechargementsdefichiersnonseacutecuriseacutesetconfigurationincorrectedelaseacutecuriteacute Un programme client lourd permettait agrave nimporte quel utilisateur de charger (au moyen de sa fonction de chargement intrinsegraveque) des programmes malveillants sur un serveur Web muni daucune protection contre ce type de programme Environ 30 000 utilisateurs dans le monde entier se servaient de ce programme les risques eacutetaient donc particuliegraverement grands Les fonctions de teacuteleacutechargement de fichiers doivent impeacuterativement faire preuve de meacutefiance agrave leacutegard des types de fichiers acceptables La Figure 11 deacutecrit les conseacutequences de ce sceacutenario
Livre blanc | Rapport HP 2012 sur les cyber-risques
12
Figure 11 Lautorisation de teacuteleacutechargements de fichiers peut avoir des conseacutequences seacutevegraveres
Teacuteleacutechargementsde fichiers
non valideacutes
Aucuneprotectionpar logiciel
anti-programmemalveillant
30 000utilisateurs
sont infecteacutes parle logiciel
malveillant
Injection SQLagravelaveugle les fonctionnaliteacutes daide agrave la recherche (une seacuterie de cases agrave cocher conccedilues pour aider les utilisateurs agrave restreindre leurs critegraveres de recherche) sans validation dentreacutee ont abouti agrave laffichage de 35 bases de donneacutees dID dutilisateur de systegraveme de base de donneacutees et de hachages de mot de passe y compris le compte dadministrateur systegraveme Linjection SQL agrave laveugle peut ecirctre difficile agrave deacuteceler parce quelle geacutenegravere rarement des messages derreur et manifeste un comportement applicatif anormal Les requecirctes parameacutetrables eacutegalement appeleacutees instructions preacutepareacutees empecircchent avec efficaciteacute les attaques par injection SQL si elles ont correctement mises en place5 La Figure 12 deacutecrit cette seacutequence
Instructions SQLentexteclair lors des tests effectueacutes sur une application cliente lourde il a eacuteteacute deacutecouvert que le client exeacutecutait des instructions SQL directement sur le serveur SQL principal avec des autorisations de niveau administrateur sur HTTP Une escalade des privilegraveges utilisateur et la modification des mots de passe furent possibles en soumettant le protocole agrave une ingeacutenierie agrave rebours et en le manipulant (voir la Figure 13)
Inclusiondefichierlocal des techniques de traversement de reacutepertoires (Directory Traversal) et dinclusion de fichier local ont eacuteteacute employeacutees pour afficher le contenu du fichier SAM (Gestionnaire de comptes de seacutecuriteacute) de sauvegarde du serveur Web qui permettait de deacutecoder les mots de passe Au bout de dix minutes il eacutetait possible pour un administrateur local dacceacuteder au systegraveme et de tout compromettre Les routines de validation dentreacutee quelles soient inheacuterentes agrave lapplication ou interviennent au niveau de configuration du serveur Web auraient eacutelimineacute ce vecteur
AttaquesvisantagraveexploiterunemauvaiseconfigurationdeseacutecuriteacuteSecteurs dactiviteacute peacutetrochimie et secteur bancaire internationalImpossibiliteacutederestreindrelaccegravesauxreacutepertoiressensibles dans ce cas le reacutepertoire deacutecouvert eacutetait ldquohttpswwwexamplecompasswordsrdquo Naturellement aucun dossier ldquopasswordsrdquo tout du moins public ne devrait exister Le dossier eacutetait accessible via des navigateurs Web sans aucune authentification et comprenait une liste de reacutepertoires avec des fichiers texte aux noms divers tels que ldquopasswordsprojectrdquo ou mecircme ldquopasswordssystemsrdquo Un simple clic sur un fichier provoquait louverture dun document texte muni dune liste dutilisateurs et de mots de passe au format suivant userpassword Une des listes contenait mecircme ldquosysadminpassword adminpassword etchelliprdquo (voir la Figure 14) Ceci illustre la neacutecessiteacute et limportance de la validation danalyse post-automatique puisque cette vulneacuterabiliteacute qui pose de faibles risques en apparence pouvait aiseacutement passer inaperccedilu aux yeux du client Qui plus est le problegraveme aurait pu ecirctre eacuteviteacute si laccegraves au reacutepertoire avait eacuteteacute restreint comme il le fallait
Leprotocole WebDAVactiveacuteautorisaitlesopeacuterationsdeacutecritureagravedistance Le mode dactivation du protocole WebDAV sur un serveur Web en particulier permettait agrave des utilisateurs dapplications distants de communiquer avec lhocircte et deacutecrire des fichiers dans des reacutepertoires arbitraires Lexploitation de cette vulneacuterabiliteacute permettait de teacuteleacutecharger une porte deacuterobeacutee personnaliseacutee puis de lexeacutecuter en parcourant le chemin daccegraves agrave lURL du fichier reacutecemment transfeacutereacute Une fois exeacutecuteacutee elle offrait la possibiliteacute de controcircler entiegraverement le serveur Web En preacutevoyant de plus amples tests la personne chargeacutee de ces tests pouvait librement poursuivre une attaque contre dautres hocirctes sur le reacuteseau interne de lentreprise processus appeleacute glissement (pivoting) La suppression de laccegraves WebDAV et de meacutethodes HTTP exteacuterieures aurait pu eacuteviter cette attaque
Injection SQLetcommandesdevalidationdentreacuteefaibles Un filtre SQL filtrait tout agrave lexception de lopeacuterateur ldquoORrdquo Cela signifie essentiellement quapregraves insertion de lopeacuterateur ldquoORrdquo dans une instruction SQL chaque commande serait exeacutecuteacutee sur le systegraveme Le parameacutetrage des requecirctes empecircchera les attaques par injection SQL La Figure 15 deacutecrit le deacuteroulement seacutequentiel dune attaque par injection SQL
Livre blanc | Rapport HP 2012 sur les cyber-risques
5 httpswwwowasporgindexphpSQL_Injection_Prevention_Cheat_Sheet
Figure 12 Injection SQL agrave laveugle
Injection SQLagrave laveugle
Voldinformationsutilisateur
Accegraves agraveladministrationsystegraveme
Figure 13 Instructions SQL en texte clair
Protocoledingeacutenierie clientserveur agrave rebours
Exeacutecution SQL
Reacuteinitialisation dumot de passe avec
des privilegravegesplus eacuteleveacutes
Figure 14 Restriction daccegraves impossible
Accegraves au reacutepertoire non restreint
passwrdsprojectuserpassword sysadminmot de passe
passwordssystems fichier
httpswwwexamplecompasswords reacutepertoire
13
Figure 15 Anatomie dune attaque par injection SQL
Site bancaireBase de donneacutees
de la banque
1=1
Attaquant malveillant
1 Lattaquant envoie des informations suppleacutementaires telles quun guillemet ou 1=1 avec des informations de connexion ou inclure des variablespour modifier linstruction SQL originale
3 Une fois que le scheacutema de base de donneacutees a eacuteteacute deacutefini lattaquant peut extraire les donneacutees contenues dans la base de donneacutees notamment les noms dutilisateur les mots de passes les informations de carte de creacutedit etc
2 Avec lapproche par essais et erreurs lattaquant peut construire des arguments SQL pouvant ecirctre utiliseacutes pour reacutecupeacuterer des donneacutees telles que des noms de tableaux ou des noms delignes etc
Mauvaiseconfiguration SAP Linteacutegraliteacute de la base de donneacutees des cartes de creacutedit eacutetait accessible et eacutetait transfeacutereacutee dans un fichier Les commandes configureacutees dans la structure SAP mise en place eacutetaient de qualiteacute meacutediocre et permettaient agrave des repreacutesentants du service clientegravele dexeacutecuter des transactions agrave caractegravere sensible y compris le navigateur de donneacutees HR (SE16) Cette fonction eacutetait exploiteacutee pour parcourir et charger le contenu tout entier de la table des donneacutees des cartes de creacutedit des clients Accessibles de cette maniegravere toutes les donneacutees pouvaient aiseacutement ecirctre exporteacutees agrave laide de comptes SAP avec des privilegraveges moindres
AttaquesparauthentificationparsessionlogiqueetautresattaquesSecteurs dactiviteacute compagnies aeacuteriennes secteur bancaire international et eacutenergieListedebilletsdavionviadesservices Webdecreacuteationdecodes QRmobiles Les testeurs eacutetaient capables de reconstituer agrave rebours une partie de la fonction des services Web pour creacuteer des numeacuteros de billets De faux codes QR de billets davion eacutetaient ainsi geacuteneacutereacutes pour des vols aeacuteriens Il est tout est fait possible que lexploitation de cette fonction ait permis aux attaquants de voler gratuitement En labsence de controcircles preacuteventifs efficaces ils pouvaient senregistrer librement par le biais de leurs appareils mobiles Le recours agrave une fonction de controcircle aleacuteatoire standard des numeacuteros de billets aurait pu eacutegalement eacuteviter ce problegraveme
Figure 16 Creacuteation de mots de passe dynamiques agrave cryptage facilement reacuteversible
AttaqueSQL
Servicedauthen-tification
Web
Capturedu trafic chiffreacute
Deacutesactivationdu chiffrement
du mot depasse
Randomisationdes mots de
passeinsuffisante
Accegravesadministrateur
agrave la basede donneacutees
Deacutesactivation du chiffrement -mot de passe devinable
Accegraves complet agrave labase de donneacutees avec des
autorisations dadministrateur
Livre blanc | Rapport HP 2012 sur les cyber-risques
14
Creacuteationdemotsdepassedynamiquesagravecryptagefacilementreacuteversible lapplication cliente lourde testeacutee communiquait avec un service Web qui se chargeait dabord dauthentifier lutilisateur qui tentait de se connecter Ensuite lapplication demandait le mot de passe au serveur de base de donneacutees principal Au deacutepart le mot de passe eacutetait crypteacute pour la transmission mais simultaneacutement lors dune autre attaque SQL un indicateur de la base de donneacutees a eacuteteacute renverseacute deacutesactivant et annulant ainsi les effets du cryptage Il sest aveacutereacute que le systegraveme mettait en place des mots de passe dynamiques qui changeaient freacutequemment cependant apregraves regroupement des nombreux mots de passe un scheacutema eacutevident est apparu Le mot de passe suivait une chronologie et eacutetait donc facile agrave deviner Un accegraves direct agrave la base de donneacutees avec des autorisations administratives fut confirmeacute et compromit entiegraverement le systegraveme (voir la Figure 16)
Leservice Webautorisaitdesrequecirctes SQLdirectes une application autorisait des connexions agrave sa base de donneacutees principale via un interpreacuteteur Web accessible sur Internet sans authentification Avec des connaissances limiteacutees en SQL un attaquant pouvait aiseacutement extraire toutes les donneacutees enregistreacutees dans la base de donneacutees cliente y compris les deacutetails complets des comptes des utilisateurs noms dutilisateurs mots de passe adresses de messagerie et autres informations didentification personnelle
En partageant les reacutesultats de ces tests de peacuteneacutetration en conditions reacuteelles notre but est dattirer lattention sur la creacuteativiteacute sans bornes et la deacutetermination sans fin des attaquants malveillants Les testeurs de peacuteneacutetration cherchent agrave reproduire ces techniques pour tenter deacutevaluer avec efficaciteacute chaque commande de seacutecuriteacute et sassurer que les donneacutees sensibles et les fonctions applicatives sont proteacutegeacutees Comme le prouvent ces reacutesultats les tests de seacutecuriteacute automatiseacutes seuls ne mesurent pas inteacutegralement la politique globale dun environnement en matiegravere de seacutecuriteacute et doivent ecirctre compleacuteteacutes par une analyse manuelle
Dans la section suivante les chercheurs HP en seacutecuriteacute de logiciels cherchent agrave mettre agrave jour une vulneacuterabiliteacute cruciale souvent utiliseacutee conjointement avec les nombreuses attaques et techniques mentionneacutees plus haut et pour lesquelles une strateacutegie de preacutevention efficace reste globalement agrave mettre en place
En-tecircteX-Frame-Options eacutechecdelancementPour illustrer la nature toujours changeante de la seacutecuriteacute des applications Web les speacutecialistes du groupe HP Software Security Research ont examineacute une vulneacuterabiliteacute deacutejagrave reconnue et officiellement appeleacute script sur plusieurs cadres ou XFS XFS est un outil indispensable pour tout attaquant qui tente deacutelaborer une attaque de hameccedilonnage (phishing) ou dingeacutenierie sociale dans le but de charger un site Web vulneacuterable dans une balise iFrame HTML sur une page malveillante controcircleacutee par un attaquant Ce dernier peut alors extraire des eacuteveacutenements (des seacutequences de touches par exemple) appeleacutes par un utilisateur quelconque sur le site Web cibleacute
Les vulneacuterabiliteacutes XFS ouvrent eacutegalement la voie aux attaques de type clickjacking6 qui trompent les utilisateurs en les incitant agrave cliquer sur des eacuteleacutements preacutecis sur le site Web cibleacute chargeacute agrave linteacuterieur dune balise iFrame invisible Souvent ces reacutesultats aboutissent sur des actions non voulues voire privileacutegieacutees Depuis des anneacutees les chercheurs mettent en garde contre linefficaciteacute des protections par code frame-busting baseacute sur des scripts dans la preacutevention des menaces du XFS Pourtant les deacuteveloppeurs et les administrateurs de serveur qui les assistent ont toujours uniquement recours au meacutecanisme JavaScript (Figure 17) pour deacutetecter des attaques XFS
Les diverses meacutethodes de preacutevention contre XFS se sont maintes fois montreacutees incomplegravetes ou inefficaces Le plus reacutepandu de ces modes de preacutevention est la logique de frame-busting (destruction) de JavaScript ou plus preacuteciseacutement un script cocircteacute client qui ressemble agrave celui preacutesenteacute dans la Figure 175
Figure 17 Logique classique de frame-busting JavaScript
ltscriptgt
if (top=self) toplocationhref = selflocationhref
ltscriptgt
Livre blanc | Rapport HP 2012 sur les cyber-risques
6 cvedetailscomcveCVE-2002-1217
15
Outre les nombreuses variantes de cette technique quil est facile de deacutenicher en ligne des contre-mesures datteacutenuation ont eacutegalement eacuteteacute mises en place pour lutter aussi contre ces variantes avec des regravegles grosso modo eacutequivalentes agrave celles du jeu de la taupe
Comme le montre la Figure 18 la premiegravere vulneacuterabiliteacute XFS documenteacutee a eacuteteacute deacutecouverte il y a plus de 10 ans7 Depuis le clickjacking est devenu une vulneacuterabiliteacute reacutepandue et malgreacute cela moins de un pour cent de nos eacutechantillons incluait loutil de preacutevention le plus connu agrave savoir len-tecircte X-Frame-Options
Figure 18 Bref historique des eacuteveacutenements majeurs lieacutes agrave la deacutetection de failles de type XFS (script sur plusieurs cadres)
29062002Bug iFrame Jesse Rudermana
28102002Premier CVE XFS connub
16112005Echec des techniques de Framec
21052008Premiegravere mention publique de lattribut iFrame sandboxd
12092008Le terme clickjacking est inventeacutee
26012009Premier navigateur prenant en charge des options X-Framef
17062010Busting Frame Bustinga Study of ClickjackingVulnerabilities on Popular Sitesg
27012012Facebook poursuit uneentreprise de clickjackingh
11072012Dernier conseilXFS connui
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
a httpsbugzillamozillaorgshow_bugcgiid=154957 b httpwwwcvedetailscomcveCVE-2002-1217 c httpcryptostanfordeduframebust d httphtml5orgtoolsweb-apps-trackerfrom=1642ampto=1643 e httpwwwsectheorycomclickjackinghtm f httpblogsmsdncombiearchive20090126internet-explorer-8-release-candidate-now-availableaspx g httpcdnlytlpublicationsbusting-frame-busting-a-study-of-clickjacking-vulnerabilities-on-popular-sitespdf h httpwwwguardiancouktechnology2012jan27facebook-sues-clickjacking-firm-adscend i httposvdborgshowosvdb83762
Lhistoire du XFS (Cross-Frame Scripting ou scripts sur plusieurs cadres) remonte agrave la publication dun rapport relativement banal sur un comportement observeacute par Jesse Ruderman en 20028 et devenu aujourdhui un eacuteleacutement moteur dun autre pheacutenomegravene communeacutement appeleacute clickjacking Un eacuteleacutement cleacute de la reacutegression identifieacutee en matiegravere de seacutecuriteacute eacutetait la deacutecision dajouter lattribut sandbox agrave leacutebauche de la speacutecification HTML5 pour la balise iFrame au milieu de lanneacutee 2008
Les chercheurs ont deacutemontreacute que plusieurs contre-mesures datteacutenuation eacutetaient possibles avec des bugs des navigateurs ou des astuces JavaScript Le dernier eacuteleacutement ajouteacute agrave cette liste comme le montre la Figure 19 est lutilisation dune fonction de seacutecuriteacute introduite dans la speacutecification HTML5 sous la forme dun attribut sandbox iFrame que les attaquants peuvent exploiter pour deacutesactiver les protections de frame-busting de JavaScript
Figure 19 Attribut sandbox iFrame
ltiframe sandbox=rdquoallow-scriptsrdquo src=rdquohttpexamplecomrdquogtltiframegt
Lobjet de lattribut sandbox est daccorder lautorisation dexeacutecuter des scripts (allow-scripts) dans le contenu cibleacute A titre accessoire toutes les logiques de frame-busting employeacutees par examplecom sont effectivement deacutesactiveacutees en lui refusant lautorisation allow-top-navigation dans sa speacutecification sandbox
Gracircce agrave lattribut sandbox cette technique permet agrave un attaquant de deacutejouer de maniegravere efficace toutes les tentatives de frame-busting que megravenent les deacuteveloppeurs pour se proteacuteger de tout encadrement de site et toute opeacuteration de clickjacking par des tiers Les eacutediteurs de navigateurs ont introduit et valideacute une technique de preacutevention baseacutee sur des strateacutegies bien plus forte gracircce agrave len-tecircte X-Frame-Options Les deacuteveloppeurs peuvent se servir de cet en-tecircte pour dicter au navigateur les actions adeacutequates agrave entreprendre si leur site est inclus dans un iFrame Malheureusement ladoption de cette fonction parmi les deacuteveloppeurs est tregraves lente et offre aux attaquants un vaste terrain de sites potentiellement exploitables agrave mesure quils deacutecouvrent de nouvelles techniques pour contourner les scripts de frame-busting Ceci rend plus indispensable encore ladoption et la mise en œuvre de len-tecircte X-Frame-Options puisque ce dernier constitue la solution de facto agrave ce problegraveme et reste en vigueur mecircme lorsque le nouvel attribut sandbox HTML5 est utiliseacute Voilagrave donc ce qui motive notre projet de recherche et ce qui est agrave lorigine de notre question de deacutepart Combien de domaines incluent des en-tecirctes X-Frame-Options et combien le font correctement
Livre blanc | Rapport HP 2012 sur les cyber-risques
7 cvedetailscomcveCVE-2002-1217 8 httpsbugzillamozillaorgshow_bug
cgiid=154957
16
Collection de jeux deacutechantillons Dans le cadre de cette eacutetude le groupe HP Fortify Software Security Research a meneacute des recherches pour eacutevaluer agrave quel point les faibles pratiques de preacutevention des attaques XFS restent aujourdhui adopteacutees et font autoriteacute Nos reacutesultats soulignent eacutegalement la reacuteticence et le rythme dadoption tregraves lent dautres meacutethodes plus seacutecuriseacutees recommandeacutees par des speacutecialistes des navigateurs et des experts en seacutecuriteacute
Alexa9 fut utiliseacute pour renseigner une collection de 100 000 sites Web (les plus connus) et geacuteneacuterer une liste distribueacutee dans de nombreux secteurs diffeacuterents Une fois la liste de deacutepart creacuteeacutee avec ses 100 000 URL les demandes de niveau supeacuterieur furent assembleacutees en concateacutenant ldquohttprdquo dans lURL obtenue Par exemple
ldquohttprdquo + exemplecom = httpexemplecom
Ensuite la nouvelle URL composeacutee fut demandeacutee et la reacuteponse obtenue examineacutee de maniegravere passive agrave la recherche des eacuteleacutements suivants
bull La preacutesence dun en-tecircte X-Frame-Options et de ses valeurs respectives
bull La preacutesence dun champ de mot de passe dans la reacuteponse de la demande de niveau supeacuterieur Un champ de mot de passe est censeacute indiquer un niveau de sensibiliteacute qui doit ecirctre proteacutegeacute par lapplication
bull Si la preacutesence de len-tecircte neacutetait pas respecteacutee lURL cible eacutetait soumise agrave des tests suppleacutementaires afin de distinguer si une tentative de deacutejouer les attaques XFS avait eu lieu Le recours agrave la preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade a eacuteteacute enregistreacute pour une analyse ulteacuterieure
Reacutesultats90 des eacutechantillons analyseacutes nont jamais rien tenteacute pour se proteacuteger des attaques XFS De tous les domaines doteacutes dune protection active contre les attaques XFS 62 ont recours agrave des meacutecanismes de preacutevention faibles fondeacutes sur les scripts Sur les 100 000 domaines testeacutes 19 848 disposaient de champs de mot de passe dans la demande de niveau supeacuterieur avec seulement 101 domaines preacutecisant un en-tecircte X-Frame-Options Celasignifieque01 deseacutechantillonssontproteacutegeacutesDe plus plus de 99 des eacutechantillons oubliaient de speacutecifier un en-tecircte X-Frame-Options tandis que 19 dentre eux avaient une raison dinclure len-tecircte mais ne lont pas fait
Les reacutesultats montrent que soit les deacuteveloppeurs ne sont pas suffisamment informeacutes des risques que posent les vulneacuterabiliteacutes XFS soit ils ne souhaitent consacrer aucun effort agrave la protection de leurs visiteurs Si 2 307 eacutechantillons deacutevoilaient des protections contre les attaques XFS seulement 38 ont opteacute pour lutilisation de len-tecircte X-Frame-Options preacuteconiseacute 1 432 eacutechantillons ont montreacute quils employaient toujours des techniques de preacutevention et datteacutenuation fondeacutees sur JavaScript ou les feuilles de style en cascade qui se sont aveacutereacutees insuffisantes (voir la Figure 20)
Les 875 domaines fondeacutes sur len-tecircte X-Frame-Options affichaient la distribution de valeurs suivante
1 702 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur SAMEORIGIN
2 151 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur DENY
3 13 des 875 domaines eacutetaient deacutefinis avec lattribut Allow-from
4 8 des 875 valeurs fournies eacutetaient conformes agrave leacutebauche de lIETF10
Aucun des 13 domaines utilisant lattribut Allow-from ne preacutecisait un caractegravere geacuteneacuterique () reacuteduisant les risques lieacutes agrave une politique de libre accegraves La Figure 21 preacutesente ces valeurs sous forme de pourcentages
Livre blanc | Rapport HP 2012 sur les cyber-risques
9 httpsbugzillamozillaorgshow_bugcgiid=154957
10 httptoolsietforghtmldraft-ietf-websec-x-frame-options-01
Figure 20Preacutevention des risques lieacutes aux scripts sur plusieurs cadres
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade 62
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade
Options X-Frame 38
Options X-Frame
Figure 21Reacutepartition des valeurs den-tecircte X-Frame-Options fournies
REFUS 17 Allow-from
2 Autres (valeurs non en conformiteacute)1
MEcircME ORIGINE 80
17
Encadrementintersites conclusionIl est eacutevident que toutes les ressources nont pas besoin decirctre proteacutegeacutees contre les attaques XFS Cependant il demeure des situations ougrave la mise en place dune protection adeacutequate est justifieacutee et indispensable Une mesure employeacutee pour identifier ces cas au cours de cette eacutetude eacutetait la preacutesence dun champ de saisie de mot de passe dans un formulaire Les pages dauthentification sont les plus exposeacutees agrave une attaque de type clickjacking En se focalisant sur les pages munies de champs pour la saisie des mots de passe lanalyse tente deacutetablir un lien entre la sensibiliteacute dune ressource et les efforts investis pour la proteacuteger Une des statistiques les plus surprenantes dans lanalyse est que seulement 103 des 100 000 domaines proteacutegeaient comme il se doit les pages avec des champs de mots de passe confidentiels soit un taux exorbitant de 010 qui suggegravere que la puissance et lefficaciteacute de len-tecircte ont fait lobjet dune mauvaise promotion nont pas obtenu ladheacutesion des administrateurs des serveurs ou nont pas seacuteduit les deacuteveloppeurs
Il convient de souligner que si un peu plus de 80 des reacuteponses ne contenaient aucun champ de mot de passe cela ne veut pas dire pour autant quil ne faut pas proteacuteger le contenu Autrement dit leacutechantillon nincluait aucun champ de mot de passe dans la demande de niveau supeacuterieur Il est donc tregraves probable que beaucoup dautres sites sexposent agrave des risques en avanccedilant plus loin dans larborescence du site La mesure la plus importante agrave noter est le pourcentage remarquable de sites sans en-tecircte X-Frame-Options soit 99
Apregraves une analyse approfondie des reacutesultats des recherches speacutecialiseacutees consacreacutees aux attaques XFS la section qui suit se concentre agrave nouveau sur ce qui semble ecirctre le sujet de conversation le plus populaire en 2012 en matiegravere de seacutecuriteacute la seacutecuriteacute des applications mobiles
Seacutecuriteacutedesapplicationsmobiles
Dix secondes dans une file dattente nimporte ougrave suffisent pour se rendre compte que lutilisation dappareils mobiles a litteacuteralement exploseacute En fait pour la premiegravere fois 2012 est lanneacutee pendant laquelle le nombre de smartphones vendus a deacutepasseacute le nombre dordinateurs portables et dordinateurs de bureau agrave la fois11 Cette augmentation a eacuteteacute suivie aussi dune hausse proportionnelle des risques surtout au moment ougrave les entreprises essaient de mettre agrave profit les avantages quoffre la mobiliteacute Comme nous lavons vu plus haut lOSVDB a signaleacute une hausse de 68 du nombre de vulneacuterabiliteacutes signaleacutees pour les technologies mobiles depuis 2011 soit une augmentation de 787 sur les cinq derniegraveres anneacutees Lors de nos tests nous sommes toujours revenus au mecircme constat Si vous posseacutedez des donneacutees des attaquants chercheront agrave sen emparer
Pour eacutevaluer leacutetat actuel de la seacutecuriteacute des applications mobiles leacutequipe HP Fortify on Demand a rassembleacute les reacutesultats de plus de 70 applications mobiles agrave la recherche de failles de seacutecuriteacute Ce jeu deacutechantillons concernait plus de 50 organisations uniques et de nombreux secteurs au niveau local et international Il peut donc ecirctre consideacutereacute comme une repreacutesentation relativement preacutecise dune application mobile moyenne Les reacutesultats montrent que les vulneacuterabiliteacutes qui compromettent la seacutecuriteacute des applications mobiles sont les mecircmes que pour les applications classiques Ils montrent eacutegalement quun problegraveme surtout se distingue des autres Dans le paysage informatique actuel la fuite dinformation est un problegraveme particuliegraverement reacutepandu et neacutefaste La demande croissante dinformations des travailleurs mobiles allieacutee aux services de cloud de plus en plus omnipreacutesents et agrave une hausse des appareils grand public non geacutereacutes sur le reacuteseau dentreprise repreacutesente un deacutefi notable pour de nombreuses organisations
Fuite de donneacutees sensibles sur des canaux non seacutecuriseacutesLa fuite de donneacutees est un problegraveme de longue date pour les applications Web Si elle peut paraicirctre un problegraveme dampleur modeacutereacutee elle implique souvent une information en apparence inoffensive qui permet agrave un attaquant de renforcer sa strateacutegie dattaque pour mener une attaque plus dangereuse encore La mecircme chose vaut pour les applications mobiles Plus des trois quarts (77 ) des applications mobiles dans notre eacutetude eacutetaient vulneacuterables et en proie agrave des fuites dinformations Nous avons deacutecouvert que les donneacutees personnelles dun utilisateur eacutetaient souvent transmises via des protocoles reacuteseau non crypteacutes comme le protocole HTTP Il sagissait pour la plupart dinformations simples comme des noms des adresses et des numeacuteros de teacuteleacutephone Cependant dans notre jeu deacutechantillons ces donneacutees comprenaient eacutegalement lemplacement actuel de lutilisateur ainsi que lidentifiant unique de lappareil (eacutegalement appeleacute UDID)
Livre blanc | Rapport HP 2012 sur les cyber-risques
11 voiceswashingtonpostcomposttech201011smartphone_sales_to_pass_compuhtml
18
LUDID est primordial pour un appareil car il peut servir agrave des attaques extrecircmement cibleacutees contre des utilisateurs en particulier Si les donneacutees de geacuteolocalisation lidentifiant unique de lappareil et les donneacutees personnelles eacutetaient intercepteacutees sur une application vulneacuterable ce que cela implique dans la reacutealiteacute est eacutetonnant Un attaquant pourrait localiser une cible dans le monde reacuteel et les possibiliteacutes qui souvriraient alors agrave lui seraient illimiteacutees Cest la porte ouverte agrave un sceacutenario effroyable que la plupart des gens ne soupccedilonnent pas Bien entendu lexploitation dapplications simples et banales peut eacutegalement avoir lieu Imaginez le sceacutenario suivant Si lapplication transmet lUDID le nom complet ladresse et ainsi de suite agrave un service Web vulneacuterable et que ce dernier est la cible potentielle dune attaque par injection SQL on conccediloit aiseacutement que chaque bit de donneacutees sur cet appareil mobile soit accessible Il est eacutetonnant de voir jusquougrave une fuite dinformation peut mener un attaquant si les circonstances jouent en sa faveur et que tout alors est du domaine du probable voire du possible
Les donneacutees transmises sur des canaux non seacutecuriseacutes ne se limitaient pas aux donneacutees personnelles Les donneacutees applicatives elles non plus neacutetaient pas proteacutegeacutees Nous avons deacutecouvert que des informations de connexion des informations didentification utilisateur des ID de session des jetons et des donneacutees dentreprise sensibles eacutetaient transmises via des protocoles reacuteseau non crypteacutes agrave linstar du protocole HTTP Imaginez les conseacutequences pour une application bancaire vulneacuterable Si des informations didentification des identificateurs de session des informations didentification personnelle ou dautres donneacutees strateacutegiques sont transmises vers un serveur principal la transmission se doit decirctre seacutecuriseacutee sans quoi les donneacutees peuvent ecirctre intercepteacutees par un attaquant au moyen doutils ou dapplications de capture de paquets reacuteseau courants (par exemple DroidSheep)
Les recherches ont montreacute que 375 des applications pouvaient ecirctre la cible dune vulneacuterabiliteacute impliquant une forme quelconque dautorisation notamment des mots de passe en texte clair des mots de passe codeacutes en dur et des mots de passe inteacutegreacutes agrave la reacuteponse Ce pourcentage bien plus eacuteleveacute que pour les applications dites traditionnelles prouve eacutegalement que les deacuteveloppeurs dapplications mobiles doivent travailler davantage pour proteacuteger leurs donneacutees
Dautres vulneacuterabiliteacutes deacutetecteacutees en nombres importants incluaient les attaques de type stack-smashing Plus de la moitieacute des vulneacuterabiliteacutes (5545 ) noffraient aucune protection adeacutequate contre ce type dattaque Si cet oubli nentraicircne pas lexeacutecution du code il peut quand mecircme geacuteneacuterer une panne injustifieacutee de lapplication vulneacuterable
Qui plus est 135 des applications eacutetaient vulneacuterables agrave des attaques XSS Ceci fut une reacuteelle surprise puisque tous les autres ensembles dapplications que nous avons testeacutes mobiles et traditionnels reacuteveacutelaient des nombres de vulneacuterabiliteacutes XSS plus eacuteleveacutes Un examen plus attentif de ces nombres a montreacute que les applications vulneacuterables eacutetaient des applications destineacutees autant agrave la gestion de la finance que des bases de donneacutees En dautres termes le faible pourcentage ne reacuteduisait pas limpact potentiel
Les accegraves non autoriseacutes concernent quasiment la moitieacute des applications mobilesNous avons chercheacute dautres donneacutees en examinant les reacutesultats obtenus par notre partenaire Security Compass lors de ses tests sur dautres applications A de nombreux eacutegards ils confirment les chiffres eacutevoqueacutes preacuteceacutedemment
48 des applications eacutetaient la proie de vulneacuterabiliteacutes daccegraves non autoriseacute Elles valident les vulneacuterabiliteacutes dauthentification (375 ) que nous avons eacutevoqueacutees dans notre eacutechantillon plus haut Les chiffres montrent que les deacuteveloppeurs dapplications mobiles doivent autant se concentrer sur la preacutevention des accegraves non autoriseacutes sur les applications mobiles que sur les moyens de faciliter laccegraves pour les utilisateurs leacutegitimes
37 des applications posaient des problegravemes de divulgation dinformations sensibles 26 avaient recours agrave des pratiques de connexion meacutediocres et 19 affichaient des messages derreur de mauvaise qualiteacute qui reacuteveacutelaient des informations susceptibles decirctre exploiteacutees par des attaquants Ceci corrobore nos donneacutees preacuteceacutedentes car nous avons vu agrave quel point les fuites dinformations eacutetaient importantes Lors du codage des applications mobiles les deacuteveloppeurs ne tiennent pas compte de ce quimplique la seacutecuriteacute pour le stockage la transmission et laccegraves des donneacutees
33 des applications eacutetaient vulneacuterables agrave des attaques XSS Des tests reacutepeacutetitifs montrent que les attaques par script intersite (XSS) sont autant une menace pour les applications mobiles que pour les applications stationnaires Ces reacutesultats sont en phase avec ce que nous avons constateacute lors des tests des applications traditionnelles
Livre blanc | Rapport HP 2012 sur les cyber-risques
19
26 des applications employaient une meacutethode de cryptage inadapteacutee Le cryptage sur des ordinateurs dentreprise est aujourdhui une pratique standard pour la plupart des entreprises du classement Fortune 500 Il y a dix ans la presse regorgeait dhistoires de donneacutees deacuterobeacutees sur des ordinateurs perdus Les risques dans ce domaine se sont reacuteduits dune part gracircce aux mesures leacutegislatives mises en places et dautre part parce que les entreprises ont eu loccasion de lapprendre agrave leurs deacutepens Pourtant ces mecircmes pratiques standard ne sont pas appliqueacutees aux appareils mobiles et agrave legravere du BYOD (Bring your own device) cela peut saveacuterer dangereux
Les dix principales vulneacuterabiliteacutes des applications mobiles Le partenaire dHP Security Compass a eacutegalement analyseacute les vulneacuterabiliteacutes des applications mobiles et les a eacutetiqueteacutees par type (voir la Figure 22) Ainsi donc agrave quoi les applications moyennes sont-elles le plus vulneacuterables par ordre de preacutevalence des vulneacuterabiliteacutes A quels types dattaques par incident les applications mobiles sont-elles le plus vulneacuterables
Sur les dix principales vulneacuterabiliteacutes constateacutees en matiegravere dapplications mobiles XSS affichait le deuxiegraveme taux le plus eacuteleveacute et repreacutesentait 15 de toutes les vulneacuterabiliteacutes deacutecouvertes dans ce jeu deacutechantillons Les chiffres confirment eacutegalement que lorsquelles sont consigneacutees par ordre doccurrence les vulneacuterabiliteacutes de fuite dinformation et daccegraves non autoriseacuteauthentification indiquent aux deacuteveloppeurs dapplications mobiles comment ils peuvent mieux seacutecuriser leurs applications en concentrant davantage leurs efforts sur ces domaines
Rechercheentechnologiemobile lacommunicationenchampproche (NFC)pourlesapplicationsmobilesdepaiementNous avons constateacute que les vulneacuterabiliteacutes lieacutees aux applications mobiles eacutetaient en hausse constante mais il est indispensable eacutegalement danticiper et de connaicirctre les nouvelles vulneacuterabiliteacutes qui verront le jour Les nouvelles technologies introduisent en permanence des failles de seacutecuriteacute possibles La plate-forme mobile ne fait pas exception Lune de ces nouvelles technologies est la communication en champ proche (NFC) La communication en champ proche (NFC) deacutesigne une meacutethode de communication de donneacutees sans contact entre des appareils proches les uns des autres Elle a deacutejagrave eacuteteacute adopteacutee en Europe et en Asie et fait depuis peu des adeptes en Ameacuterique du Nord Le Forum NFC (consortium regroupant plusieurs membres tels que Sony Nokia et Philips) applique des normes strictes pour les fabricants dappareils compatibles NFC Les eacutediteurs dapplications disposent ainsi dune architecture seacutecuriseacutee et dune infrastructure compatible qui leur permettent dexploiter cette technologie pour des applications de paiement mobiles et le partage de donneacutees (par exemple leacutechange de devises entre homologues)
Il existe actuellement plusieurs smartphones compatibles NFC Cest le cas du Googletrade Nexus 5 du Samsung Galaxy S II et des BlackBerry Bold 9900 et 9930 Plusieurs socieacuteteacutes exploitent aujourdhui cette technologie
bull Google Wallet conteneur seacutecuriseacute pour les informations de carte de creacutedit qui facilite les transactions NFC
bull MasterCard PayPass service de paiement sans contact (actuellement pris en charge dans Google Wallet)
bull Visa payWave service de paiement sans contact
bull PayPal meacutethode bump (application Bump) pour le transfert dargent ou la reacutealisation de paiements entre utilisateurs
bull Apple iPhone prise en charge de la NFC attendue dans une prochaine version (non confirmeacutee)12
Problegravemes de seacutecuriteacutePlusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (donneacutees de carte de creacutedit ou numeacuteros de comptes) sont transmises via un canal NFC sur un appareil mobile Voici des exemples de cas reacuteels constateacutes reacutecemment dans le domaine de la seacutecuriteacute
Cas 1La technologie NFC est employeacutee dans le cadre de solutions de paiement grand public avec deux modes de mise en œuvre distincts
bull Puce NFC dans des cartes de creacutedit grand public telles que MasterCard PayPass et Visa payWave
bull NFC utiliseacutee dans des solutions de portefeuille mobile
Livre blanc | Rapport HP 2012 sur les cyber-risques
12 Il existe actuellement des eacutediteurs agrave linstar de DeviceFidelity qui proposent des composants tiers qui reproduisent la prise en charge de la communication en champ proche (NFC) pour les appareils iPhone
Figure 22Preacutevalence des dix principales vulneacuterabiliteacutes (en pourcentage)
Accegraves non autoriseacute 18
Scripts intersites 15
Divulgation dinformations sensibles 12
Traitementnon seacutecuriseacute des sessions 11
Vulneacuterabiliteacutes du traitement des cookies 9
Meacutethode de cryptage inadapteacutee 9
Pratiques de connexion meacutediocres 8
Saisie semi-automatique sur des formulaires agrave donneacutees sensibles 6
Informations didentificationen texte clair 6
Messages derreur de mauvaise qualiteacute 6
20
Le deacutefi du premier mode de mise en œuvre est double le premier est que pour la plupart des eacutemetteurs de cartes de creacutedit linstallation de la puce NFC est obligatoire le deuxiegraveme est que par deacutefinition la puce NFC est toujours activeacutee Par exemple si la carte de creacutedit dun utilisateur est dans le champ dun lecteur NFS actif comme celui que lon rencontre dans un terminal de point de vente la carte de creacutedit transmet automatiquement le numeacutero de carte de creacutedit de lutilisateur au lecteur NFS de reacuteception A preacutesent imaginez le sceacutenario pour les appareils mobiles les plus modernes eacutequipeacutes de puces NFS inteacutegreacutees Dans le monde dAndroid il existe des applications conccedilues pour activer la puce NFC de lappareil mobile pour reproduire le comportement du lecteur NFS dun terminal de point de vente A laide dun appareil mobile ou dune application de ce genre un attaquant peut potentiellement activer la puce NFC de son appareil Android croiser des gens dans un endroit peupleacute et tenter danalyser leurs cartes de creacutedit pour recueillir leur numeacutero de compte permanent (PAN)
Les solutions de portefeuille mobile NFC sont souvent vulneacuterables agrave ce mecircme type dattaque si la solution concerneacutee ne deacutesactive pas ou ne retire pas la puce NFC une fois lexeacutecution dune transaction termineacutee Heureusement cette vulneacuterabiliteacute peut facilement ecirctre reacutesolue par des deacuteveloppeurs de solutions de portefeuille mobile sils retirent la puce NFC apregraves usage
Cas 2Plusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (par exemple des donneacutees de carte de creacutedit ou des numeacuteros de comptes) sont transmises via un canal NFC
bull Ecoute tentative dintercepter la communication des donneacutees de transmission NFC (par exemple proxy NFC)
bull Manipulation des donneacutees tentative de manipuler la communication des donneacutees de transmission NFC (par exemple pour identifier des reacutesultats erroneacutes)
bull Attaques par interception tentative dexploitation des modes actifpassif de lappareil pour envoyer et recevoir la communication des donneacutees de transmission NFC
bull Vol tentative dacceacuteder sans autorisation agrave lapplication de paiement mobile (comme si lappareil a eacuteteacute voleacute ou perdu) et examen des fichiers stockeacutes sur lappareil agrave la recherche dinformations sensibles
Cas 3Au cœur mecircme de la fonction NFC se trouve un composant appeleacute eacuteleacutement seacutecuriseacute Deux types de mise en œuvre de cet eacuteleacutement sont possibles (1) les eacuteleacutements incorporeacutes dans lappareil et (2) les eacuteleacutements chargeacutes dans une carte SIM Dans les cas ougrave leacuteleacutement seacutecuriseacute est chargeacute dans une carte SIM il est possible que la carte SIM soit retireacutee et eacutechangeacutee sous les yeux dun utilisateur creacutedule Cette situation aboutit agrave des sceacutenarios dattaque semblables aux suivants
bull Echange de carte SIM avec un autre appareil (du mecircme type) pour tenter dacceacuteder au contenu de leacuteleacutement seacutecuriseacute Dans certains cas lutilisation dun appareil de type diffeacuterent peut offrir un accegraves suppleacutementaire aux informations de leacuteleacutement seacutecuriseacute sil nest pas mis en œuvre de maniegravere seacutecuriseacutee Par exemple il existe un risque de contournement de lapplication de paiement ou de la protection du mot de passe au niveau du teacuteleacutephone en cas deacutechange de carte SIM dans un teacuteleacutephone eacutequivalent avec lapplication de paiement et sans mot de passe
bull Identification des donneacutees contenant des informations sensibles dans leacuteleacutement seacutecuriseacute situeacute dans la carte SIM apregraves une opeacuteration de restauration sur un autre appareil Il peut sagir aussi dattaques visant agrave cloner ou copier la carte SIM au moyen dun mateacuteriel externe
Notez que la difficulteacute daccegraves agrave leacuteleacutement seacutecuriseacute offre une certaine garantie sur lenvironnement de seacutecuriteacute de leacuteleacutement seacutecuriseacute sur lappareil cible
Cas 4Dans certains cas il est possible que limpleacutementation de lapplet VMPA dans leacuteleacutement seacutecuriseacute nait pas tenu compte de tous les eacuteleacutements de seacutecuriteacute Il peut sagir par exemple dune signature et dun controcircle daccegraves insuffisants de lapplet VMPA qui permettent agrave une application quelconque de deacutemarrer et dy soumettre des requecirctes Cette situation peut offrir agrave une application non autoriseacutee la possibiliteacute dappeler lapplet VMPA via la commande APDU (JSR 177) Une requecircte bien formuleacutee peut potentiellement permettre dactiver la radio NFC et de transmettre des informations de carte de creacutedit
Livre blanc | Rapport HP 2012 sur les cyber-risques
21
Bien que des informations et une analyse exactes peuvent ecirctre obtenues agrave partir dun appareil dinvestigation (si un accegraves agrave ce type de mateacuteriel est disponible) il nexiste pour lheure aucun outil autorisant laccegraves agrave des informations de leacuteleacutement seacutecuriseacute Leacuteleacutement seacutecuriseacute comme son nom lindique fournit des meacutecanismes de seacutecuriteacute preacutecis (par exemple controcircle daccegraves cryptage et reacutepartition) qui empecircchent lextraction dinformations sensibles eacuteventuelles Cest pourquoi un accegraves dinvestigation explicite agrave leacuteleacutement seacutecuriseacute nest actuellement pas possible mecircme avec un outil dinvestigation distribueacute par les leaders du marcheacute
RecommandationsIl existe des mesures que les organisations peuvent prendre pour reacuteduire les risques que posent les failles de seacutecuriteacute des applications mobiles Avant tout les applications doivent ecirctre manuellement controcircleacutees et eacutevalueacutees avant le lancement des produits afin de deacuteterminer la preacutesence de vulneacuterabiliteacutes dinjection ou de vulneacuterabiliteacutes de fuite dinformation Le code doit ecirctre analyseacute via une analyse statique au moment de le deacutevelopper pour y rechercher des failles Comme pour toutes les applications il est moins coucircteux de geacuterer des failles de seacutecuriteacute lors de la phase de deacuteveloppement quau moment de leur diffusion
Les normes de transmission seacutecuriseacutee des donneacutees doivent ecirctre incluses dans le cahier des charges de toutes les applications surtout si ces derniegraveres sont eacutelaboreacutees par des deacuteveloppeurs tiers Il en va de mecircme pour le stockage seacutecuriseacute des donneacutees et le journal des applications Des exigences raisonnables en matiegravere daffichage des communications entre applications et dautorisations dans ces derniegraveres doivent ecirctre rigoureusement deacutefinies Tous ces aspects doivent ecirctre geacutereacutes lors de la phase de deacutefinition des exigences et testeacutes lors du deacuteveloppement Au moment dexeacutecuter les tests de seacutecuriteacute et lanalyse sur les applications mobiles les services Web cocircteacute serveur et les API avec lesquels les clients mobiles communiquent doivent ecirctre pris dans leur contexte et analyseacutes pour y deacuteceler des vulneacuterabiliteacutes Des failles agrave haut risque peuvent passer agrave la trappe si ces deux eacuteleacutements sont testeacutes et compareacutes hors de leur contexte
Conclusions
Lobjectif de ce rapport est de fournir aux organisations toutes les informations de seacutecuriteacute qui les aideront agrave mieux comprendre comment deacuteployer les ressources limiteacutees dont elles disposent pour minimiser au maximum leurs risques en matiegravere de seacutecuriteacute A cet effet les tendances et les enseignements agrave tirer de lanneacutee 2012 sont nombreux et doivent ecirctre pris en compte pour la ou mecircme les anneacutees qui viennent
Militarisation des vulneacuterabiliteacutes Les attaquants ne cesseront jamais de militariser les vulneacuterabiliteacutes pour mener agrave bien leurs activiteacutes malveillantes Ceux qui eacutelaborent les kits dexploitation continueront de se focaliser sur des vulneacuterabiliteacutes dans les logiciels les plus reacutepandus ciblant le plus souvent des navigateurs et des plug-ins de navigateur tels que Oracle Java et Adobereg Flash De mecircme le nombre dattaques meneacutees publiquement agrave lencontre de technologies et dentreprises speacutecifiques continuera daugmenter Des organisations criminelles des Etats-nations et des hacktivistes se serviront toujours des cyber-attaques comme moyen duniformiser les regravegles du jeu contre des adversaires riches ou puissants mecircme si les reacuteelles motivations derriegravere ces attaques resteront souvent difficiles agrave deacuteterminer
Vulneacuterabiliteacutes des technologies mobilesLadoption croissante des technologies mobiles et leur utilisation au sein de lentreprise engendreront toujours des risques consideacuterables Nombre de gens lont deacutejagrave constateacute les programmes malveillants deacuteployeacutes sur les marcheacutes qui opposent Android et Apple poursuivent leur croissance Laggravation de ce problegraveme est essentiellement lieacutee au fait que les entreprises ne disposent pas du mecircme type de controcircle sur ces appareils que sur des PC Au moment ougrave le BYOD (Bring your own device) devient la norme et que ladoption des appareils mobiles prend de lampleur on peut sattendre agrave une hausse proportionnelle du nombre de failles chez les applications mobiles tendance qui devrait se maintenir dans un avenir preacutevisible
Livre blanc | Rapport HP 2012 sur les cyber-risques
22
DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables
Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications
Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables
Pourensavoirplusconsultezlapage Web hpcomgoSIRM
Livre blanc | Rapport HP 2012 sur les cyber-risques
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013
3
Preacutesentation
Dans ce rapport HP 2012 sur les cyber-risques HP Enterprise Security offre un large aperccedilu des vulneacuterabiliteacutes actuelles allant des donneacutees sectorielles geacuteneacuterales jusquagrave un examen attentif des diffeacuterentes technologies notamment dans le domaine du Web et des mobiles Lobjectif de ce rapport est de deacuteterminer des mesures de seacutecuriteacute exploitables indispensables aux organismes de collecte dinformations pour dresser et maicirctriser le panorama des vulneacuterabiliteacutes actuelles mais eacutegalement mieux deacuteployer leurs ressources afin de minimiser les risques de seacutecuriteacute
Pour eacutevaluer ces vulneacuterabiliteacutes sous un angle large le rapport se fonde sur les sources suivantes
bull Donneacutees de la base de donneacutees OSVDB (Open Source Vulnerability Database)1
bull Donneacutees de vulneacuterabiliteacute du programme Zero Day Initiative (ZDI)2 mis en place par HP
bull Analyse HP DVLabs des vulneacuterabiliteacutes et des donneacutees dexploitation malveillante
bull Donneacutees des tests de seacutecuriteacute statiques et dynamiques HP Fortify on Demand3
bull Reacutesultats des recherches Web meneacutees par le groupe HP Fortify Software Security Research en matiegravere de vulneacuterabiliteacutes
bull Donneacutees de Security Compass (partenaire HP) sur la vulneacuterabiliteacute des mobiles
A partir de ces donneacutees le rapport fait ressortir les principaux constats suivants
Les vulneacuterabiliteacutes ou failles dites critiques sont en baisse mais constituent toujours une menace importante Les vulneacuterabiliteacutes les plus graves (note CVSS4 entre 8 et 10) qui repreacutesentaient 23 de lensemble des vulneacuterabiliteacutes eacutevalueacutees et enregistreacutees dans la base de donneacutees OSVDB en 2011 ont connu une baisse de 20 en 2012 Si cette diminution est importante les donneacutees montrent neacuteanmoins que presque une vulneacuterabiliteacute sur cinq permet toujours agrave des attaquants de prendre le controcircle total dune cible
Les technologies arriveacutees agrave maturiteacute posent toujours des risquesComme le montre lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure qui preacuteconisait de deacutesactiver la plate-forme Java Standard Edition (SE) dOracle dans tous les navigateurs Web concerneacutes les technologies matures en apparence sont toujours la cible de nouvelles formes dexploitation malveillante Les donneacutees de 2012 montrent notamment que le nombre de vulneacuterabiliteacutes observeacutees dans les systegravemes de controcircle et de collecte de donneacutees (SCADA) est passeacute de 22 en 2008 agrave 191 en 2012 (soit une augmentation de 768 )
Lesplates-formesmobilesoffrentunterraintregravespropiceaudeacuteveloppement de nouvelles vulneacuterabiliteacutesFace au boom des appareils mobiles et des applications installeacutees dessus on note une explosion eacutequivalente du nombre de failles pour les technologies mobiles Les cinq derniegraveres anneacutees affichent une hausse de 787 du nombre de failles constateacutees dans le domaine des applications mobiles hausse notamment due aux nouvelles technologies comme la communication en champ proche (NFC) qui geacutenegraverent des failles de type ineacutedit
Lesapplications WebdemeurentunesourceimportantedevulneacuterabiliteacutesLes donneacutees OSVDB recueillies entre 2000 et 2012 montrent que sur les six principaux types de vulneacuterabiliteacute soumis quatre (linjection SQL les scripts intersites la falsification de requecircte intersites (CSRF) et les inclusions de fichiers agrave distance) concernent principalement ou exclusivement les applications Web
Les attaques par scripts intersites restent une menace majeure pour les organisations et les utilisateursLes scripts intersites (XSS) restent un problegraveme tregraves reacutepandu puisque 445 des applications dans nos jeux de donneacutees souffrent toujours de cette faille Un cas preacutecis celui de lanalyse dune entreprise multinationale montre que presque la moitieacute (4832 ) de ses applications Web se sont aveacutereacutees vulneacuterables face agrave une certaine forme dattaque XSS De plus agrave la lecture des recherches meneacutees speacutecifiquement pour les failles de type XSS dans le cadre du programme ZDI on constate que de nouvelles meacutethodes dexploitation de cette vulneacuterabiliteacute sont en permanence deacuteceleacutees
Livre blanc | Rapport HP 2012 sur les cyber-risques
1 Open Source Vulnerability Database osvdborg
2 Programme HP Zero Day Initiative zerodayinitiativecom
3 HP Fortify on Demand fortifymyappcom
4 Common Vulnerability Scoring System (CVSS) firstorgcvsscvss-guidehtml
4
La preacutevention des risques lieacutes aux attaques par script sur plusieurs cadres semble nulleLa premiegravere vulneacuterabiliteacute de type XFS deacutecouverte soit la cause racine des attaques de type clickjacking (deacutetournement de clic) remonte agrave plus de dix ans Depuis le clickjacking sest banaliseacute et pourtant moins de un pour cent des 100 000 URL testeacutees incluaient loutil de preacutevention le plus connu agrave savoir len-tecircte X-Frame-Options
Tendances des vulneacuterabiliteacutes
Pour comprendre les risques techniques en matiegravere de seacutecuriteacute il faut dabord savoir ougrave et comment les vulneacuterabiliteacutes surviennent au sein dune organisation Les vulneacuterabiliteacutes peuvent frapper agrave tous les niveaux de linfrastructure de lorganisation du mateacuteriel jusquau reacuteseau et aux logiciels (les nouveaux comme les anciens) Ces vulneacuterabiliteacutes sont la voie quempruntent des acteurs malveillants pour contourner les meacutecanismes de seacutecuriteacute et deacuterober ou endommager des donneacutees refuser des accegraves et compromettre les processus meacutetier strateacutegiques de lorganisation
En se basant sur les donneacutees de la base de donneacutees OSVDB (Open Source Vulnerability Database) et du programme HP Zero Day Initiative (ZDI) cette section du rapport deacutegage les tendances globales suivantes en matiegravere de vulneacuterabiliteacutes
bullLachasseauxvulneacuterabiliteacutes 19devulneacuterabiliteacutesenplusen 2012 quen 2011 Le nombre total de vulneacuterabiliteacutes releveacute offre un aperccedilu global des vulneacuterabiliteacutes actuelles et deacutevoile un panorama de cyber-menaces en perpeacutetuelle eacutevolution
bullDes marcheacutes qui ne cessent deacutevoluer et une complexiteacute accrue qui nuit agrave la deacutetection et la signalisation des failles Les donneacutees de divulgation des vulneacuterabiliteacutes montrent limpact des eacutevolutions du marcheacute des vulneacuterabiliteacutes et de la complexiteacute technique des systegravemes sur le nombre et la graviteacute des vulneacuterabiliteacutes signaleacutees
bullLesapplications Webposentencoreaujourdhuidesrisquestechniquesimportantspourlesorganisations Une petite poigneacutee dapplications Web strateacutegiques vulneacuterables repreacutesente toujours une large minoriteacute des vulneacuterabiliteacutes totales deacutecouvertes en 2012
bullLamaturiteacutedunetechnologienedeacutefinitpassonprofildevulneacuterabiliteacute Les donneacutees recueillies en 2012 montrent une augmentation de plus de 700 du nombre de vulneacuterabiliteacutes deacutecouvertes ayant un impact agrave la fois sur les systegravemes de controcircle et de collecte de donneacutees SCADA (principale technologie utiliseacutee) et sur les appareils mobiles (la prochaine eacutetape dans le deacuteveloppement des technologies de linformation)
Lachasseauxvulneacuterabiliteacutes 19 devulneacuterabiliteacutesenplusen 2012quen 2011Le nombre total de nouvelles vulneacuterabiliteacutes signaleacutees au cours de lanneacutee 2012 (8 137) montre une augmentation denviron 19 par rapport au nombre enregistreacute en 2011 (6 844) mais il demeure infeacuterieur agrave 19 au nombre record de 2006 Ce reacuteajustement constant du nombre de vulneacuterabiliteacutes signaleacutees montrent bien que la guerre que se livrent les organisations et les attaquants fait rage sans quun vainqueur ne se deacutegage clairement (voir la Figure 1)
Figure 1 Vulneacuterabiliteacutes deacutecouvertes et enregistreacutees dans la base de donneacutees OSVDB entre 2000 et 2012
0
2 000
4 000
6 000
8 000
10 000
12 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Nom
bre
tota
l de
vuln
eacuterab
iliteacute
s
Livre blanc | Rapport HP 2012 sur les cyber-risques
5
Laffichage par anneacutee des donneacutees OSVDB montre clairement que les vulneacuterabiliteacutes deacutecouvertes nont cesseacute dosciller depuis le niveau record de 2006 et quaucune tendance agrave la hausse ou agrave la baisse ne sest deacutegageacutee dans les anneacutees qui ont suivi Le nombre total de vulneacuterabiliteacutes apparues au cours dune anneacutee preacutecise ne mesure pas neacutecessairement la seacutecuriteacute globale du secteur Il indique plutocirct comment les changements dans la maniegravere de deacutetecter divulguer et exploiter les vulneacuterabiliteacutes peuvent grandement varier dune anneacutee sur lautre La section suivante souligne comment ces changements du marcheacute des vulneacuterabiliteacutes expliquent en partie ces variations
Des marcheacutes qui ne cessent deacutevoluer et une complexiteacute accrue qui nuit agrave la deacutetection et la signalisation des vulneacuterabiliteacutesMecircme si le nombre des vulneacuterabiliteacutes signaleacutees reste largement infeacuterieur au niveau record observeacute en 2006 un examen des facteurs ayant une incidence sur la deacutetection et la divulgation des failles est primordial Les informations de vulneacuterabiliteacute peuvent ecirctre distribueacutees via diffeacuterents canaux notamment des programmes communautaires comme la base de donneacutees OSVDB ou le programme HP ZDI des consultants priveacutes en seacutecuriteacute les programmes Bug Bounty (recherche de vulneacuterabiliteacutes reacutecompenseacutee) des fabricants et le marcheacute noir clandestin
Si la base de donneacutees OSVDB offre un excellent aperccedilu du paysage actuel des vulneacuterabiliteacutes elle permet seulement de recenser les vulneacuterabiliteacutes qui sont publiquement divulgueacutees ou directement transmises agrave lorganisation De plus en plus les agences de conseil speacutecialiseacutees en seacutecuriteacute deacutecouvrent et achegravetent des vulneacuterabiliteacutes qui sont ensuite directement divulgueacutees agrave leurs groupes priveacutes de clients Cette pratique ignore un grand nombre de vulneacuterabiliteacutes qui ne sont pas comptabiliseacutes dans les reacutesultats publics
Un autre eacuteleacutement qui complique le deacutefi que posent les vulneacuterabiliteacutes est la complexiteacute des logiciels actuels La seacutecuriteacute est devenue est une prioriteacute croissante et pour lutter contre les attaques incessantes de personnes malveillantes les organisations ont doteacute leurs logiciels de meacutecanismes de seacutecuriteacute et ajouteacute des fonctionnaliteacutes pour contrecarrer les initiatives de deacutecouverte et dexploitation non autoriseacutees de leurs vulneacuterabiliteacutes Ces mesures nont pas seulement contribueacute agrave combler des lacunes elles ont eacutegalement compliqueacute davantage la deacutetection des vulneacuterabiliteacutes qui demeuraient
Le changement dorientation des marcheacutes publics et priveacutes des vulneacuterabiliteacutes associeacute agrave la complexiteacute croissante quimplique lidentification des vulneacuterabiliteacutes a fait grimper la valeur des vulneacuterabiliteacutes agrave fort potentiel dexploitation (celles avec une note CVSS entre 8 et 10) Cette augmentation amegravene deux conclusions
bull Les chercheurs en seacutecuriteacute doivent deacutevelopper des compeacutetences eacutetendues dans des systegravemes speacutecifiques pour rester efficaces
bull Les chercheurs beacuteneacuteficient dun meilleur retour sur investissement pour les vulneacuterabiliteacutes graves qui atteignent des prix plus eacuteleveacutes
Cependant avec la hausse theacuteorique du nombre total de vulneacuterabiliteacutes hautement exploitables signaleacutee par lOSVDB en 2012 le pourcentage du nombre total de vulneacuterabiliteacutes signaleacutees avec une note CVSS eacuteleveacutee a diminueacute pour passer de 23 en 2011 agrave 20 en 2012 (voir la Figure 2) Notez que lOSVDB nexige pas de note CVSS pour signaler des vulneacuterabiliteacutes Les vulneacuterabiliteacutes sans note CVSS ont la valeur Zeacutero dans la figure
Figure 2 Panorama de la graviteacute des vulneacuterabiliteacutes dapregraves les donneacutees de lOSVDB (2000 agrave 2012)
0
2 000
4 000
6 000
8 000
10 000
12 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Zeacutero 1 2 3 4 5 6 7 8 9 10
Livre blanc | Rapport HP 2012 sur les cyber-risques
6
Un eacuteleacutement qui contraste avec cette hausse modeste du nombre de vulneacuterabiliteacutes hautement exploitables signaleacutees en 2012 est la tendance globale des donneacutees de lOSVDB puisque ces derniegraveres montrent que le pourcentage pour ce type de vulneacuterabiliteacute a augmenteacute de maniegravere consideacuterable et homogegravene au cours des dix derniegraveres anneacutees (voir la Figure 3)
Figure 3 Graviteacute des vulneacuterabiliteacutes OSVDB sur dix ans
Graviteacute moyennement eacuteleveacutee (note CVSS 5 agrave 7) Graviteacute la plus eacuteleveacutee (note CVSS 8 agrave 10)Graviteacute la moins eacuteleveacutee (note CVSS 1 agrave 4)
8
2002 2007 2012
17
75
14
22 64
20
36
44
Entre 2002 et 2007 les vulneacuterabiliteacutes moyennement graves (note CVSS entre 5 et 7) formaient la majoriteacute des deacutecouvertes Cette peacuteriode comporte une hausse importante du nombre total de vulneacuterabiliteacutes deacuteclareacutees agrave un moment ougrave les outils de test agrave donneacutees aleacuteatoires (fuzzing) devenaient la norme et les chercheurs commenccedilaient agrave identifier les vulneacuterabiliteacutes les plus reacutepandues et simples agrave deacutetecter gracircce agrave lautomatisation Depuis ce nombre a nettement baisseacute notamment gracircce aux organisations de deacuteveloppement qui par le biais de lautomatisation ont pu identifier et reacutesoudre ces vulneacuterabiliteacutes avant que les chercheurs ne les trouvent
Par quoi sexplique alors le pourcentage en deacutecrue des vulneacuterabiliteacutes agrave fort potentiel dexploitation observeacute en 2012 Les donneacutees commerciales laissent agrave penser que du fait des compeacutetences et du temps requis pour deacutevoiler et deacutemontrer le potentiel dexploitation des vulneacuterabiliteacutes les plus graves un nombre sans cesse croissant de ce type de vulneacuterabiliteacute est vendu sur des marcheacutes commerciaux priveacutes (gris) ou clandestins (noirs) ce qui les exclut (du moins provisoirement) de tout recensement public comme celui de lOSVDB
Lesapplications Webposenttoujoursdesrisquesimportantspourles entreprisesLa Figure 4 met en eacutevidence les six vulneacuterabiliteacutes les plus reacutepandues signaleacutees dans lOSVDB deacutepassement de meacutemoire tampon deacuteni de service inclusion de fichier agrave distance injection SQL scripts intersites et falsification de requecircte intersites (CSRF) Toutes sont potentiellement exploitables agrave distance
Figure 4 Les vulneacuterabiliteacutes les plus courantes dans lOSVDB preacutesenteacutees par cateacutegories (2000 agrave 2012)
0
600
1 200
1 800
2 400
3 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Deacutepassement de meacutemoire tampon
Deacuteni de service
Inclusions de fichiers agrave distance
Injection SQL
Scripts intersites
Falsification de requecirctes intersites
Sur ces six cateacutegories de vulneacuterabiliteacute quatre (linjection SQL les scripts intersites la falsification de requecircte intersites (CSRF) et les inclusions de fichiers agrave distance) ont principalement ou exclusivement un impact sur les applications Web et repreacutesentent 40 du volume total de vulneacuterabiliteacutes deacutecouvertes en 2012 selon lOSVDB
Si le nombre de vulneacuterabiliteacutes Web a atteint un niveau record en 2006 il a eacutevolueacute depuis et de maniegravere similaire au nombre global de vulneacuterabiliteacutes (voir la Figure 5)
Livre blanc | Rapport HP 2012 sur les cyber-risques
7
Figure 5 Vulneacuterabiliteacutes des applications Web et des applications non Web
0
2 000
4 000
6 000
8 000
10 000
12 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Vulneacuterabiliteacutes des applications Web Vulneacuterabiliteacutes des applications non Web
On peut en conclure que si les vulneacuterabiliteacutes des applications non connecteacutees au Web repreacutesentent toujours la majoriteacute des vulneacuterabiliteacutes divulgueacutees quelques cateacutegories de vulneacuterabiliteacutes des applications Web introduisent encore des risques techniques consideacuterables pour les organisations
LamaturiteacutedunetechnologienedeacutefinitpassonprofildevulneacuterabiliteacuteLun des changements majeurs de paradigme technique au cours de la derniegravere deacutecennie a eacuteteacute ladoption massive dappareils mobiles capables dexeacutecuter des applications personnaliseacutees Au cours des cinq derniegraveres anneacutees seulement les donneacutees OSVDB ont afficheacute une croissance de 787 du nombre de vulneacuterabiliteacutes deacutecouvertes dans le cas des technologies mobiles (voir la Figure 6) La derniegravere anneacutee agrave elle seule montre une augmentation de 68 avec 158 vulneacuterabiliteacutes deacutecouvertes en 2011 et 266 en 2012
Figure 6 Vulneacuterabiliteacutes deacutecouvertes pour les technologies mobiles et eacutevalueacutees par lOSVDB entre 2008 et 2012
0
50
100
150
200
250
300
2008 2009 2010 2011 2012
Par comparaison les systegravemes de controcircle et de collecte de donneacutees (SCADA) qui controcirclent les processus industriels automatiseacutes notamment dans les domaines de la fabrication la production deacutelectriciteacute le secteur minier et le traitement des eaux sappuient sur des technologies beaucoup plus abouties Ces systegravemes qui opeacuteraient historiquement sur des reacuteseaux distincts avec des protocoles proprieacutetaires ont ensuite entameacute une migration vers des reacuteseaux standard et mecircme Internet dans le but de simplifier la gestion des ressources la facturation et les aspects opeacuterationnels A mesure que ces systegravemes ont quitteacute leurs reacuteseaux isoleacutes distincts des problegravemes de seacutecuriteacute autrefois masqueacutes par une surface dattaque reacuteduite ont commenceacute agrave se manifester
Livre blanc | Rapport HP 2012 sur les cyber-risques
8
Dapregraves les donneacutees de lOSVDB 76 vulneacuterabiliteacutes seulement ont eacuteteacute deacutetecteacutees dans les systegravemes SCADA entre 2008 et 2010 En revanche apregraves la deacutecouverte en 2010 du ver Stuxnet dans une usine denrichissement duranium iranienne lattention sest focaliseacutee sur la seacutecuriteacute des systegravemes SCADA En 2011 164 vulneacuterabiliteacutes ont eacuteteacute recenseacutees dans les systegravemes SCADA et ce nombre a atteint 191 en 2012 soit une augmentation de 768 par rapport aux chiffres de 2008 (voir la Figure 7)
Figure 7 Vulneacuterabiliteacutes des systegravemes SCADA deacutecouvertes et eacutevalueacutees par lOSVDB entre 2008 et 2012
0
50
100
150
200
250
2008 2009 2010 2011 2012
ProgrammeZero Day Initiative coupdœilsur 2012Gracircce agrave la position de leader du ZDI en qualiteacute de programme dacquisition des vulneacuterabiliteacutes les chercheurs de leacutequipe ont maintes fois eu loccasion danalyser certaines des vulneacuterabiliteacutes les plus inteacuteressantes et les plus deacutebattues qui sont survenues au cours des douze derniers mois Les cas dignes dinteacuterecirct suivants observeacutes en 2012 illustrent le croisement des marcheacutes blanc et noir
Au deacutebut de lanneacutee 2012 une vulneacuterabiliteacute des services Bureau agrave distance Microsoftreg (ZDI-12-044 MS12-020 et CVE-2012-0002) a fait lobjet de toutes les attentions
bull Le ZDI a signaleacute cette faille speacutecifique agrave Microsoft en aoucirct 2011
bull Aucune attaque exteacuterieure connue ne fut signaleacutee mais consciente de son pouvoir dattraction aupregraves des attaquants la socieacuteteacute Microsoft sattendait deacutejagrave agrave des exploitations imminentes pour mars 2012
bull Il eacutetait possible dacceacuteder agrave cette faille sur le reacuteseau avant toute authentification requise Elle se manifestait deacutejagrave lors de la gestion des erreurs au moment du chargement des eacuteleacutements dans un tableau
Un mois plus tard Samba publia un correctif tregraves attendu fondeacute sur une faille identifieacutee par un chercheur du ZDI (TPTI-12-04 CVE-2012-1182)
bull Le ZDI signala cette faille agrave Samba en septembre 2011
bull Aucune attaque exteacuterieure connue ne fut signaleacutee mais la vulneacuterabiliteacute incrimineacutee comptait parmi les vulneacuterabiliteacutes les plus graves pour un programme et Samba traita sans attendre le problegraveme
bull Cette faille nexigeait aucune connexion authentifieacutee et aboutissait agrave une meacutemoire corrompue quun attaquant pouvait librement exploiter pour exeacutecuter du code agrave distance
La fin de lanneacutee 2012 fut une peacuteriode dactiviteacute intense pour les attaques de type zero-day qui toucha autant Oracle (CVE-2012-0422 CVE-2012-3174) que Microsoft (MS13-008 CVE-2012-4792) Le ZDI eacutetait aux premiegraveres loges et signala une vulneacuterabiliteacute importante de Java lieacutee agrave une faille zero-day
bull Le ZDI signala cette faille Java agrave Oracle en deacutecembre 2012
bull Cette faille eacutetait exploiteacutee au grand jour
bull Elle permettait agrave une applet malveillante dexeacutecuter un code fourni par un attaquant et de le faire agrave distance dans le contexte de lutilisateur actuel
Ces cas ne sont pas les seuls cas geacutereacutes par le ZDI en 2012 mais ils montrent bien le croisement des marcheacutes noir et blanc dans cette chasse aux vulneacuterabiliteacutes Une chose est sucircre nos chercheurs sont engageacutes dans une course contre la montre visant agrave identifier et divulguer de maniegravere responsable les vulneacuterabiliteacutes des technologies logicielles les plus reacutepandues
Livre blanc | Rapport HP 2012 sur les cyber-risques
9
Vulneacuterabiliteacutesdesapplications Web
Pour dresser un tableau plus complet des vulneacuterabiliteacutes actuelles leacutequipe HP Fortify on Demand sest reacuteunie et a analyseacute les reacutesultats de milliers deacutevaluations pour savoir agrave quoi ressemble la seacutecuriteacute des applications Web de linteacuterieur Pour cela elle a proceacutedeacute agrave des examens de code et des tests de peacuteneacutetration Un examen minutieux des reacutesultats des analyses statiques (recherche de vulneacuterabiliteacutes dans le code source sans exeacutecution de ce dernier) et dynamiques (tests de fonctionnement du logiciel en qualiteacute dattaquant sans accegraves au code mecircme) constitue une base solide pour eacutetablir un reacuteel eacutetat des lieux en matiegravere de risques pour les applications Web
Les jeux deacutechantillons utiliseacutes pour cette analyse comprenaient 200 applications choisies au hasard pour lanalyse dynamique et 800 applications pour lanalyse statique La Figure 8 montre les cinq principales vulneacuterabiliteacutes deacutecouvertes dans le cadre de lanalyse dynamique en 2012
Figure 8 Cinq principales vulneacuterabiliteacutes deacutecouvertes lors de lanalyse dynamique en 2012 via HP Fortify on Demand
45
26 25
13
9
0
5
10
15
20
25
30
35
40
45
50
Scripts intersites ProtectionTransport
Layer insuffisante
Mauvaiseconfiguration
de seacutecuriteacute
Gestion delauthentification
et des sessiondeacutefaillante
Failles dinjection
Les reacutesultats dynamiques obtenus agrave partir de ce jeu deacutechantillons ainsi que dautres reacutesultats consigneacutes dans ce rapport montrent que les attaques par script intersite constituent toujours une menace importante lors de toute tentative de seacutecurisation des applications Web Si lon tient compte de la premiegravere place quoccupent les attaques par script intersite parmi les types de vulneacuterabiliteacute acquis par le ZDI lanneacutee derniegravere et de lampleur reacuteelle de ces attaques confirmeacutee par des tests reacutepeacuteteacutes les organisations peuvent agrave juste titre les consideacuterer comme une preacuteoccupation majeure en matiegravere de seacutecuriteacute
La Figure 9 deacutecrit le mode opeacuteratoire dune attaque par script intersite classique et comment lexploiter pour deacuterober des informations didentification dauthentification sur des sites strateacutegiques
Livre blanc | Rapport HP 2012 sur les cyber-risques
10
Figure 9 Anatomie dune attaque par script intersite reacutefleacutechie
Site bancaire
Utilisateur creacutedule
Attaquantmalveillant
1 Un attaquant deacutecouvre une faille XSS dans une application Web
3 Lattaquant distribue le lien XSS malveillant via dingeacutenierie sociale agrave des utilisateurs creacutedules
2 Lattaquant creacutee une URL dattaque pour voler des informations sensibles et la deacuteguise afin quelle paraisse leacutegitime
4 Lorsque la victime se connecte JavaScript qui est inteacutegreacute au lien XSS malveillant sexeacutecute et transmet les informations de connexion de la victime agrave lattaquant
La Figure 10 montre les cinq principales vulneacuterabiliteacutes deacutecouvertes dans le cadre de lanalyse statique en 2012 et inclut le pourcentage relatif dapplications toucheacutees par chaque cateacutegorie de vulneacuterabiliteacute
Figure 10 Cinq principales vulneacuterabiliteacutes deacutecouvertes lors de lanalyse statique en 2012 via HP Fortify on Demand
92 88 86
75
61
0
10
20
30
40
50
60
70
80
90
100
Fuites dinformationset gestion des
erreurs inapproprieacutee
Stockagedes donneacutees
cryptographiquesnon seacutecuriseacute
Failles dinjection Reacutefeacuterencedobjet directenon seacutecuriseacutee
Gestion delauthentification et des
session deacutefaillante
Les reacutesultats de lanalyse statique reacutevegravelent que les fuites dinformation les problegravemes de stockage des donneacutees cryptographiques et les failles dinjection sont les vulneacuterabiliteacutes les plus freacutequentes Un eacuteleacutement non citeacute dans cette liste des cinq principales vulneacuterabiliteacutes est que pour 51 des applications il eacutetait question dune attaque par script intersite reacutefleacutechie (voir la Figure 9 ci-avant) Sil ne figure pas dans la liste il reste neacuteanmoins un eacuteleacutement important si on lajoute aux autres reacutesultats de ce rapport
Les reacutesultats de ces jeux deacutechantillons confirment nettement que les applications Web souffrent encore aujourdhui de nombreuses faiblesses pourtant jugeacutees critiques par les diverses normes industrielles en vigueur Les cinq principales cateacutegories de vulneacuterabiliteacute qui dominent les reacutesultats sont souvent celles qui exposent les applications Web agrave des risques importants notamment le vol dinformations lescalade de privilegraveges etc Ces deux jeux deacutechantillons nous amegravenent agrave la conclusion que les organisations ne parviennent toujours pas agrave appliquer des mesures coheacuterentes pour faire face agrave des vulneacuterabiliteacutes omnipreacutesentes comme les scripts intersites et les fuites dinformation
Livre blanc | Rapport HP 2012 sur les cyber-risques
11
Un autre eacuteleacutement agrave retenir est que la vulneacuterabiliteacute la plus employeacutee par des attaquants en relation avec dautres vulneacuterabiliteacutes connues est la fuite dinformation Un eacuteleacutement dinformation preacutecis peut sembler sans inteacuterecirct mais peut pourtant ecirctre le composant cleacute qui permettra agrave un attaquant dimposer une technique pour mener une attaque plus deacutevastatrice encore En somme pour preacuteparer et reacuteussir une attaque des techniques minutieuses de collecte des informations et de reconnaissance sont indispensables
Risquesdesapplications Web eacutetudedecas
ProfildelasocieacuteteacuteGrande entreprise multinationale (plus de 100 000 employeacutes) avec un chiffre daffaires de plus de 82 milliards de dollars pour lexercice fiscal 2012
Cette entreprise dispose dun programme de seacutecuriteacute actif et opeacuterationnel Les reacutesultats montrent les efforts qui sont neacutecessaires pour geacuterer entiegraverement les risques lieacutes agrave la seacutecuriteacute des applications Les reacutesultats qui suivent proviennent de plus de 1 300 eacutevaluations dynamiques uniques meneacutees sur les divers sites de lentreprise Dans legravere de la seacutecuriteacute des applications modernes une vulneacuterabiliteacute est souvent une de trop
Reacutesultats
bull 541 des eacutevaluations ont reacuteveacuteleacute des cookies persistants LAgence europeacuteenne chargeacutee de la seacutecuriteacute des reacuteseaux et de linformation (ENISA) emploie le terme cookies doux-amers pour parler de ces cookies Les cookies persistants augmentent consideacuterablement la probabiliteacute dattaques par relecture en raison de la dureacutee de validiteacute prolongeacutee des cookies La divulgation dinformations sur des ordinateurs publics partageacutes peut eacutegalement produire des cookies persistants Parce que les cookies servent entre autres agrave observer le comportement des utilisateurs il est probable que les avantages potentiels quils preacutesentent pour lentreprise aient quelque peu relayeacute les questions de seacutecuriteacute au second plan
bull Un peu moins de la moitieacute (4832 ) des sites eacutetaient vulneacuterables face agrave une certaine forme dattaque par script intersite
bull Presque un cinquiegraveme (1957 ) des sites contenaient un formulaire de connexion non crypteacute agrave scheacutema mixte ougrave les informations dune page HTTP eacutetaient publieacutees dans une page HTTPS ou inversement
bull 1277 des eacutevaluations eacutetaient vulneacuterables agrave une certaine forme dinjection SQL Le plus intrigant cest que 1097 des eacutevaluations confirmaient les vulneacuterabiliteacutes dinjection SQL agrave laveugle Si lon tient compte du caractegravere particuliegraverement dangereux des injections SQL agrave laveugle et du fait que ces vulneacuterabiliteacutes sont souvent employeacutees pour compromettre un systegraveme ce pourcentage pose de graves problegravemes
bull Un autre cinquiegraveme (197 ) des sites eacutetaient vulneacuterables aux connexions transmises via une connexion non crypteacutee ce qui signifie que le formulaire nutilisait pas le protocole SSL
bull 526 des sites eacutetaient exposeacutes agrave une vulneacuterabiliteacute de lectureinclusion de fichier local Sil eacutetait jugeacute sensible le contenu du fichier pouvait ecirctre utiliseacute pour prendre le controcircle du systegraveme
Des attaques deacutevastatricesOutre des statistiques les organismes chargeacutes de collecter des informations de seacutecuriteacute ont eacutegalement besoin dobservations et dideacutees Dans cette optique la section qui suit propose une liste sommaire des attaques deacutevastatrices que les responsables des tests de peacuteneacutetration chez HP Fortify on Demand ont deacutecouvertes en 2012 Chaque compte a eacuteteacute deacutecouvert moyennant autorisation au cours dopeacuterations approuveacutees meneacutees agrave lencontre de sites de production avec des difficulteacutes techniques allant des plus simples aux plus complexes Le deacutenominateur commun est que toutes les attaques avaient des conseacutequences extrecircmement graves si elles eacutetaient deacutecouvertes par un attaquant malveillant Pour des raisons eacutevidentes les noms des clients nont pas eacuteteacute inclus mais les secteurs eux-mecircmes sont inseacutereacutes dans la liste pour illustrer le danger potentiel et la pertinence des attaques Si ces exemples revecirctent un caractegravere anecdotique par deacutefinition ils profitent de lexpeacuterience et des avis de nos responsables de tests de peacuteneacutetration dune maniegravere que les simples statistiques ne permettent pas Lagrave encore la seacutecuriteacute est plus quune affaire de produits Cest un processus
Attaques par injection et attaques par validation dentreacutee incorrecte Secteurs dactiviteacute peacutetrochimie industrie alimentaire eacutenergie et logicielsTeacuteleacutechargementsdefichiersnonseacutecuriseacutesetconfigurationincorrectedelaseacutecuriteacute Un programme client lourd permettait agrave nimporte quel utilisateur de charger (au moyen de sa fonction de chargement intrinsegraveque) des programmes malveillants sur un serveur Web muni daucune protection contre ce type de programme Environ 30 000 utilisateurs dans le monde entier se servaient de ce programme les risques eacutetaient donc particuliegraverement grands Les fonctions de teacuteleacutechargement de fichiers doivent impeacuterativement faire preuve de meacutefiance agrave leacutegard des types de fichiers acceptables La Figure 11 deacutecrit les conseacutequences de ce sceacutenario
Livre blanc | Rapport HP 2012 sur les cyber-risques
12
Figure 11 Lautorisation de teacuteleacutechargements de fichiers peut avoir des conseacutequences seacutevegraveres
Teacuteleacutechargementsde fichiers
non valideacutes
Aucuneprotectionpar logiciel
anti-programmemalveillant
30 000utilisateurs
sont infecteacutes parle logiciel
malveillant
Injection SQLagravelaveugle les fonctionnaliteacutes daide agrave la recherche (une seacuterie de cases agrave cocher conccedilues pour aider les utilisateurs agrave restreindre leurs critegraveres de recherche) sans validation dentreacutee ont abouti agrave laffichage de 35 bases de donneacutees dID dutilisateur de systegraveme de base de donneacutees et de hachages de mot de passe y compris le compte dadministrateur systegraveme Linjection SQL agrave laveugle peut ecirctre difficile agrave deacuteceler parce quelle geacutenegravere rarement des messages derreur et manifeste un comportement applicatif anormal Les requecirctes parameacutetrables eacutegalement appeleacutees instructions preacutepareacutees empecircchent avec efficaciteacute les attaques par injection SQL si elles ont correctement mises en place5 La Figure 12 deacutecrit cette seacutequence
Instructions SQLentexteclair lors des tests effectueacutes sur une application cliente lourde il a eacuteteacute deacutecouvert que le client exeacutecutait des instructions SQL directement sur le serveur SQL principal avec des autorisations de niveau administrateur sur HTTP Une escalade des privilegraveges utilisateur et la modification des mots de passe furent possibles en soumettant le protocole agrave une ingeacutenierie agrave rebours et en le manipulant (voir la Figure 13)
Inclusiondefichierlocal des techniques de traversement de reacutepertoires (Directory Traversal) et dinclusion de fichier local ont eacuteteacute employeacutees pour afficher le contenu du fichier SAM (Gestionnaire de comptes de seacutecuriteacute) de sauvegarde du serveur Web qui permettait de deacutecoder les mots de passe Au bout de dix minutes il eacutetait possible pour un administrateur local dacceacuteder au systegraveme et de tout compromettre Les routines de validation dentreacutee quelles soient inheacuterentes agrave lapplication ou interviennent au niveau de configuration du serveur Web auraient eacutelimineacute ce vecteur
AttaquesvisantagraveexploiterunemauvaiseconfigurationdeseacutecuriteacuteSecteurs dactiviteacute peacutetrochimie et secteur bancaire internationalImpossibiliteacutederestreindrelaccegravesauxreacutepertoiressensibles dans ce cas le reacutepertoire deacutecouvert eacutetait ldquohttpswwwexamplecompasswordsrdquo Naturellement aucun dossier ldquopasswordsrdquo tout du moins public ne devrait exister Le dossier eacutetait accessible via des navigateurs Web sans aucune authentification et comprenait une liste de reacutepertoires avec des fichiers texte aux noms divers tels que ldquopasswordsprojectrdquo ou mecircme ldquopasswordssystemsrdquo Un simple clic sur un fichier provoquait louverture dun document texte muni dune liste dutilisateurs et de mots de passe au format suivant userpassword Une des listes contenait mecircme ldquosysadminpassword adminpassword etchelliprdquo (voir la Figure 14) Ceci illustre la neacutecessiteacute et limportance de la validation danalyse post-automatique puisque cette vulneacuterabiliteacute qui pose de faibles risques en apparence pouvait aiseacutement passer inaperccedilu aux yeux du client Qui plus est le problegraveme aurait pu ecirctre eacuteviteacute si laccegraves au reacutepertoire avait eacuteteacute restreint comme il le fallait
Leprotocole WebDAVactiveacuteautorisaitlesopeacuterationsdeacutecritureagravedistance Le mode dactivation du protocole WebDAV sur un serveur Web en particulier permettait agrave des utilisateurs dapplications distants de communiquer avec lhocircte et deacutecrire des fichiers dans des reacutepertoires arbitraires Lexploitation de cette vulneacuterabiliteacute permettait de teacuteleacutecharger une porte deacuterobeacutee personnaliseacutee puis de lexeacutecuter en parcourant le chemin daccegraves agrave lURL du fichier reacutecemment transfeacutereacute Une fois exeacutecuteacutee elle offrait la possibiliteacute de controcircler entiegraverement le serveur Web En preacutevoyant de plus amples tests la personne chargeacutee de ces tests pouvait librement poursuivre une attaque contre dautres hocirctes sur le reacuteseau interne de lentreprise processus appeleacute glissement (pivoting) La suppression de laccegraves WebDAV et de meacutethodes HTTP exteacuterieures aurait pu eacuteviter cette attaque
Injection SQLetcommandesdevalidationdentreacuteefaibles Un filtre SQL filtrait tout agrave lexception de lopeacuterateur ldquoORrdquo Cela signifie essentiellement quapregraves insertion de lopeacuterateur ldquoORrdquo dans une instruction SQL chaque commande serait exeacutecuteacutee sur le systegraveme Le parameacutetrage des requecirctes empecircchera les attaques par injection SQL La Figure 15 deacutecrit le deacuteroulement seacutequentiel dune attaque par injection SQL
Livre blanc | Rapport HP 2012 sur les cyber-risques
5 httpswwwowasporgindexphpSQL_Injection_Prevention_Cheat_Sheet
Figure 12 Injection SQL agrave laveugle
Injection SQLagrave laveugle
Voldinformationsutilisateur
Accegraves agraveladministrationsystegraveme
Figure 13 Instructions SQL en texte clair
Protocoledingeacutenierie clientserveur agrave rebours
Exeacutecution SQL
Reacuteinitialisation dumot de passe avec
des privilegravegesplus eacuteleveacutes
Figure 14 Restriction daccegraves impossible
Accegraves au reacutepertoire non restreint
passwrdsprojectuserpassword sysadminmot de passe
passwordssystems fichier
httpswwwexamplecompasswords reacutepertoire
13
Figure 15 Anatomie dune attaque par injection SQL
Site bancaireBase de donneacutees
de la banque
1=1
Attaquant malveillant
1 Lattaquant envoie des informations suppleacutementaires telles quun guillemet ou 1=1 avec des informations de connexion ou inclure des variablespour modifier linstruction SQL originale
3 Une fois que le scheacutema de base de donneacutees a eacuteteacute deacutefini lattaquant peut extraire les donneacutees contenues dans la base de donneacutees notamment les noms dutilisateur les mots de passes les informations de carte de creacutedit etc
2 Avec lapproche par essais et erreurs lattaquant peut construire des arguments SQL pouvant ecirctre utiliseacutes pour reacutecupeacuterer des donneacutees telles que des noms de tableaux ou des noms delignes etc
Mauvaiseconfiguration SAP Linteacutegraliteacute de la base de donneacutees des cartes de creacutedit eacutetait accessible et eacutetait transfeacutereacutee dans un fichier Les commandes configureacutees dans la structure SAP mise en place eacutetaient de qualiteacute meacutediocre et permettaient agrave des repreacutesentants du service clientegravele dexeacutecuter des transactions agrave caractegravere sensible y compris le navigateur de donneacutees HR (SE16) Cette fonction eacutetait exploiteacutee pour parcourir et charger le contenu tout entier de la table des donneacutees des cartes de creacutedit des clients Accessibles de cette maniegravere toutes les donneacutees pouvaient aiseacutement ecirctre exporteacutees agrave laide de comptes SAP avec des privilegraveges moindres
AttaquesparauthentificationparsessionlogiqueetautresattaquesSecteurs dactiviteacute compagnies aeacuteriennes secteur bancaire international et eacutenergieListedebilletsdavionviadesservices Webdecreacuteationdecodes QRmobiles Les testeurs eacutetaient capables de reconstituer agrave rebours une partie de la fonction des services Web pour creacuteer des numeacuteros de billets De faux codes QR de billets davion eacutetaient ainsi geacuteneacutereacutes pour des vols aeacuteriens Il est tout est fait possible que lexploitation de cette fonction ait permis aux attaquants de voler gratuitement En labsence de controcircles preacuteventifs efficaces ils pouvaient senregistrer librement par le biais de leurs appareils mobiles Le recours agrave une fonction de controcircle aleacuteatoire standard des numeacuteros de billets aurait pu eacutegalement eacuteviter ce problegraveme
Figure 16 Creacuteation de mots de passe dynamiques agrave cryptage facilement reacuteversible
AttaqueSQL
Servicedauthen-tification
Web
Capturedu trafic chiffreacute
Deacutesactivationdu chiffrement
du mot depasse
Randomisationdes mots de
passeinsuffisante
Accegravesadministrateur
agrave la basede donneacutees
Deacutesactivation du chiffrement -mot de passe devinable
Accegraves complet agrave labase de donneacutees avec des
autorisations dadministrateur
Livre blanc | Rapport HP 2012 sur les cyber-risques
14
Creacuteationdemotsdepassedynamiquesagravecryptagefacilementreacuteversible lapplication cliente lourde testeacutee communiquait avec un service Web qui se chargeait dabord dauthentifier lutilisateur qui tentait de se connecter Ensuite lapplication demandait le mot de passe au serveur de base de donneacutees principal Au deacutepart le mot de passe eacutetait crypteacute pour la transmission mais simultaneacutement lors dune autre attaque SQL un indicateur de la base de donneacutees a eacuteteacute renverseacute deacutesactivant et annulant ainsi les effets du cryptage Il sest aveacutereacute que le systegraveme mettait en place des mots de passe dynamiques qui changeaient freacutequemment cependant apregraves regroupement des nombreux mots de passe un scheacutema eacutevident est apparu Le mot de passe suivait une chronologie et eacutetait donc facile agrave deviner Un accegraves direct agrave la base de donneacutees avec des autorisations administratives fut confirmeacute et compromit entiegraverement le systegraveme (voir la Figure 16)
Leservice Webautorisaitdesrequecirctes SQLdirectes une application autorisait des connexions agrave sa base de donneacutees principale via un interpreacuteteur Web accessible sur Internet sans authentification Avec des connaissances limiteacutees en SQL un attaquant pouvait aiseacutement extraire toutes les donneacutees enregistreacutees dans la base de donneacutees cliente y compris les deacutetails complets des comptes des utilisateurs noms dutilisateurs mots de passe adresses de messagerie et autres informations didentification personnelle
En partageant les reacutesultats de ces tests de peacuteneacutetration en conditions reacuteelles notre but est dattirer lattention sur la creacuteativiteacute sans bornes et la deacutetermination sans fin des attaquants malveillants Les testeurs de peacuteneacutetration cherchent agrave reproduire ces techniques pour tenter deacutevaluer avec efficaciteacute chaque commande de seacutecuriteacute et sassurer que les donneacutees sensibles et les fonctions applicatives sont proteacutegeacutees Comme le prouvent ces reacutesultats les tests de seacutecuriteacute automatiseacutes seuls ne mesurent pas inteacutegralement la politique globale dun environnement en matiegravere de seacutecuriteacute et doivent ecirctre compleacuteteacutes par une analyse manuelle
Dans la section suivante les chercheurs HP en seacutecuriteacute de logiciels cherchent agrave mettre agrave jour une vulneacuterabiliteacute cruciale souvent utiliseacutee conjointement avec les nombreuses attaques et techniques mentionneacutees plus haut et pour lesquelles une strateacutegie de preacutevention efficace reste globalement agrave mettre en place
En-tecircteX-Frame-Options eacutechecdelancementPour illustrer la nature toujours changeante de la seacutecuriteacute des applications Web les speacutecialistes du groupe HP Software Security Research ont examineacute une vulneacuterabiliteacute deacutejagrave reconnue et officiellement appeleacute script sur plusieurs cadres ou XFS XFS est un outil indispensable pour tout attaquant qui tente deacutelaborer une attaque de hameccedilonnage (phishing) ou dingeacutenierie sociale dans le but de charger un site Web vulneacuterable dans une balise iFrame HTML sur une page malveillante controcircleacutee par un attaquant Ce dernier peut alors extraire des eacuteveacutenements (des seacutequences de touches par exemple) appeleacutes par un utilisateur quelconque sur le site Web cibleacute
Les vulneacuterabiliteacutes XFS ouvrent eacutegalement la voie aux attaques de type clickjacking6 qui trompent les utilisateurs en les incitant agrave cliquer sur des eacuteleacutements preacutecis sur le site Web cibleacute chargeacute agrave linteacuterieur dune balise iFrame invisible Souvent ces reacutesultats aboutissent sur des actions non voulues voire privileacutegieacutees Depuis des anneacutees les chercheurs mettent en garde contre linefficaciteacute des protections par code frame-busting baseacute sur des scripts dans la preacutevention des menaces du XFS Pourtant les deacuteveloppeurs et les administrateurs de serveur qui les assistent ont toujours uniquement recours au meacutecanisme JavaScript (Figure 17) pour deacutetecter des attaques XFS
Les diverses meacutethodes de preacutevention contre XFS se sont maintes fois montreacutees incomplegravetes ou inefficaces Le plus reacutepandu de ces modes de preacutevention est la logique de frame-busting (destruction) de JavaScript ou plus preacuteciseacutement un script cocircteacute client qui ressemble agrave celui preacutesenteacute dans la Figure 175
Figure 17 Logique classique de frame-busting JavaScript
ltscriptgt
if (top=self) toplocationhref = selflocationhref
ltscriptgt
Livre blanc | Rapport HP 2012 sur les cyber-risques
6 cvedetailscomcveCVE-2002-1217
15
Outre les nombreuses variantes de cette technique quil est facile de deacutenicher en ligne des contre-mesures datteacutenuation ont eacutegalement eacuteteacute mises en place pour lutter aussi contre ces variantes avec des regravegles grosso modo eacutequivalentes agrave celles du jeu de la taupe
Comme le montre la Figure 18 la premiegravere vulneacuterabiliteacute XFS documenteacutee a eacuteteacute deacutecouverte il y a plus de 10 ans7 Depuis le clickjacking est devenu une vulneacuterabiliteacute reacutepandue et malgreacute cela moins de un pour cent de nos eacutechantillons incluait loutil de preacutevention le plus connu agrave savoir len-tecircte X-Frame-Options
Figure 18 Bref historique des eacuteveacutenements majeurs lieacutes agrave la deacutetection de failles de type XFS (script sur plusieurs cadres)
29062002Bug iFrame Jesse Rudermana
28102002Premier CVE XFS connub
16112005Echec des techniques de Framec
21052008Premiegravere mention publique de lattribut iFrame sandboxd
12092008Le terme clickjacking est inventeacutee
26012009Premier navigateur prenant en charge des options X-Framef
17062010Busting Frame Bustinga Study of ClickjackingVulnerabilities on Popular Sitesg
27012012Facebook poursuit uneentreprise de clickjackingh
11072012Dernier conseilXFS connui
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
a httpsbugzillamozillaorgshow_bugcgiid=154957 b httpwwwcvedetailscomcveCVE-2002-1217 c httpcryptostanfordeduframebust d httphtml5orgtoolsweb-apps-trackerfrom=1642ampto=1643 e httpwwwsectheorycomclickjackinghtm f httpblogsmsdncombiearchive20090126internet-explorer-8-release-candidate-now-availableaspx g httpcdnlytlpublicationsbusting-frame-busting-a-study-of-clickjacking-vulnerabilities-on-popular-sitespdf h httpwwwguardiancouktechnology2012jan27facebook-sues-clickjacking-firm-adscend i httposvdborgshowosvdb83762
Lhistoire du XFS (Cross-Frame Scripting ou scripts sur plusieurs cadres) remonte agrave la publication dun rapport relativement banal sur un comportement observeacute par Jesse Ruderman en 20028 et devenu aujourdhui un eacuteleacutement moteur dun autre pheacutenomegravene communeacutement appeleacute clickjacking Un eacuteleacutement cleacute de la reacutegression identifieacutee en matiegravere de seacutecuriteacute eacutetait la deacutecision dajouter lattribut sandbox agrave leacutebauche de la speacutecification HTML5 pour la balise iFrame au milieu de lanneacutee 2008
Les chercheurs ont deacutemontreacute que plusieurs contre-mesures datteacutenuation eacutetaient possibles avec des bugs des navigateurs ou des astuces JavaScript Le dernier eacuteleacutement ajouteacute agrave cette liste comme le montre la Figure 19 est lutilisation dune fonction de seacutecuriteacute introduite dans la speacutecification HTML5 sous la forme dun attribut sandbox iFrame que les attaquants peuvent exploiter pour deacutesactiver les protections de frame-busting de JavaScript
Figure 19 Attribut sandbox iFrame
ltiframe sandbox=rdquoallow-scriptsrdquo src=rdquohttpexamplecomrdquogtltiframegt
Lobjet de lattribut sandbox est daccorder lautorisation dexeacutecuter des scripts (allow-scripts) dans le contenu cibleacute A titre accessoire toutes les logiques de frame-busting employeacutees par examplecom sont effectivement deacutesactiveacutees en lui refusant lautorisation allow-top-navigation dans sa speacutecification sandbox
Gracircce agrave lattribut sandbox cette technique permet agrave un attaquant de deacutejouer de maniegravere efficace toutes les tentatives de frame-busting que megravenent les deacuteveloppeurs pour se proteacuteger de tout encadrement de site et toute opeacuteration de clickjacking par des tiers Les eacutediteurs de navigateurs ont introduit et valideacute une technique de preacutevention baseacutee sur des strateacutegies bien plus forte gracircce agrave len-tecircte X-Frame-Options Les deacuteveloppeurs peuvent se servir de cet en-tecircte pour dicter au navigateur les actions adeacutequates agrave entreprendre si leur site est inclus dans un iFrame Malheureusement ladoption de cette fonction parmi les deacuteveloppeurs est tregraves lente et offre aux attaquants un vaste terrain de sites potentiellement exploitables agrave mesure quils deacutecouvrent de nouvelles techniques pour contourner les scripts de frame-busting Ceci rend plus indispensable encore ladoption et la mise en œuvre de len-tecircte X-Frame-Options puisque ce dernier constitue la solution de facto agrave ce problegraveme et reste en vigueur mecircme lorsque le nouvel attribut sandbox HTML5 est utiliseacute Voilagrave donc ce qui motive notre projet de recherche et ce qui est agrave lorigine de notre question de deacutepart Combien de domaines incluent des en-tecirctes X-Frame-Options et combien le font correctement
Livre blanc | Rapport HP 2012 sur les cyber-risques
7 cvedetailscomcveCVE-2002-1217 8 httpsbugzillamozillaorgshow_bug
cgiid=154957
16
Collection de jeux deacutechantillons Dans le cadre de cette eacutetude le groupe HP Fortify Software Security Research a meneacute des recherches pour eacutevaluer agrave quel point les faibles pratiques de preacutevention des attaques XFS restent aujourdhui adopteacutees et font autoriteacute Nos reacutesultats soulignent eacutegalement la reacuteticence et le rythme dadoption tregraves lent dautres meacutethodes plus seacutecuriseacutees recommandeacutees par des speacutecialistes des navigateurs et des experts en seacutecuriteacute
Alexa9 fut utiliseacute pour renseigner une collection de 100 000 sites Web (les plus connus) et geacuteneacuterer une liste distribueacutee dans de nombreux secteurs diffeacuterents Une fois la liste de deacutepart creacuteeacutee avec ses 100 000 URL les demandes de niveau supeacuterieur furent assembleacutees en concateacutenant ldquohttprdquo dans lURL obtenue Par exemple
ldquohttprdquo + exemplecom = httpexemplecom
Ensuite la nouvelle URL composeacutee fut demandeacutee et la reacuteponse obtenue examineacutee de maniegravere passive agrave la recherche des eacuteleacutements suivants
bull La preacutesence dun en-tecircte X-Frame-Options et de ses valeurs respectives
bull La preacutesence dun champ de mot de passe dans la reacuteponse de la demande de niveau supeacuterieur Un champ de mot de passe est censeacute indiquer un niveau de sensibiliteacute qui doit ecirctre proteacutegeacute par lapplication
bull Si la preacutesence de len-tecircte neacutetait pas respecteacutee lURL cible eacutetait soumise agrave des tests suppleacutementaires afin de distinguer si une tentative de deacutejouer les attaques XFS avait eu lieu Le recours agrave la preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade a eacuteteacute enregistreacute pour une analyse ulteacuterieure
Reacutesultats90 des eacutechantillons analyseacutes nont jamais rien tenteacute pour se proteacuteger des attaques XFS De tous les domaines doteacutes dune protection active contre les attaques XFS 62 ont recours agrave des meacutecanismes de preacutevention faibles fondeacutes sur les scripts Sur les 100 000 domaines testeacutes 19 848 disposaient de champs de mot de passe dans la demande de niveau supeacuterieur avec seulement 101 domaines preacutecisant un en-tecircte X-Frame-Options Celasignifieque01 deseacutechantillonssontproteacutegeacutesDe plus plus de 99 des eacutechantillons oubliaient de speacutecifier un en-tecircte X-Frame-Options tandis que 19 dentre eux avaient une raison dinclure len-tecircte mais ne lont pas fait
Les reacutesultats montrent que soit les deacuteveloppeurs ne sont pas suffisamment informeacutes des risques que posent les vulneacuterabiliteacutes XFS soit ils ne souhaitent consacrer aucun effort agrave la protection de leurs visiteurs Si 2 307 eacutechantillons deacutevoilaient des protections contre les attaques XFS seulement 38 ont opteacute pour lutilisation de len-tecircte X-Frame-Options preacuteconiseacute 1 432 eacutechantillons ont montreacute quils employaient toujours des techniques de preacutevention et datteacutenuation fondeacutees sur JavaScript ou les feuilles de style en cascade qui se sont aveacutereacutees insuffisantes (voir la Figure 20)
Les 875 domaines fondeacutes sur len-tecircte X-Frame-Options affichaient la distribution de valeurs suivante
1 702 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur SAMEORIGIN
2 151 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur DENY
3 13 des 875 domaines eacutetaient deacutefinis avec lattribut Allow-from
4 8 des 875 valeurs fournies eacutetaient conformes agrave leacutebauche de lIETF10
Aucun des 13 domaines utilisant lattribut Allow-from ne preacutecisait un caractegravere geacuteneacuterique () reacuteduisant les risques lieacutes agrave une politique de libre accegraves La Figure 21 preacutesente ces valeurs sous forme de pourcentages
Livre blanc | Rapport HP 2012 sur les cyber-risques
9 httpsbugzillamozillaorgshow_bugcgiid=154957
10 httptoolsietforghtmldraft-ietf-websec-x-frame-options-01
Figure 20Preacutevention des risques lieacutes aux scripts sur plusieurs cadres
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade 62
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade
Options X-Frame 38
Options X-Frame
Figure 21Reacutepartition des valeurs den-tecircte X-Frame-Options fournies
REFUS 17 Allow-from
2 Autres (valeurs non en conformiteacute)1
MEcircME ORIGINE 80
17
Encadrementintersites conclusionIl est eacutevident que toutes les ressources nont pas besoin decirctre proteacutegeacutees contre les attaques XFS Cependant il demeure des situations ougrave la mise en place dune protection adeacutequate est justifieacutee et indispensable Une mesure employeacutee pour identifier ces cas au cours de cette eacutetude eacutetait la preacutesence dun champ de saisie de mot de passe dans un formulaire Les pages dauthentification sont les plus exposeacutees agrave une attaque de type clickjacking En se focalisant sur les pages munies de champs pour la saisie des mots de passe lanalyse tente deacutetablir un lien entre la sensibiliteacute dune ressource et les efforts investis pour la proteacuteger Une des statistiques les plus surprenantes dans lanalyse est que seulement 103 des 100 000 domaines proteacutegeaient comme il se doit les pages avec des champs de mots de passe confidentiels soit un taux exorbitant de 010 qui suggegravere que la puissance et lefficaciteacute de len-tecircte ont fait lobjet dune mauvaise promotion nont pas obtenu ladheacutesion des administrateurs des serveurs ou nont pas seacuteduit les deacuteveloppeurs
Il convient de souligner que si un peu plus de 80 des reacuteponses ne contenaient aucun champ de mot de passe cela ne veut pas dire pour autant quil ne faut pas proteacuteger le contenu Autrement dit leacutechantillon nincluait aucun champ de mot de passe dans la demande de niveau supeacuterieur Il est donc tregraves probable que beaucoup dautres sites sexposent agrave des risques en avanccedilant plus loin dans larborescence du site La mesure la plus importante agrave noter est le pourcentage remarquable de sites sans en-tecircte X-Frame-Options soit 99
Apregraves une analyse approfondie des reacutesultats des recherches speacutecialiseacutees consacreacutees aux attaques XFS la section qui suit se concentre agrave nouveau sur ce qui semble ecirctre le sujet de conversation le plus populaire en 2012 en matiegravere de seacutecuriteacute la seacutecuriteacute des applications mobiles
Seacutecuriteacutedesapplicationsmobiles
Dix secondes dans une file dattente nimporte ougrave suffisent pour se rendre compte que lutilisation dappareils mobiles a litteacuteralement exploseacute En fait pour la premiegravere fois 2012 est lanneacutee pendant laquelle le nombre de smartphones vendus a deacutepasseacute le nombre dordinateurs portables et dordinateurs de bureau agrave la fois11 Cette augmentation a eacuteteacute suivie aussi dune hausse proportionnelle des risques surtout au moment ougrave les entreprises essaient de mettre agrave profit les avantages quoffre la mobiliteacute Comme nous lavons vu plus haut lOSVDB a signaleacute une hausse de 68 du nombre de vulneacuterabiliteacutes signaleacutees pour les technologies mobiles depuis 2011 soit une augmentation de 787 sur les cinq derniegraveres anneacutees Lors de nos tests nous sommes toujours revenus au mecircme constat Si vous posseacutedez des donneacutees des attaquants chercheront agrave sen emparer
Pour eacutevaluer leacutetat actuel de la seacutecuriteacute des applications mobiles leacutequipe HP Fortify on Demand a rassembleacute les reacutesultats de plus de 70 applications mobiles agrave la recherche de failles de seacutecuriteacute Ce jeu deacutechantillons concernait plus de 50 organisations uniques et de nombreux secteurs au niveau local et international Il peut donc ecirctre consideacutereacute comme une repreacutesentation relativement preacutecise dune application mobile moyenne Les reacutesultats montrent que les vulneacuterabiliteacutes qui compromettent la seacutecuriteacute des applications mobiles sont les mecircmes que pour les applications classiques Ils montrent eacutegalement quun problegraveme surtout se distingue des autres Dans le paysage informatique actuel la fuite dinformation est un problegraveme particuliegraverement reacutepandu et neacutefaste La demande croissante dinformations des travailleurs mobiles allieacutee aux services de cloud de plus en plus omnipreacutesents et agrave une hausse des appareils grand public non geacutereacutes sur le reacuteseau dentreprise repreacutesente un deacutefi notable pour de nombreuses organisations
Fuite de donneacutees sensibles sur des canaux non seacutecuriseacutesLa fuite de donneacutees est un problegraveme de longue date pour les applications Web Si elle peut paraicirctre un problegraveme dampleur modeacutereacutee elle implique souvent une information en apparence inoffensive qui permet agrave un attaquant de renforcer sa strateacutegie dattaque pour mener une attaque plus dangereuse encore La mecircme chose vaut pour les applications mobiles Plus des trois quarts (77 ) des applications mobiles dans notre eacutetude eacutetaient vulneacuterables et en proie agrave des fuites dinformations Nous avons deacutecouvert que les donneacutees personnelles dun utilisateur eacutetaient souvent transmises via des protocoles reacuteseau non crypteacutes comme le protocole HTTP Il sagissait pour la plupart dinformations simples comme des noms des adresses et des numeacuteros de teacuteleacutephone Cependant dans notre jeu deacutechantillons ces donneacutees comprenaient eacutegalement lemplacement actuel de lutilisateur ainsi que lidentifiant unique de lappareil (eacutegalement appeleacute UDID)
Livre blanc | Rapport HP 2012 sur les cyber-risques
11 voiceswashingtonpostcomposttech201011smartphone_sales_to_pass_compuhtml
18
LUDID est primordial pour un appareil car il peut servir agrave des attaques extrecircmement cibleacutees contre des utilisateurs en particulier Si les donneacutees de geacuteolocalisation lidentifiant unique de lappareil et les donneacutees personnelles eacutetaient intercepteacutees sur une application vulneacuterable ce que cela implique dans la reacutealiteacute est eacutetonnant Un attaquant pourrait localiser une cible dans le monde reacuteel et les possibiliteacutes qui souvriraient alors agrave lui seraient illimiteacutees Cest la porte ouverte agrave un sceacutenario effroyable que la plupart des gens ne soupccedilonnent pas Bien entendu lexploitation dapplications simples et banales peut eacutegalement avoir lieu Imaginez le sceacutenario suivant Si lapplication transmet lUDID le nom complet ladresse et ainsi de suite agrave un service Web vulneacuterable et que ce dernier est la cible potentielle dune attaque par injection SQL on conccediloit aiseacutement que chaque bit de donneacutees sur cet appareil mobile soit accessible Il est eacutetonnant de voir jusquougrave une fuite dinformation peut mener un attaquant si les circonstances jouent en sa faveur et que tout alors est du domaine du probable voire du possible
Les donneacutees transmises sur des canaux non seacutecuriseacutes ne se limitaient pas aux donneacutees personnelles Les donneacutees applicatives elles non plus neacutetaient pas proteacutegeacutees Nous avons deacutecouvert que des informations de connexion des informations didentification utilisateur des ID de session des jetons et des donneacutees dentreprise sensibles eacutetaient transmises via des protocoles reacuteseau non crypteacutes agrave linstar du protocole HTTP Imaginez les conseacutequences pour une application bancaire vulneacuterable Si des informations didentification des identificateurs de session des informations didentification personnelle ou dautres donneacutees strateacutegiques sont transmises vers un serveur principal la transmission se doit decirctre seacutecuriseacutee sans quoi les donneacutees peuvent ecirctre intercepteacutees par un attaquant au moyen doutils ou dapplications de capture de paquets reacuteseau courants (par exemple DroidSheep)
Les recherches ont montreacute que 375 des applications pouvaient ecirctre la cible dune vulneacuterabiliteacute impliquant une forme quelconque dautorisation notamment des mots de passe en texte clair des mots de passe codeacutes en dur et des mots de passe inteacutegreacutes agrave la reacuteponse Ce pourcentage bien plus eacuteleveacute que pour les applications dites traditionnelles prouve eacutegalement que les deacuteveloppeurs dapplications mobiles doivent travailler davantage pour proteacuteger leurs donneacutees
Dautres vulneacuterabiliteacutes deacutetecteacutees en nombres importants incluaient les attaques de type stack-smashing Plus de la moitieacute des vulneacuterabiliteacutes (5545 ) noffraient aucune protection adeacutequate contre ce type dattaque Si cet oubli nentraicircne pas lexeacutecution du code il peut quand mecircme geacuteneacuterer une panne injustifieacutee de lapplication vulneacuterable
Qui plus est 135 des applications eacutetaient vulneacuterables agrave des attaques XSS Ceci fut une reacuteelle surprise puisque tous les autres ensembles dapplications que nous avons testeacutes mobiles et traditionnels reacuteveacutelaient des nombres de vulneacuterabiliteacutes XSS plus eacuteleveacutes Un examen plus attentif de ces nombres a montreacute que les applications vulneacuterables eacutetaient des applications destineacutees autant agrave la gestion de la finance que des bases de donneacutees En dautres termes le faible pourcentage ne reacuteduisait pas limpact potentiel
Les accegraves non autoriseacutes concernent quasiment la moitieacute des applications mobilesNous avons chercheacute dautres donneacutees en examinant les reacutesultats obtenus par notre partenaire Security Compass lors de ses tests sur dautres applications A de nombreux eacutegards ils confirment les chiffres eacutevoqueacutes preacuteceacutedemment
48 des applications eacutetaient la proie de vulneacuterabiliteacutes daccegraves non autoriseacute Elles valident les vulneacuterabiliteacutes dauthentification (375 ) que nous avons eacutevoqueacutees dans notre eacutechantillon plus haut Les chiffres montrent que les deacuteveloppeurs dapplications mobiles doivent autant se concentrer sur la preacutevention des accegraves non autoriseacutes sur les applications mobiles que sur les moyens de faciliter laccegraves pour les utilisateurs leacutegitimes
37 des applications posaient des problegravemes de divulgation dinformations sensibles 26 avaient recours agrave des pratiques de connexion meacutediocres et 19 affichaient des messages derreur de mauvaise qualiteacute qui reacuteveacutelaient des informations susceptibles decirctre exploiteacutees par des attaquants Ceci corrobore nos donneacutees preacuteceacutedentes car nous avons vu agrave quel point les fuites dinformations eacutetaient importantes Lors du codage des applications mobiles les deacuteveloppeurs ne tiennent pas compte de ce quimplique la seacutecuriteacute pour le stockage la transmission et laccegraves des donneacutees
33 des applications eacutetaient vulneacuterables agrave des attaques XSS Des tests reacutepeacutetitifs montrent que les attaques par script intersite (XSS) sont autant une menace pour les applications mobiles que pour les applications stationnaires Ces reacutesultats sont en phase avec ce que nous avons constateacute lors des tests des applications traditionnelles
Livre blanc | Rapport HP 2012 sur les cyber-risques
19
26 des applications employaient une meacutethode de cryptage inadapteacutee Le cryptage sur des ordinateurs dentreprise est aujourdhui une pratique standard pour la plupart des entreprises du classement Fortune 500 Il y a dix ans la presse regorgeait dhistoires de donneacutees deacuterobeacutees sur des ordinateurs perdus Les risques dans ce domaine se sont reacuteduits dune part gracircce aux mesures leacutegislatives mises en places et dautre part parce que les entreprises ont eu loccasion de lapprendre agrave leurs deacutepens Pourtant ces mecircmes pratiques standard ne sont pas appliqueacutees aux appareils mobiles et agrave legravere du BYOD (Bring your own device) cela peut saveacuterer dangereux
Les dix principales vulneacuterabiliteacutes des applications mobiles Le partenaire dHP Security Compass a eacutegalement analyseacute les vulneacuterabiliteacutes des applications mobiles et les a eacutetiqueteacutees par type (voir la Figure 22) Ainsi donc agrave quoi les applications moyennes sont-elles le plus vulneacuterables par ordre de preacutevalence des vulneacuterabiliteacutes A quels types dattaques par incident les applications mobiles sont-elles le plus vulneacuterables
Sur les dix principales vulneacuterabiliteacutes constateacutees en matiegravere dapplications mobiles XSS affichait le deuxiegraveme taux le plus eacuteleveacute et repreacutesentait 15 de toutes les vulneacuterabiliteacutes deacutecouvertes dans ce jeu deacutechantillons Les chiffres confirment eacutegalement que lorsquelles sont consigneacutees par ordre doccurrence les vulneacuterabiliteacutes de fuite dinformation et daccegraves non autoriseacuteauthentification indiquent aux deacuteveloppeurs dapplications mobiles comment ils peuvent mieux seacutecuriser leurs applications en concentrant davantage leurs efforts sur ces domaines
Rechercheentechnologiemobile lacommunicationenchampproche (NFC)pourlesapplicationsmobilesdepaiementNous avons constateacute que les vulneacuterabiliteacutes lieacutees aux applications mobiles eacutetaient en hausse constante mais il est indispensable eacutegalement danticiper et de connaicirctre les nouvelles vulneacuterabiliteacutes qui verront le jour Les nouvelles technologies introduisent en permanence des failles de seacutecuriteacute possibles La plate-forme mobile ne fait pas exception Lune de ces nouvelles technologies est la communication en champ proche (NFC) La communication en champ proche (NFC) deacutesigne une meacutethode de communication de donneacutees sans contact entre des appareils proches les uns des autres Elle a deacutejagrave eacuteteacute adopteacutee en Europe et en Asie et fait depuis peu des adeptes en Ameacuterique du Nord Le Forum NFC (consortium regroupant plusieurs membres tels que Sony Nokia et Philips) applique des normes strictes pour les fabricants dappareils compatibles NFC Les eacutediteurs dapplications disposent ainsi dune architecture seacutecuriseacutee et dune infrastructure compatible qui leur permettent dexploiter cette technologie pour des applications de paiement mobiles et le partage de donneacutees (par exemple leacutechange de devises entre homologues)
Il existe actuellement plusieurs smartphones compatibles NFC Cest le cas du Googletrade Nexus 5 du Samsung Galaxy S II et des BlackBerry Bold 9900 et 9930 Plusieurs socieacuteteacutes exploitent aujourdhui cette technologie
bull Google Wallet conteneur seacutecuriseacute pour les informations de carte de creacutedit qui facilite les transactions NFC
bull MasterCard PayPass service de paiement sans contact (actuellement pris en charge dans Google Wallet)
bull Visa payWave service de paiement sans contact
bull PayPal meacutethode bump (application Bump) pour le transfert dargent ou la reacutealisation de paiements entre utilisateurs
bull Apple iPhone prise en charge de la NFC attendue dans une prochaine version (non confirmeacutee)12
Problegravemes de seacutecuriteacutePlusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (donneacutees de carte de creacutedit ou numeacuteros de comptes) sont transmises via un canal NFC sur un appareil mobile Voici des exemples de cas reacuteels constateacutes reacutecemment dans le domaine de la seacutecuriteacute
Cas 1La technologie NFC est employeacutee dans le cadre de solutions de paiement grand public avec deux modes de mise en œuvre distincts
bull Puce NFC dans des cartes de creacutedit grand public telles que MasterCard PayPass et Visa payWave
bull NFC utiliseacutee dans des solutions de portefeuille mobile
Livre blanc | Rapport HP 2012 sur les cyber-risques
12 Il existe actuellement des eacutediteurs agrave linstar de DeviceFidelity qui proposent des composants tiers qui reproduisent la prise en charge de la communication en champ proche (NFC) pour les appareils iPhone
Figure 22Preacutevalence des dix principales vulneacuterabiliteacutes (en pourcentage)
Accegraves non autoriseacute 18
Scripts intersites 15
Divulgation dinformations sensibles 12
Traitementnon seacutecuriseacute des sessions 11
Vulneacuterabiliteacutes du traitement des cookies 9
Meacutethode de cryptage inadapteacutee 9
Pratiques de connexion meacutediocres 8
Saisie semi-automatique sur des formulaires agrave donneacutees sensibles 6
Informations didentificationen texte clair 6
Messages derreur de mauvaise qualiteacute 6
20
Le deacutefi du premier mode de mise en œuvre est double le premier est que pour la plupart des eacutemetteurs de cartes de creacutedit linstallation de la puce NFC est obligatoire le deuxiegraveme est que par deacutefinition la puce NFC est toujours activeacutee Par exemple si la carte de creacutedit dun utilisateur est dans le champ dun lecteur NFS actif comme celui que lon rencontre dans un terminal de point de vente la carte de creacutedit transmet automatiquement le numeacutero de carte de creacutedit de lutilisateur au lecteur NFS de reacuteception A preacutesent imaginez le sceacutenario pour les appareils mobiles les plus modernes eacutequipeacutes de puces NFS inteacutegreacutees Dans le monde dAndroid il existe des applications conccedilues pour activer la puce NFC de lappareil mobile pour reproduire le comportement du lecteur NFS dun terminal de point de vente A laide dun appareil mobile ou dune application de ce genre un attaquant peut potentiellement activer la puce NFC de son appareil Android croiser des gens dans un endroit peupleacute et tenter danalyser leurs cartes de creacutedit pour recueillir leur numeacutero de compte permanent (PAN)
Les solutions de portefeuille mobile NFC sont souvent vulneacuterables agrave ce mecircme type dattaque si la solution concerneacutee ne deacutesactive pas ou ne retire pas la puce NFC une fois lexeacutecution dune transaction termineacutee Heureusement cette vulneacuterabiliteacute peut facilement ecirctre reacutesolue par des deacuteveloppeurs de solutions de portefeuille mobile sils retirent la puce NFC apregraves usage
Cas 2Plusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (par exemple des donneacutees de carte de creacutedit ou des numeacuteros de comptes) sont transmises via un canal NFC
bull Ecoute tentative dintercepter la communication des donneacutees de transmission NFC (par exemple proxy NFC)
bull Manipulation des donneacutees tentative de manipuler la communication des donneacutees de transmission NFC (par exemple pour identifier des reacutesultats erroneacutes)
bull Attaques par interception tentative dexploitation des modes actifpassif de lappareil pour envoyer et recevoir la communication des donneacutees de transmission NFC
bull Vol tentative dacceacuteder sans autorisation agrave lapplication de paiement mobile (comme si lappareil a eacuteteacute voleacute ou perdu) et examen des fichiers stockeacutes sur lappareil agrave la recherche dinformations sensibles
Cas 3Au cœur mecircme de la fonction NFC se trouve un composant appeleacute eacuteleacutement seacutecuriseacute Deux types de mise en œuvre de cet eacuteleacutement sont possibles (1) les eacuteleacutements incorporeacutes dans lappareil et (2) les eacuteleacutements chargeacutes dans une carte SIM Dans les cas ougrave leacuteleacutement seacutecuriseacute est chargeacute dans une carte SIM il est possible que la carte SIM soit retireacutee et eacutechangeacutee sous les yeux dun utilisateur creacutedule Cette situation aboutit agrave des sceacutenarios dattaque semblables aux suivants
bull Echange de carte SIM avec un autre appareil (du mecircme type) pour tenter dacceacuteder au contenu de leacuteleacutement seacutecuriseacute Dans certains cas lutilisation dun appareil de type diffeacuterent peut offrir un accegraves suppleacutementaire aux informations de leacuteleacutement seacutecuriseacute sil nest pas mis en œuvre de maniegravere seacutecuriseacutee Par exemple il existe un risque de contournement de lapplication de paiement ou de la protection du mot de passe au niveau du teacuteleacutephone en cas deacutechange de carte SIM dans un teacuteleacutephone eacutequivalent avec lapplication de paiement et sans mot de passe
bull Identification des donneacutees contenant des informations sensibles dans leacuteleacutement seacutecuriseacute situeacute dans la carte SIM apregraves une opeacuteration de restauration sur un autre appareil Il peut sagir aussi dattaques visant agrave cloner ou copier la carte SIM au moyen dun mateacuteriel externe
Notez que la difficulteacute daccegraves agrave leacuteleacutement seacutecuriseacute offre une certaine garantie sur lenvironnement de seacutecuriteacute de leacuteleacutement seacutecuriseacute sur lappareil cible
Cas 4Dans certains cas il est possible que limpleacutementation de lapplet VMPA dans leacuteleacutement seacutecuriseacute nait pas tenu compte de tous les eacuteleacutements de seacutecuriteacute Il peut sagir par exemple dune signature et dun controcircle daccegraves insuffisants de lapplet VMPA qui permettent agrave une application quelconque de deacutemarrer et dy soumettre des requecirctes Cette situation peut offrir agrave une application non autoriseacutee la possibiliteacute dappeler lapplet VMPA via la commande APDU (JSR 177) Une requecircte bien formuleacutee peut potentiellement permettre dactiver la radio NFC et de transmettre des informations de carte de creacutedit
Livre blanc | Rapport HP 2012 sur les cyber-risques
21
Bien que des informations et une analyse exactes peuvent ecirctre obtenues agrave partir dun appareil dinvestigation (si un accegraves agrave ce type de mateacuteriel est disponible) il nexiste pour lheure aucun outil autorisant laccegraves agrave des informations de leacuteleacutement seacutecuriseacute Leacuteleacutement seacutecuriseacute comme son nom lindique fournit des meacutecanismes de seacutecuriteacute preacutecis (par exemple controcircle daccegraves cryptage et reacutepartition) qui empecircchent lextraction dinformations sensibles eacuteventuelles Cest pourquoi un accegraves dinvestigation explicite agrave leacuteleacutement seacutecuriseacute nest actuellement pas possible mecircme avec un outil dinvestigation distribueacute par les leaders du marcheacute
RecommandationsIl existe des mesures que les organisations peuvent prendre pour reacuteduire les risques que posent les failles de seacutecuriteacute des applications mobiles Avant tout les applications doivent ecirctre manuellement controcircleacutees et eacutevalueacutees avant le lancement des produits afin de deacuteterminer la preacutesence de vulneacuterabiliteacutes dinjection ou de vulneacuterabiliteacutes de fuite dinformation Le code doit ecirctre analyseacute via une analyse statique au moment de le deacutevelopper pour y rechercher des failles Comme pour toutes les applications il est moins coucircteux de geacuterer des failles de seacutecuriteacute lors de la phase de deacuteveloppement quau moment de leur diffusion
Les normes de transmission seacutecuriseacutee des donneacutees doivent ecirctre incluses dans le cahier des charges de toutes les applications surtout si ces derniegraveres sont eacutelaboreacutees par des deacuteveloppeurs tiers Il en va de mecircme pour le stockage seacutecuriseacute des donneacutees et le journal des applications Des exigences raisonnables en matiegravere daffichage des communications entre applications et dautorisations dans ces derniegraveres doivent ecirctre rigoureusement deacutefinies Tous ces aspects doivent ecirctre geacutereacutes lors de la phase de deacutefinition des exigences et testeacutes lors du deacuteveloppement Au moment dexeacutecuter les tests de seacutecuriteacute et lanalyse sur les applications mobiles les services Web cocircteacute serveur et les API avec lesquels les clients mobiles communiquent doivent ecirctre pris dans leur contexte et analyseacutes pour y deacuteceler des vulneacuterabiliteacutes Des failles agrave haut risque peuvent passer agrave la trappe si ces deux eacuteleacutements sont testeacutes et compareacutes hors de leur contexte
Conclusions
Lobjectif de ce rapport est de fournir aux organisations toutes les informations de seacutecuriteacute qui les aideront agrave mieux comprendre comment deacuteployer les ressources limiteacutees dont elles disposent pour minimiser au maximum leurs risques en matiegravere de seacutecuriteacute A cet effet les tendances et les enseignements agrave tirer de lanneacutee 2012 sont nombreux et doivent ecirctre pris en compte pour la ou mecircme les anneacutees qui viennent
Militarisation des vulneacuterabiliteacutes Les attaquants ne cesseront jamais de militariser les vulneacuterabiliteacutes pour mener agrave bien leurs activiteacutes malveillantes Ceux qui eacutelaborent les kits dexploitation continueront de se focaliser sur des vulneacuterabiliteacutes dans les logiciels les plus reacutepandus ciblant le plus souvent des navigateurs et des plug-ins de navigateur tels que Oracle Java et Adobereg Flash De mecircme le nombre dattaques meneacutees publiquement agrave lencontre de technologies et dentreprises speacutecifiques continuera daugmenter Des organisations criminelles des Etats-nations et des hacktivistes se serviront toujours des cyber-attaques comme moyen duniformiser les regravegles du jeu contre des adversaires riches ou puissants mecircme si les reacuteelles motivations derriegravere ces attaques resteront souvent difficiles agrave deacuteterminer
Vulneacuterabiliteacutes des technologies mobilesLadoption croissante des technologies mobiles et leur utilisation au sein de lentreprise engendreront toujours des risques consideacuterables Nombre de gens lont deacutejagrave constateacute les programmes malveillants deacuteployeacutes sur les marcheacutes qui opposent Android et Apple poursuivent leur croissance Laggravation de ce problegraveme est essentiellement lieacutee au fait que les entreprises ne disposent pas du mecircme type de controcircle sur ces appareils que sur des PC Au moment ougrave le BYOD (Bring your own device) devient la norme et que ladoption des appareils mobiles prend de lampleur on peut sattendre agrave une hausse proportionnelle du nombre de failles chez les applications mobiles tendance qui devrait se maintenir dans un avenir preacutevisible
Livre blanc | Rapport HP 2012 sur les cyber-risques
22
DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables
Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications
Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables
Pourensavoirplusconsultezlapage Web hpcomgoSIRM
Livre blanc | Rapport HP 2012 sur les cyber-risques
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013
4
La preacutevention des risques lieacutes aux attaques par script sur plusieurs cadres semble nulleLa premiegravere vulneacuterabiliteacute de type XFS deacutecouverte soit la cause racine des attaques de type clickjacking (deacutetournement de clic) remonte agrave plus de dix ans Depuis le clickjacking sest banaliseacute et pourtant moins de un pour cent des 100 000 URL testeacutees incluaient loutil de preacutevention le plus connu agrave savoir len-tecircte X-Frame-Options
Tendances des vulneacuterabiliteacutes
Pour comprendre les risques techniques en matiegravere de seacutecuriteacute il faut dabord savoir ougrave et comment les vulneacuterabiliteacutes surviennent au sein dune organisation Les vulneacuterabiliteacutes peuvent frapper agrave tous les niveaux de linfrastructure de lorganisation du mateacuteriel jusquau reacuteseau et aux logiciels (les nouveaux comme les anciens) Ces vulneacuterabiliteacutes sont la voie quempruntent des acteurs malveillants pour contourner les meacutecanismes de seacutecuriteacute et deacuterober ou endommager des donneacutees refuser des accegraves et compromettre les processus meacutetier strateacutegiques de lorganisation
En se basant sur les donneacutees de la base de donneacutees OSVDB (Open Source Vulnerability Database) et du programme HP Zero Day Initiative (ZDI) cette section du rapport deacutegage les tendances globales suivantes en matiegravere de vulneacuterabiliteacutes
bullLachasseauxvulneacuterabiliteacutes 19devulneacuterabiliteacutesenplusen 2012 quen 2011 Le nombre total de vulneacuterabiliteacutes releveacute offre un aperccedilu global des vulneacuterabiliteacutes actuelles et deacutevoile un panorama de cyber-menaces en perpeacutetuelle eacutevolution
bullDes marcheacutes qui ne cessent deacutevoluer et une complexiteacute accrue qui nuit agrave la deacutetection et la signalisation des failles Les donneacutees de divulgation des vulneacuterabiliteacutes montrent limpact des eacutevolutions du marcheacute des vulneacuterabiliteacutes et de la complexiteacute technique des systegravemes sur le nombre et la graviteacute des vulneacuterabiliteacutes signaleacutees
bullLesapplications Webposentencoreaujourdhuidesrisquestechniquesimportantspourlesorganisations Une petite poigneacutee dapplications Web strateacutegiques vulneacuterables repreacutesente toujours une large minoriteacute des vulneacuterabiliteacutes totales deacutecouvertes en 2012
bullLamaturiteacutedunetechnologienedeacutefinitpassonprofildevulneacuterabiliteacute Les donneacutees recueillies en 2012 montrent une augmentation de plus de 700 du nombre de vulneacuterabiliteacutes deacutecouvertes ayant un impact agrave la fois sur les systegravemes de controcircle et de collecte de donneacutees SCADA (principale technologie utiliseacutee) et sur les appareils mobiles (la prochaine eacutetape dans le deacuteveloppement des technologies de linformation)
Lachasseauxvulneacuterabiliteacutes 19 devulneacuterabiliteacutesenplusen 2012quen 2011Le nombre total de nouvelles vulneacuterabiliteacutes signaleacutees au cours de lanneacutee 2012 (8 137) montre une augmentation denviron 19 par rapport au nombre enregistreacute en 2011 (6 844) mais il demeure infeacuterieur agrave 19 au nombre record de 2006 Ce reacuteajustement constant du nombre de vulneacuterabiliteacutes signaleacutees montrent bien que la guerre que se livrent les organisations et les attaquants fait rage sans quun vainqueur ne se deacutegage clairement (voir la Figure 1)
Figure 1 Vulneacuterabiliteacutes deacutecouvertes et enregistreacutees dans la base de donneacutees OSVDB entre 2000 et 2012
0
2 000
4 000
6 000
8 000
10 000
12 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Nom
bre
tota
l de
vuln
eacuterab
iliteacute
s
Livre blanc | Rapport HP 2012 sur les cyber-risques
5
Laffichage par anneacutee des donneacutees OSVDB montre clairement que les vulneacuterabiliteacutes deacutecouvertes nont cesseacute dosciller depuis le niveau record de 2006 et quaucune tendance agrave la hausse ou agrave la baisse ne sest deacutegageacutee dans les anneacutees qui ont suivi Le nombre total de vulneacuterabiliteacutes apparues au cours dune anneacutee preacutecise ne mesure pas neacutecessairement la seacutecuriteacute globale du secteur Il indique plutocirct comment les changements dans la maniegravere de deacutetecter divulguer et exploiter les vulneacuterabiliteacutes peuvent grandement varier dune anneacutee sur lautre La section suivante souligne comment ces changements du marcheacute des vulneacuterabiliteacutes expliquent en partie ces variations
Des marcheacutes qui ne cessent deacutevoluer et une complexiteacute accrue qui nuit agrave la deacutetection et la signalisation des vulneacuterabiliteacutesMecircme si le nombre des vulneacuterabiliteacutes signaleacutees reste largement infeacuterieur au niveau record observeacute en 2006 un examen des facteurs ayant une incidence sur la deacutetection et la divulgation des failles est primordial Les informations de vulneacuterabiliteacute peuvent ecirctre distribueacutees via diffeacuterents canaux notamment des programmes communautaires comme la base de donneacutees OSVDB ou le programme HP ZDI des consultants priveacutes en seacutecuriteacute les programmes Bug Bounty (recherche de vulneacuterabiliteacutes reacutecompenseacutee) des fabricants et le marcheacute noir clandestin
Si la base de donneacutees OSVDB offre un excellent aperccedilu du paysage actuel des vulneacuterabiliteacutes elle permet seulement de recenser les vulneacuterabiliteacutes qui sont publiquement divulgueacutees ou directement transmises agrave lorganisation De plus en plus les agences de conseil speacutecialiseacutees en seacutecuriteacute deacutecouvrent et achegravetent des vulneacuterabiliteacutes qui sont ensuite directement divulgueacutees agrave leurs groupes priveacutes de clients Cette pratique ignore un grand nombre de vulneacuterabiliteacutes qui ne sont pas comptabiliseacutes dans les reacutesultats publics
Un autre eacuteleacutement qui complique le deacutefi que posent les vulneacuterabiliteacutes est la complexiteacute des logiciels actuels La seacutecuriteacute est devenue est une prioriteacute croissante et pour lutter contre les attaques incessantes de personnes malveillantes les organisations ont doteacute leurs logiciels de meacutecanismes de seacutecuriteacute et ajouteacute des fonctionnaliteacutes pour contrecarrer les initiatives de deacutecouverte et dexploitation non autoriseacutees de leurs vulneacuterabiliteacutes Ces mesures nont pas seulement contribueacute agrave combler des lacunes elles ont eacutegalement compliqueacute davantage la deacutetection des vulneacuterabiliteacutes qui demeuraient
Le changement dorientation des marcheacutes publics et priveacutes des vulneacuterabiliteacutes associeacute agrave la complexiteacute croissante quimplique lidentification des vulneacuterabiliteacutes a fait grimper la valeur des vulneacuterabiliteacutes agrave fort potentiel dexploitation (celles avec une note CVSS entre 8 et 10) Cette augmentation amegravene deux conclusions
bull Les chercheurs en seacutecuriteacute doivent deacutevelopper des compeacutetences eacutetendues dans des systegravemes speacutecifiques pour rester efficaces
bull Les chercheurs beacuteneacuteficient dun meilleur retour sur investissement pour les vulneacuterabiliteacutes graves qui atteignent des prix plus eacuteleveacutes
Cependant avec la hausse theacuteorique du nombre total de vulneacuterabiliteacutes hautement exploitables signaleacutee par lOSVDB en 2012 le pourcentage du nombre total de vulneacuterabiliteacutes signaleacutees avec une note CVSS eacuteleveacutee a diminueacute pour passer de 23 en 2011 agrave 20 en 2012 (voir la Figure 2) Notez que lOSVDB nexige pas de note CVSS pour signaler des vulneacuterabiliteacutes Les vulneacuterabiliteacutes sans note CVSS ont la valeur Zeacutero dans la figure
Figure 2 Panorama de la graviteacute des vulneacuterabiliteacutes dapregraves les donneacutees de lOSVDB (2000 agrave 2012)
0
2 000
4 000
6 000
8 000
10 000
12 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Zeacutero 1 2 3 4 5 6 7 8 9 10
Livre blanc | Rapport HP 2012 sur les cyber-risques
6
Un eacuteleacutement qui contraste avec cette hausse modeste du nombre de vulneacuterabiliteacutes hautement exploitables signaleacutees en 2012 est la tendance globale des donneacutees de lOSVDB puisque ces derniegraveres montrent que le pourcentage pour ce type de vulneacuterabiliteacute a augmenteacute de maniegravere consideacuterable et homogegravene au cours des dix derniegraveres anneacutees (voir la Figure 3)
Figure 3 Graviteacute des vulneacuterabiliteacutes OSVDB sur dix ans
Graviteacute moyennement eacuteleveacutee (note CVSS 5 agrave 7) Graviteacute la plus eacuteleveacutee (note CVSS 8 agrave 10)Graviteacute la moins eacuteleveacutee (note CVSS 1 agrave 4)
8
2002 2007 2012
17
75
14
22 64
20
36
44
Entre 2002 et 2007 les vulneacuterabiliteacutes moyennement graves (note CVSS entre 5 et 7) formaient la majoriteacute des deacutecouvertes Cette peacuteriode comporte une hausse importante du nombre total de vulneacuterabiliteacutes deacuteclareacutees agrave un moment ougrave les outils de test agrave donneacutees aleacuteatoires (fuzzing) devenaient la norme et les chercheurs commenccedilaient agrave identifier les vulneacuterabiliteacutes les plus reacutepandues et simples agrave deacutetecter gracircce agrave lautomatisation Depuis ce nombre a nettement baisseacute notamment gracircce aux organisations de deacuteveloppement qui par le biais de lautomatisation ont pu identifier et reacutesoudre ces vulneacuterabiliteacutes avant que les chercheurs ne les trouvent
Par quoi sexplique alors le pourcentage en deacutecrue des vulneacuterabiliteacutes agrave fort potentiel dexploitation observeacute en 2012 Les donneacutees commerciales laissent agrave penser que du fait des compeacutetences et du temps requis pour deacutevoiler et deacutemontrer le potentiel dexploitation des vulneacuterabiliteacutes les plus graves un nombre sans cesse croissant de ce type de vulneacuterabiliteacute est vendu sur des marcheacutes commerciaux priveacutes (gris) ou clandestins (noirs) ce qui les exclut (du moins provisoirement) de tout recensement public comme celui de lOSVDB
Lesapplications Webposenttoujoursdesrisquesimportantspourles entreprisesLa Figure 4 met en eacutevidence les six vulneacuterabiliteacutes les plus reacutepandues signaleacutees dans lOSVDB deacutepassement de meacutemoire tampon deacuteni de service inclusion de fichier agrave distance injection SQL scripts intersites et falsification de requecircte intersites (CSRF) Toutes sont potentiellement exploitables agrave distance
Figure 4 Les vulneacuterabiliteacutes les plus courantes dans lOSVDB preacutesenteacutees par cateacutegories (2000 agrave 2012)
0
600
1 200
1 800
2 400
3 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Deacutepassement de meacutemoire tampon
Deacuteni de service
Inclusions de fichiers agrave distance
Injection SQL
Scripts intersites
Falsification de requecirctes intersites
Sur ces six cateacutegories de vulneacuterabiliteacute quatre (linjection SQL les scripts intersites la falsification de requecircte intersites (CSRF) et les inclusions de fichiers agrave distance) ont principalement ou exclusivement un impact sur les applications Web et repreacutesentent 40 du volume total de vulneacuterabiliteacutes deacutecouvertes en 2012 selon lOSVDB
Si le nombre de vulneacuterabiliteacutes Web a atteint un niveau record en 2006 il a eacutevolueacute depuis et de maniegravere similaire au nombre global de vulneacuterabiliteacutes (voir la Figure 5)
Livre blanc | Rapport HP 2012 sur les cyber-risques
7
Figure 5 Vulneacuterabiliteacutes des applications Web et des applications non Web
0
2 000
4 000
6 000
8 000
10 000
12 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Vulneacuterabiliteacutes des applications Web Vulneacuterabiliteacutes des applications non Web
On peut en conclure que si les vulneacuterabiliteacutes des applications non connecteacutees au Web repreacutesentent toujours la majoriteacute des vulneacuterabiliteacutes divulgueacutees quelques cateacutegories de vulneacuterabiliteacutes des applications Web introduisent encore des risques techniques consideacuterables pour les organisations
LamaturiteacutedunetechnologienedeacutefinitpassonprofildevulneacuterabiliteacuteLun des changements majeurs de paradigme technique au cours de la derniegravere deacutecennie a eacuteteacute ladoption massive dappareils mobiles capables dexeacutecuter des applications personnaliseacutees Au cours des cinq derniegraveres anneacutees seulement les donneacutees OSVDB ont afficheacute une croissance de 787 du nombre de vulneacuterabiliteacutes deacutecouvertes dans le cas des technologies mobiles (voir la Figure 6) La derniegravere anneacutee agrave elle seule montre une augmentation de 68 avec 158 vulneacuterabiliteacutes deacutecouvertes en 2011 et 266 en 2012
Figure 6 Vulneacuterabiliteacutes deacutecouvertes pour les technologies mobiles et eacutevalueacutees par lOSVDB entre 2008 et 2012
0
50
100
150
200
250
300
2008 2009 2010 2011 2012
Par comparaison les systegravemes de controcircle et de collecte de donneacutees (SCADA) qui controcirclent les processus industriels automatiseacutes notamment dans les domaines de la fabrication la production deacutelectriciteacute le secteur minier et le traitement des eaux sappuient sur des technologies beaucoup plus abouties Ces systegravemes qui opeacuteraient historiquement sur des reacuteseaux distincts avec des protocoles proprieacutetaires ont ensuite entameacute une migration vers des reacuteseaux standard et mecircme Internet dans le but de simplifier la gestion des ressources la facturation et les aspects opeacuterationnels A mesure que ces systegravemes ont quitteacute leurs reacuteseaux isoleacutes distincts des problegravemes de seacutecuriteacute autrefois masqueacutes par une surface dattaque reacuteduite ont commenceacute agrave se manifester
Livre blanc | Rapport HP 2012 sur les cyber-risques
8
Dapregraves les donneacutees de lOSVDB 76 vulneacuterabiliteacutes seulement ont eacuteteacute deacutetecteacutees dans les systegravemes SCADA entre 2008 et 2010 En revanche apregraves la deacutecouverte en 2010 du ver Stuxnet dans une usine denrichissement duranium iranienne lattention sest focaliseacutee sur la seacutecuriteacute des systegravemes SCADA En 2011 164 vulneacuterabiliteacutes ont eacuteteacute recenseacutees dans les systegravemes SCADA et ce nombre a atteint 191 en 2012 soit une augmentation de 768 par rapport aux chiffres de 2008 (voir la Figure 7)
Figure 7 Vulneacuterabiliteacutes des systegravemes SCADA deacutecouvertes et eacutevalueacutees par lOSVDB entre 2008 et 2012
0
50
100
150
200
250
2008 2009 2010 2011 2012
ProgrammeZero Day Initiative coupdœilsur 2012Gracircce agrave la position de leader du ZDI en qualiteacute de programme dacquisition des vulneacuterabiliteacutes les chercheurs de leacutequipe ont maintes fois eu loccasion danalyser certaines des vulneacuterabiliteacutes les plus inteacuteressantes et les plus deacutebattues qui sont survenues au cours des douze derniers mois Les cas dignes dinteacuterecirct suivants observeacutes en 2012 illustrent le croisement des marcheacutes blanc et noir
Au deacutebut de lanneacutee 2012 une vulneacuterabiliteacute des services Bureau agrave distance Microsoftreg (ZDI-12-044 MS12-020 et CVE-2012-0002) a fait lobjet de toutes les attentions
bull Le ZDI a signaleacute cette faille speacutecifique agrave Microsoft en aoucirct 2011
bull Aucune attaque exteacuterieure connue ne fut signaleacutee mais consciente de son pouvoir dattraction aupregraves des attaquants la socieacuteteacute Microsoft sattendait deacutejagrave agrave des exploitations imminentes pour mars 2012
bull Il eacutetait possible dacceacuteder agrave cette faille sur le reacuteseau avant toute authentification requise Elle se manifestait deacutejagrave lors de la gestion des erreurs au moment du chargement des eacuteleacutements dans un tableau
Un mois plus tard Samba publia un correctif tregraves attendu fondeacute sur une faille identifieacutee par un chercheur du ZDI (TPTI-12-04 CVE-2012-1182)
bull Le ZDI signala cette faille agrave Samba en septembre 2011
bull Aucune attaque exteacuterieure connue ne fut signaleacutee mais la vulneacuterabiliteacute incrimineacutee comptait parmi les vulneacuterabiliteacutes les plus graves pour un programme et Samba traita sans attendre le problegraveme
bull Cette faille nexigeait aucune connexion authentifieacutee et aboutissait agrave une meacutemoire corrompue quun attaquant pouvait librement exploiter pour exeacutecuter du code agrave distance
La fin de lanneacutee 2012 fut une peacuteriode dactiviteacute intense pour les attaques de type zero-day qui toucha autant Oracle (CVE-2012-0422 CVE-2012-3174) que Microsoft (MS13-008 CVE-2012-4792) Le ZDI eacutetait aux premiegraveres loges et signala une vulneacuterabiliteacute importante de Java lieacutee agrave une faille zero-day
bull Le ZDI signala cette faille Java agrave Oracle en deacutecembre 2012
bull Cette faille eacutetait exploiteacutee au grand jour
bull Elle permettait agrave une applet malveillante dexeacutecuter un code fourni par un attaquant et de le faire agrave distance dans le contexte de lutilisateur actuel
Ces cas ne sont pas les seuls cas geacutereacutes par le ZDI en 2012 mais ils montrent bien le croisement des marcheacutes noir et blanc dans cette chasse aux vulneacuterabiliteacutes Une chose est sucircre nos chercheurs sont engageacutes dans une course contre la montre visant agrave identifier et divulguer de maniegravere responsable les vulneacuterabiliteacutes des technologies logicielles les plus reacutepandues
Livre blanc | Rapport HP 2012 sur les cyber-risques
9
Vulneacuterabiliteacutesdesapplications Web
Pour dresser un tableau plus complet des vulneacuterabiliteacutes actuelles leacutequipe HP Fortify on Demand sest reacuteunie et a analyseacute les reacutesultats de milliers deacutevaluations pour savoir agrave quoi ressemble la seacutecuriteacute des applications Web de linteacuterieur Pour cela elle a proceacutedeacute agrave des examens de code et des tests de peacuteneacutetration Un examen minutieux des reacutesultats des analyses statiques (recherche de vulneacuterabiliteacutes dans le code source sans exeacutecution de ce dernier) et dynamiques (tests de fonctionnement du logiciel en qualiteacute dattaquant sans accegraves au code mecircme) constitue une base solide pour eacutetablir un reacuteel eacutetat des lieux en matiegravere de risques pour les applications Web
Les jeux deacutechantillons utiliseacutes pour cette analyse comprenaient 200 applications choisies au hasard pour lanalyse dynamique et 800 applications pour lanalyse statique La Figure 8 montre les cinq principales vulneacuterabiliteacutes deacutecouvertes dans le cadre de lanalyse dynamique en 2012
Figure 8 Cinq principales vulneacuterabiliteacutes deacutecouvertes lors de lanalyse dynamique en 2012 via HP Fortify on Demand
45
26 25
13
9
0
5
10
15
20
25
30
35
40
45
50
Scripts intersites ProtectionTransport
Layer insuffisante
Mauvaiseconfiguration
de seacutecuriteacute
Gestion delauthentification
et des sessiondeacutefaillante
Failles dinjection
Les reacutesultats dynamiques obtenus agrave partir de ce jeu deacutechantillons ainsi que dautres reacutesultats consigneacutes dans ce rapport montrent que les attaques par script intersite constituent toujours une menace importante lors de toute tentative de seacutecurisation des applications Web Si lon tient compte de la premiegravere place quoccupent les attaques par script intersite parmi les types de vulneacuterabiliteacute acquis par le ZDI lanneacutee derniegravere et de lampleur reacuteelle de ces attaques confirmeacutee par des tests reacutepeacuteteacutes les organisations peuvent agrave juste titre les consideacuterer comme une preacuteoccupation majeure en matiegravere de seacutecuriteacute
La Figure 9 deacutecrit le mode opeacuteratoire dune attaque par script intersite classique et comment lexploiter pour deacuterober des informations didentification dauthentification sur des sites strateacutegiques
Livre blanc | Rapport HP 2012 sur les cyber-risques
10
Figure 9 Anatomie dune attaque par script intersite reacutefleacutechie
Site bancaire
Utilisateur creacutedule
Attaquantmalveillant
1 Un attaquant deacutecouvre une faille XSS dans une application Web
3 Lattaquant distribue le lien XSS malveillant via dingeacutenierie sociale agrave des utilisateurs creacutedules
2 Lattaquant creacutee une URL dattaque pour voler des informations sensibles et la deacuteguise afin quelle paraisse leacutegitime
4 Lorsque la victime se connecte JavaScript qui est inteacutegreacute au lien XSS malveillant sexeacutecute et transmet les informations de connexion de la victime agrave lattaquant
La Figure 10 montre les cinq principales vulneacuterabiliteacutes deacutecouvertes dans le cadre de lanalyse statique en 2012 et inclut le pourcentage relatif dapplications toucheacutees par chaque cateacutegorie de vulneacuterabiliteacute
Figure 10 Cinq principales vulneacuterabiliteacutes deacutecouvertes lors de lanalyse statique en 2012 via HP Fortify on Demand
92 88 86
75
61
0
10
20
30
40
50
60
70
80
90
100
Fuites dinformationset gestion des
erreurs inapproprieacutee
Stockagedes donneacutees
cryptographiquesnon seacutecuriseacute
Failles dinjection Reacutefeacuterencedobjet directenon seacutecuriseacutee
Gestion delauthentification et des
session deacutefaillante
Les reacutesultats de lanalyse statique reacutevegravelent que les fuites dinformation les problegravemes de stockage des donneacutees cryptographiques et les failles dinjection sont les vulneacuterabiliteacutes les plus freacutequentes Un eacuteleacutement non citeacute dans cette liste des cinq principales vulneacuterabiliteacutes est que pour 51 des applications il eacutetait question dune attaque par script intersite reacutefleacutechie (voir la Figure 9 ci-avant) Sil ne figure pas dans la liste il reste neacuteanmoins un eacuteleacutement important si on lajoute aux autres reacutesultats de ce rapport
Les reacutesultats de ces jeux deacutechantillons confirment nettement que les applications Web souffrent encore aujourdhui de nombreuses faiblesses pourtant jugeacutees critiques par les diverses normes industrielles en vigueur Les cinq principales cateacutegories de vulneacuterabiliteacute qui dominent les reacutesultats sont souvent celles qui exposent les applications Web agrave des risques importants notamment le vol dinformations lescalade de privilegraveges etc Ces deux jeux deacutechantillons nous amegravenent agrave la conclusion que les organisations ne parviennent toujours pas agrave appliquer des mesures coheacuterentes pour faire face agrave des vulneacuterabiliteacutes omnipreacutesentes comme les scripts intersites et les fuites dinformation
Livre blanc | Rapport HP 2012 sur les cyber-risques
11
Un autre eacuteleacutement agrave retenir est que la vulneacuterabiliteacute la plus employeacutee par des attaquants en relation avec dautres vulneacuterabiliteacutes connues est la fuite dinformation Un eacuteleacutement dinformation preacutecis peut sembler sans inteacuterecirct mais peut pourtant ecirctre le composant cleacute qui permettra agrave un attaquant dimposer une technique pour mener une attaque plus deacutevastatrice encore En somme pour preacuteparer et reacuteussir une attaque des techniques minutieuses de collecte des informations et de reconnaissance sont indispensables
Risquesdesapplications Web eacutetudedecas
ProfildelasocieacuteteacuteGrande entreprise multinationale (plus de 100 000 employeacutes) avec un chiffre daffaires de plus de 82 milliards de dollars pour lexercice fiscal 2012
Cette entreprise dispose dun programme de seacutecuriteacute actif et opeacuterationnel Les reacutesultats montrent les efforts qui sont neacutecessaires pour geacuterer entiegraverement les risques lieacutes agrave la seacutecuriteacute des applications Les reacutesultats qui suivent proviennent de plus de 1 300 eacutevaluations dynamiques uniques meneacutees sur les divers sites de lentreprise Dans legravere de la seacutecuriteacute des applications modernes une vulneacuterabiliteacute est souvent une de trop
Reacutesultats
bull 541 des eacutevaluations ont reacuteveacuteleacute des cookies persistants LAgence europeacuteenne chargeacutee de la seacutecuriteacute des reacuteseaux et de linformation (ENISA) emploie le terme cookies doux-amers pour parler de ces cookies Les cookies persistants augmentent consideacuterablement la probabiliteacute dattaques par relecture en raison de la dureacutee de validiteacute prolongeacutee des cookies La divulgation dinformations sur des ordinateurs publics partageacutes peut eacutegalement produire des cookies persistants Parce que les cookies servent entre autres agrave observer le comportement des utilisateurs il est probable que les avantages potentiels quils preacutesentent pour lentreprise aient quelque peu relayeacute les questions de seacutecuriteacute au second plan
bull Un peu moins de la moitieacute (4832 ) des sites eacutetaient vulneacuterables face agrave une certaine forme dattaque par script intersite
bull Presque un cinquiegraveme (1957 ) des sites contenaient un formulaire de connexion non crypteacute agrave scheacutema mixte ougrave les informations dune page HTTP eacutetaient publieacutees dans une page HTTPS ou inversement
bull 1277 des eacutevaluations eacutetaient vulneacuterables agrave une certaine forme dinjection SQL Le plus intrigant cest que 1097 des eacutevaluations confirmaient les vulneacuterabiliteacutes dinjection SQL agrave laveugle Si lon tient compte du caractegravere particuliegraverement dangereux des injections SQL agrave laveugle et du fait que ces vulneacuterabiliteacutes sont souvent employeacutees pour compromettre un systegraveme ce pourcentage pose de graves problegravemes
bull Un autre cinquiegraveme (197 ) des sites eacutetaient vulneacuterables aux connexions transmises via une connexion non crypteacutee ce qui signifie que le formulaire nutilisait pas le protocole SSL
bull 526 des sites eacutetaient exposeacutes agrave une vulneacuterabiliteacute de lectureinclusion de fichier local Sil eacutetait jugeacute sensible le contenu du fichier pouvait ecirctre utiliseacute pour prendre le controcircle du systegraveme
Des attaques deacutevastatricesOutre des statistiques les organismes chargeacutes de collecter des informations de seacutecuriteacute ont eacutegalement besoin dobservations et dideacutees Dans cette optique la section qui suit propose une liste sommaire des attaques deacutevastatrices que les responsables des tests de peacuteneacutetration chez HP Fortify on Demand ont deacutecouvertes en 2012 Chaque compte a eacuteteacute deacutecouvert moyennant autorisation au cours dopeacuterations approuveacutees meneacutees agrave lencontre de sites de production avec des difficulteacutes techniques allant des plus simples aux plus complexes Le deacutenominateur commun est que toutes les attaques avaient des conseacutequences extrecircmement graves si elles eacutetaient deacutecouvertes par un attaquant malveillant Pour des raisons eacutevidentes les noms des clients nont pas eacuteteacute inclus mais les secteurs eux-mecircmes sont inseacutereacutes dans la liste pour illustrer le danger potentiel et la pertinence des attaques Si ces exemples revecirctent un caractegravere anecdotique par deacutefinition ils profitent de lexpeacuterience et des avis de nos responsables de tests de peacuteneacutetration dune maniegravere que les simples statistiques ne permettent pas Lagrave encore la seacutecuriteacute est plus quune affaire de produits Cest un processus
Attaques par injection et attaques par validation dentreacutee incorrecte Secteurs dactiviteacute peacutetrochimie industrie alimentaire eacutenergie et logicielsTeacuteleacutechargementsdefichiersnonseacutecuriseacutesetconfigurationincorrectedelaseacutecuriteacute Un programme client lourd permettait agrave nimporte quel utilisateur de charger (au moyen de sa fonction de chargement intrinsegraveque) des programmes malveillants sur un serveur Web muni daucune protection contre ce type de programme Environ 30 000 utilisateurs dans le monde entier se servaient de ce programme les risques eacutetaient donc particuliegraverement grands Les fonctions de teacuteleacutechargement de fichiers doivent impeacuterativement faire preuve de meacutefiance agrave leacutegard des types de fichiers acceptables La Figure 11 deacutecrit les conseacutequences de ce sceacutenario
Livre blanc | Rapport HP 2012 sur les cyber-risques
12
Figure 11 Lautorisation de teacuteleacutechargements de fichiers peut avoir des conseacutequences seacutevegraveres
Teacuteleacutechargementsde fichiers
non valideacutes
Aucuneprotectionpar logiciel
anti-programmemalveillant
30 000utilisateurs
sont infecteacutes parle logiciel
malveillant
Injection SQLagravelaveugle les fonctionnaliteacutes daide agrave la recherche (une seacuterie de cases agrave cocher conccedilues pour aider les utilisateurs agrave restreindre leurs critegraveres de recherche) sans validation dentreacutee ont abouti agrave laffichage de 35 bases de donneacutees dID dutilisateur de systegraveme de base de donneacutees et de hachages de mot de passe y compris le compte dadministrateur systegraveme Linjection SQL agrave laveugle peut ecirctre difficile agrave deacuteceler parce quelle geacutenegravere rarement des messages derreur et manifeste un comportement applicatif anormal Les requecirctes parameacutetrables eacutegalement appeleacutees instructions preacutepareacutees empecircchent avec efficaciteacute les attaques par injection SQL si elles ont correctement mises en place5 La Figure 12 deacutecrit cette seacutequence
Instructions SQLentexteclair lors des tests effectueacutes sur une application cliente lourde il a eacuteteacute deacutecouvert que le client exeacutecutait des instructions SQL directement sur le serveur SQL principal avec des autorisations de niveau administrateur sur HTTP Une escalade des privilegraveges utilisateur et la modification des mots de passe furent possibles en soumettant le protocole agrave une ingeacutenierie agrave rebours et en le manipulant (voir la Figure 13)
Inclusiondefichierlocal des techniques de traversement de reacutepertoires (Directory Traversal) et dinclusion de fichier local ont eacuteteacute employeacutees pour afficher le contenu du fichier SAM (Gestionnaire de comptes de seacutecuriteacute) de sauvegarde du serveur Web qui permettait de deacutecoder les mots de passe Au bout de dix minutes il eacutetait possible pour un administrateur local dacceacuteder au systegraveme et de tout compromettre Les routines de validation dentreacutee quelles soient inheacuterentes agrave lapplication ou interviennent au niveau de configuration du serveur Web auraient eacutelimineacute ce vecteur
AttaquesvisantagraveexploiterunemauvaiseconfigurationdeseacutecuriteacuteSecteurs dactiviteacute peacutetrochimie et secteur bancaire internationalImpossibiliteacutederestreindrelaccegravesauxreacutepertoiressensibles dans ce cas le reacutepertoire deacutecouvert eacutetait ldquohttpswwwexamplecompasswordsrdquo Naturellement aucun dossier ldquopasswordsrdquo tout du moins public ne devrait exister Le dossier eacutetait accessible via des navigateurs Web sans aucune authentification et comprenait une liste de reacutepertoires avec des fichiers texte aux noms divers tels que ldquopasswordsprojectrdquo ou mecircme ldquopasswordssystemsrdquo Un simple clic sur un fichier provoquait louverture dun document texte muni dune liste dutilisateurs et de mots de passe au format suivant userpassword Une des listes contenait mecircme ldquosysadminpassword adminpassword etchelliprdquo (voir la Figure 14) Ceci illustre la neacutecessiteacute et limportance de la validation danalyse post-automatique puisque cette vulneacuterabiliteacute qui pose de faibles risques en apparence pouvait aiseacutement passer inaperccedilu aux yeux du client Qui plus est le problegraveme aurait pu ecirctre eacuteviteacute si laccegraves au reacutepertoire avait eacuteteacute restreint comme il le fallait
Leprotocole WebDAVactiveacuteautorisaitlesopeacuterationsdeacutecritureagravedistance Le mode dactivation du protocole WebDAV sur un serveur Web en particulier permettait agrave des utilisateurs dapplications distants de communiquer avec lhocircte et deacutecrire des fichiers dans des reacutepertoires arbitraires Lexploitation de cette vulneacuterabiliteacute permettait de teacuteleacutecharger une porte deacuterobeacutee personnaliseacutee puis de lexeacutecuter en parcourant le chemin daccegraves agrave lURL du fichier reacutecemment transfeacutereacute Une fois exeacutecuteacutee elle offrait la possibiliteacute de controcircler entiegraverement le serveur Web En preacutevoyant de plus amples tests la personne chargeacutee de ces tests pouvait librement poursuivre une attaque contre dautres hocirctes sur le reacuteseau interne de lentreprise processus appeleacute glissement (pivoting) La suppression de laccegraves WebDAV et de meacutethodes HTTP exteacuterieures aurait pu eacuteviter cette attaque
Injection SQLetcommandesdevalidationdentreacuteefaibles Un filtre SQL filtrait tout agrave lexception de lopeacuterateur ldquoORrdquo Cela signifie essentiellement quapregraves insertion de lopeacuterateur ldquoORrdquo dans une instruction SQL chaque commande serait exeacutecuteacutee sur le systegraveme Le parameacutetrage des requecirctes empecircchera les attaques par injection SQL La Figure 15 deacutecrit le deacuteroulement seacutequentiel dune attaque par injection SQL
Livre blanc | Rapport HP 2012 sur les cyber-risques
5 httpswwwowasporgindexphpSQL_Injection_Prevention_Cheat_Sheet
Figure 12 Injection SQL agrave laveugle
Injection SQLagrave laveugle
Voldinformationsutilisateur
Accegraves agraveladministrationsystegraveme
Figure 13 Instructions SQL en texte clair
Protocoledingeacutenierie clientserveur agrave rebours
Exeacutecution SQL
Reacuteinitialisation dumot de passe avec
des privilegravegesplus eacuteleveacutes
Figure 14 Restriction daccegraves impossible
Accegraves au reacutepertoire non restreint
passwrdsprojectuserpassword sysadminmot de passe
passwordssystems fichier
httpswwwexamplecompasswords reacutepertoire
13
Figure 15 Anatomie dune attaque par injection SQL
Site bancaireBase de donneacutees
de la banque
1=1
Attaquant malveillant
1 Lattaquant envoie des informations suppleacutementaires telles quun guillemet ou 1=1 avec des informations de connexion ou inclure des variablespour modifier linstruction SQL originale
3 Une fois que le scheacutema de base de donneacutees a eacuteteacute deacutefini lattaquant peut extraire les donneacutees contenues dans la base de donneacutees notamment les noms dutilisateur les mots de passes les informations de carte de creacutedit etc
2 Avec lapproche par essais et erreurs lattaquant peut construire des arguments SQL pouvant ecirctre utiliseacutes pour reacutecupeacuterer des donneacutees telles que des noms de tableaux ou des noms delignes etc
Mauvaiseconfiguration SAP Linteacutegraliteacute de la base de donneacutees des cartes de creacutedit eacutetait accessible et eacutetait transfeacutereacutee dans un fichier Les commandes configureacutees dans la structure SAP mise en place eacutetaient de qualiteacute meacutediocre et permettaient agrave des repreacutesentants du service clientegravele dexeacutecuter des transactions agrave caractegravere sensible y compris le navigateur de donneacutees HR (SE16) Cette fonction eacutetait exploiteacutee pour parcourir et charger le contenu tout entier de la table des donneacutees des cartes de creacutedit des clients Accessibles de cette maniegravere toutes les donneacutees pouvaient aiseacutement ecirctre exporteacutees agrave laide de comptes SAP avec des privilegraveges moindres
AttaquesparauthentificationparsessionlogiqueetautresattaquesSecteurs dactiviteacute compagnies aeacuteriennes secteur bancaire international et eacutenergieListedebilletsdavionviadesservices Webdecreacuteationdecodes QRmobiles Les testeurs eacutetaient capables de reconstituer agrave rebours une partie de la fonction des services Web pour creacuteer des numeacuteros de billets De faux codes QR de billets davion eacutetaient ainsi geacuteneacutereacutes pour des vols aeacuteriens Il est tout est fait possible que lexploitation de cette fonction ait permis aux attaquants de voler gratuitement En labsence de controcircles preacuteventifs efficaces ils pouvaient senregistrer librement par le biais de leurs appareils mobiles Le recours agrave une fonction de controcircle aleacuteatoire standard des numeacuteros de billets aurait pu eacutegalement eacuteviter ce problegraveme
Figure 16 Creacuteation de mots de passe dynamiques agrave cryptage facilement reacuteversible
AttaqueSQL
Servicedauthen-tification
Web
Capturedu trafic chiffreacute
Deacutesactivationdu chiffrement
du mot depasse
Randomisationdes mots de
passeinsuffisante
Accegravesadministrateur
agrave la basede donneacutees
Deacutesactivation du chiffrement -mot de passe devinable
Accegraves complet agrave labase de donneacutees avec des
autorisations dadministrateur
Livre blanc | Rapport HP 2012 sur les cyber-risques
14
Creacuteationdemotsdepassedynamiquesagravecryptagefacilementreacuteversible lapplication cliente lourde testeacutee communiquait avec un service Web qui se chargeait dabord dauthentifier lutilisateur qui tentait de se connecter Ensuite lapplication demandait le mot de passe au serveur de base de donneacutees principal Au deacutepart le mot de passe eacutetait crypteacute pour la transmission mais simultaneacutement lors dune autre attaque SQL un indicateur de la base de donneacutees a eacuteteacute renverseacute deacutesactivant et annulant ainsi les effets du cryptage Il sest aveacutereacute que le systegraveme mettait en place des mots de passe dynamiques qui changeaient freacutequemment cependant apregraves regroupement des nombreux mots de passe un scheacutema eacutevident est apparu Le mot de passe suivait une chronologie et eacutetait donc facile agrave deviner Un accegraves direct agrave la base de donneacutees avec des autorisations administratives fut confirmeacute et compromit entiegraverement le systegraveme (voir la Figure 16)
Leservice Webautorisaitdesrequecirctes SQLdirectes une application autorisait des connexions agrave sa base de donneacutees principale via un interpreacuteteur Web accessible sur Internet sans authentification Avec des connaissances limiteacutees en SQL un attaquant pouvait aiseacutement extraire toutes les donneacutees enregistreacutees dans la base de donneacutees cliente y compris les deacutetails complets des comptes des utilisateurs noms dutilisateurs mots de passe adresses de messagerie et autres informations didentification personnelle
En partageant les reacutesultats de ces tests de peacuteneacutetration en conditions reacuteelles notre but est dattirer lattention sur la creacuteativiteacute sans bornes et la deacutetermination sans fin des attaquants malveillants Les testeurs de peacuteneacutetration cherchent agrave reproduire ces techniques pour tenter deacutevaluer avec efficaciteacute chaque commande de seacutecuriteacute et sassurer que les donneacutees sensibles et les fonctions applicatives sont proteacutegeacutees Comme le prouvent ces reacutesultats les tests de seacutecuriteacute automatiseacutes seuls ne mesurent pas inteacutegralement la politique globale dun environnement en matiegravere de seacutecuriteacute et doivent ecirctre compleacuteteacutes par une analyse manuelle
Dans la section suivante les chercheurs HP en seacutecuriteacute de logiciels cherchent agrave mettre agrave jour une vulneacuterabiliteacute cruciale souvent utiliseacutee conjointement avec les nombreuses attaques et techniques mentionneacutees plus haut et pour lesquelles une strateacutegie de preacutevention efficace reste globalement agrave mettre en place
En-tecircteX-Frame-Options eacutechecdelancementPour illustrer la nature toujours changeante de la seacutecuriteacute des applications Web les speacutecialistes du groupe HP Software Security Research ont examineacute une vulneacuterabiliteacute deacutejagrave reconnue et officiellement appeleacute script sur plusieurs cadres ou XFS XFS est un outil indispensable pour tout attaquant qui tente deacutelaborer une attaque de hameccedilonnage (phishing) ou dingeacutenierie sociale dans le but de charger un site Web vulneacuterable dans une balise iFrame HTML sur une page malveillante controcircleacutee par un attaquant Ce dernier peut alors extraire des eacuteveacutenements (des seacutequences de touches par exemple) appeleacutes par un utilisateur quelconque sur le site Web cibleacute
Les vulneacuterabiliteacutes XFS ouvrent eacutegalement la voie aux attaques de type clickjacking6 qui trompent les utilisateurs en les incitant agrave cliquer sur des eacuteleacutements preacutecis sur le site Web cibleacute chargeacute agrave linteacuterieur dune balise iFrame invisible Souvent ces reacutesultats aboutissent sur des actions non voulues voire privileacutegieacutees Depuis des anneacutees les chercheurs mettent en garde contre linefficaciteacute des protections par code frame-busting baseacute sur des scripts dans la preacutevention des menaces du XFS Pourtant les deacuteveloppeurs et les administrateurs de serveur qui les assistent ont toujours uniquement recours au meacutecanisme JavaScript (Figure 17) pour deacutetecter des attaques XFS
Les diverses meacutethodes de preacutevention contre XFS se sont maintes fois montreacutees incomplegravetes ou inefficaces Le plus reacutepandu de ces modes de preacutevention est la logique de frame-busting (destruction) de JavaScript ou plus preacuteciseacutement un script cocircteacute client qui ressemble agrave celui preacutesenteacute dans la Figure 175
Figure 17 Logique classique de frame-busting JavaScript
ltscriptgt
if (top=self) toplocationhref = selflocationhref
ltscriptgt
Livre blanc | Rapport HP 2012 sur les cyber-risques
6 cvedetailscomcveCVE-2002-1217
15
Outre les nombreuses variantes de cette technique quil est facile de deacutenicher en ligne des contre-mesures datteacutenuation ont eacutegalement eacuteteacute mises en place pour lutter aussi contre ces variantes avec des regravegles grosso modo eacutequivalentes agrave celles du jeu de la taupe
Comme le montre la Figure 18 la premiegravere vulneacuterabiliteacute XFS documenteacutee a eacuteteacute deacutecouverte il y a plus de 10 ans7 Depuis le clickjacking est devenu une vulneacuterabiliteacute reacutepandue et malgreacute cela moins de un pour cent de nos eacutechantillons incluait loutil de preacutevention le plus connu agrave savoir len-tecircte X-Frame-Options
Figure 18 Bref historique des eacuteveacutenements majeurs lieacutes agrave la deacutetection de failles de type XFS (script sur plusieurs cadres)
29062002Bug iFrame Jesse Rudermana
28102002Premier CVE XFS connub
16112005Echec des techniques de Framec
21052008Premiegravere mention publique de lattribut iFrame sandboxd
12092008Le terme clickjacking est inventeacutee
26012009Premier navigateur prenant en charge des options X-Framef
17062010Busting Frame Bustinga Study of ClickjackingVulnerabilities on Popular Sitesg
27012012Facebook poursuit uneentreprise de clickjackingh
11072012Dernier conseilXFS connui
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
a httpsbugzillamozillaorgshow_bugcgiid=154957 b httpwwwcvedetailscomcveCVE-2002-1217 c httpcryptostanfordeduframebust d httphtml5orgtoolsweb-apps-trackerfrom=1642ampto=1643 e httpwwwsectheorycomclickjackinghtm f httpblogsmsdncombiearchive20090126internet-explorer-8-release-candidate-now-availableaspx g httpcdnlytlpublicationsbusting-frame-busting-a-study-of-clickjacking-vulnerabilities-on-popular-sitespdf h httpwwwguardiancouktechnology2012jan27facebook-sues-clickjacking-firm-adscend i httposvdborgshowosvdb83762
Lhistoire du XFS (Cross-Frame Scripting ou scripts sur plusieurs cadres) remonte agrave la publication dun rapport relativement banal sur un comportement observeacute par Jesse Ruderman en 20028 et devenu aujourdhui un eacuteleacutement moteur dun autre pheacutenomegravene communeacutement appeleacute clickjacking Un eacuteleacutement cleacute de la reacutegression identifieacutee en matiegravere de seacutecuriteacute eacutetait la deacutecision dajouter lattribut sandbox agrave leacutebauche de la speacutecification HTML5 pour la balise iFrame au milieu de lanneacutee 2008
Les chercheurs ont deacutemontreacute que plusieurs contre-mesures datteacutenuation eacutetaient possibles avec des bugs des navigateurs ou des astuces JavaScript Le dernier eacuteleacutement ajouteacute agrave cette liste comme le montre la Figure 19 est lutilisation dune fonction de seacutecuriteacute introduite dans la speacutecification HTML5 sous la forme dun attribut sandbox iFrame que les attaquants peuvent exploiter pour deacutesactiver les protections de frame-busting de JavaScript
Figure 19 Attribut sandbox iFrame
ltiframe sandbox=rdquoallow-scriptsrdquo src=rdquohttpexamplecomrdquogtltiframegt
Lobjet de lattribut sandbox est daccorder lautorisation dexeacutecuter des scripts (allow-scripts) dans le contenu cibleacute A titre accessoire toutes les logiques de frame-busting employeacutees par examplecom sont effectivement deacutesactiveacutees en lui refusant lautorisation allow-top-navigation dans sa speacutecification sandbox
Gracircce agrave lattribut sandbox cette technique permet agrave un attaquant de deacutejouer de maniegravere efficace toutes les tentatives de frame-busting que megravenent les deacuteveloppeurs pour se proteacuteger de tout encadrement de site et toute opeacuteration de clickjacking par des tiers Les eacutediteurs de navigateurs ont introduit et valideacute une technique de preacutevention baseacutee sur des strateacutegies bien plus forte gracircce agrave len-tecircte X-Frame-Options Les deacuteveloppeurs peuvent se servir de cet en-tecircte pour dicter au navigateur les actions adeacutequates agrave entreprendre si leur site est inclus dans un iFrame Malheureusement ladoption de cette fonction parmi les deacuteveloppeurs est tregraves lente et offre aux attaquants un vaste terrain de sites potentiellement exploitables agrave mesure quils deacutecouvrent de nouvelles techniques pour contourner les scripts de frame-busting Ceci rend plus indispensable encore ladoption et la mise en œuvre de len-tecircte X-Frame-Options puisque ce dernier constitue la solution de facto agrave ce problegraveme et reste en vigueur mecircme lorsque le nouvel attribut sandbox HTML5 est utiliseacute Voilagrave donc ce qui motive notre projet de recherche et ce qui est agrave lorigine de notre question de deacutepart Combien de domaines incluent des en-tecirctes X-Frame-Options et combien le font correctement
Livre blanc | Rapport HP 2012 sur les cyber-risques
7 cvedetailscomcveCVE-2002-1217 8 httpsbugzillamozillaorgshow_bug
cgiid=154957
16
Collection de jeux deacutechantillons Dans le cadre de cette eacutetude le groupe HP Fortify Software Security Research a meneacute des recherches pour eacutevaluer agrave quel point les faibles pratiques de preacutevention des attaques XFS restent aujourdhui adopteacutees et font autoriteacute Nos reacutesultats soulignent eacutegalement la reacuteticence et le rythme dadoption tregraves lent dautres meacutethodes plus seacutecuriseacutees recommandeacutees par des speacutecialistes des navigateurs et des experts en seacutecuriteacute
Alexa9 fut utiliseacute pour renseigner une collection de 100 000 sites Web (les plus connus) et geacuteneacuterer une liste distribueacutee dans de nombreux secteurs diffeacuterents Une fois la liste de deacutepart creacuteeacutee avec ses 100 000 URL les demandes de niveau supeacuterieur furent assembleacutees en concateacutenant ldquohttprdquo dans lURL obtenue Par exemple
ldquohttprdquo + exemplecom = httpexemplecom
Ensuite la nouvelle URL composeacutee fut demandeacutee et la reacuteponse obtenue examineacutee de maniegravere passive agrave la recherche des eacuteleacutements suivants
bull La preacutesence dun en-tecircte X-Frame-Options et de ses valeurs respectives
bull La preacutesence dun champ de mot de passe dans la reacuteponse de la demande de niveau supeacuterieur Un champ de mot de passe est censeacute indiquer un niveau de sensibiliteacute qui doit ecirctre proteacutegeacute par lapplication
bull Si la preacutesence de len-tecircte neacutetait pas respecteacutee lURL cible eacutetait soumise agrave des tests suppleacutementaires afin de distinguer si une tentative de deacutejouer les attaques XFS avait eu lieu Le recours agrave la preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade a eacuteteacute enregistreacute pour une analyse ulteacuterieure
Reacutesultats90 des eacutechantillons analyseacutes nont jamais rien tenteacute pour se proteacuteger des attaques XFS De tous les domaines doteacutes dune protection active contre les attaques XFS 62 ont recours agrave des meacutecanismes de preacutevention faibles fondeacutes sur les scripts Sur les 100 000 domaines testeacutes 19 848 disposaient de champs de mot de passe dans la demande de niveau supeacuterieur avec seulement 101 domaines preacutecisant un en-tecircte X-Frame-Options Celasignifieque01 deseacutechantillonssontproteacutegeacutesDe plus plus de 99 des eacutechantillons oubliaient de speacutecifier un en-tecircte X-Frame-Options tandis que 19 dentre eux avaient une raison dinclure len-tecircte mais ne lont pas fait
Les reacutesultats montrent que soit les deacuteveloppeurs ne sont pas suffisamment informeacutes des risques que posent les vulneacuterabiliteacutes XFS soit ils ne souhaitent consacrer aucun effort agrave la protection de leurs visiteurs Si 2 307 eacutechantillons deacutevoilaient des protections contre les attaques XFS seulement 38 ont opteacute pour lutilisation de len-tecircte X-Frame-Options preacuteconiseacute 1 432 eacutechantillons ont montreacute quils employaient toujours des techniques de preacutevention et datteacutenuation fondeacutees sur JavaScript ou les feuilles de style en cascade qui se sont aveacutereacutees insuffisantes (voir la Figure 20)
Les 875 domaines fondeacutes sur len-tecircte X-Frame-Options affichaient la distribution de valeurs suivante
1 702 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur SAMEORIGIN
2 151 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur DENY
3 13 des 875 domaines eacutetaient deacutefinis avec lattribut Allow-from
4 8 des 875 valeurs fournies eacutetaient conformes agrave leacutebauche de lIETF10
Aucun des 13 domaines utilisant lattribut Allow-from ne preacutecisait un caractegravere geacuteneacuterique () reacuteduisant les risques lieacutes agrave une politique de libre accegraves La Figure 21 preacutesente ces valeurs sous forme de pourcentages
Livre blanc | Rapport HP 2012 sur les cyber-risques
9 httpsbugzillamozillaorgshow_bugcgiid=154957
10 httptoolsietforghtmldraft-ietf-websec-x-frame-options-01
Figure 20Preacutevention des risques lieacutes aux scripts sur plusieurs cadres
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade 62
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade
Options X-Frame 38
Options X-Frame
Figure 21Reacutepartition des valeurs den-tecircte X-Frame-Options fournies
REFUS 17 Allow-from
2 Autres (valeurs non en conformiteacute)1
MEcircME ORIGINE 80
17
Encadrementintersites conclusionIl est eacutevident que toutes les ressources nont pas besoin decirctre proteacutegeacutees contre les attaques XFS Cependant il demeure des situations ougrave la mise en place dune protection adeacutequate est justifieacutee et indispensable Une mesure employeacutee pour identifier ces cas au cours de cette eacutetude eacutetait la preacutesence dun champ de saisie de mot de passe dans un formulaire Les pages dauthentification sont les plus exposeacutees agrave une attaque de type clickjacking En se focalisant sur les pages munies de champs pour la saisie des mots de passe lanalyse tente deacutetablir un lien entre la sensibiliteacute dune ressource et les efforts investis pour la proteacuteger Une des statistiques les plus surprenantes dans lanalyse est que seulement 103 des 100 000 domaines proteacutegeaient comme il se doit les pages avec des champs de mots de passe confidentiels soit un taux exorbitant de 010 qui suggegravere que la puissance et lefficaciteacute de len-tecircte ont fait lobjet dune mauvaise promotion nont pas obtenu ladheacutesion des administrateurs des serveurs ou nont pas seacuteduit les deacuteveloppeurs
Il convient de souligner que si un peu plus de 80 des reacuteponses ne contenaient aucun champ de mot de passe cela ne veut pas dire pour autant quil ne faut pas proteacuteger le contenu Autrement dit leacutechantillon nincluait aucun champ de mot de passe dans la demande de niveau supeacuterieur Il est donc tregraves probable que beaucoup dautres sites sexposent agrave des risques en avanccedilant plus loin dans larborescence du site La mesure la plus importante agrave noter est le pourcentage remarquable de sites sans en-tecircte X-Frame-Options soit 99
Apregraves une analyse approfondie des reacutesultats des recherches speacutecialiseacutees consacreacutees aux attaques XFS la section qui suit se concentre agrave nouveau sur ce qui semble ecirctre le sujet de conversation le plus populaire en 2012 en matiegravere de seacutecuriteacute la seacutecuriteacute des applications mobiles
Seacutecuriteacutedesapplicationsmobiles
Dix secondes dans une file dattente nimporte ougrave suffisent pour se rendre compte que lutilisation dappareils mobiles a litteacuteralement exploseacute En fait pour la premiegravere fois 2012 est lanneacutee pendant laquelle le nombre de smartphones vendus a deacutepasseacute le nombre dordinateurs portables et dordinateurs de bureau agrave la fois11 Cette augmentation a eacuteteacute suivie aussi dune hausse proportionnelle des risques surtout au moment ougrave les entreprises essaient de mettre agrave profit les avantages quoffre la mobiliteacute Comme nous lavons vu plus haut lOSVDB a signaleacute une hausse de 68 du nombre de vulneacuterabiliteacutes signaleacutees pour les technologies mobiles depuis 2011 soit une augmentation de 787 sur les cinq derniegraveres anneacutees Lors de nos tests nous sommes toujours revenus au mecircme constat Si vous posseacutedez des donneacutees des attaquants chercheront agrave sen emparer
Pour eacutevaluer leacutetat actuel de la seacutecuriteacute des applications mobiles leacutequipe HP Fortify on Demand a rassembleacute les reacutesultats de plus de 70 applications mobiles agrave la recherche de failles de seacutecuriteacute Ce jeu deacutechantillons concernait plus de 50 organisations uniques et de nombreux secteurs au niveau local et international Il peut donc ecirctre consideacutereacute comme une repreacutesentation relativement preacutecise dune application mobile moyenne Les reacutesultats montrent que les vulneacuterabiliteacutes qui compromettent la seacutecuriteacute des applications mobiles sont les mecircmes que pour les applications classiques Ils montrent eacutegalement quun problegraveme surtout se distingue des autres Dans le paysage informatique actuel la fuite dinformation est un problegraveme particuliegraverement reacutepandu et neacutefaste La demande croissante dinformations des travailleurs mobiles allieacutee aux services de cloud de plus en plus omnipreacutesents et agrave une hausse des appareils grand public non geacutereacutes sur le reacuteseau dentreprise repreacutesente un deacutefi notable pour de nombreuses organisations
Fuite de donneacutees sensibles sur des canaux non seacutecuriseacutesLa fuite de donneacutees est un problegraveme de longue date pour les applications Web Si elle peut paraicirctre un problegraveme dampleur modeacutereacutee elle implique souvent une information en apparence inoffensive qui permet agrave un attaquant de renforcer sa strateacutegie dattaque pour mener une attaque plus dangereuse encore La mecircme chose vaut pour les applications mobiles Plus des trois quarts (77 ) des applications mobiles dans notre eacutetude eacutetaient vulneacuterables et en proie agrave des fuites dinformations Nous avons deacutecouvert que les donneacutees personnelles dun utilisateur eacutetaient souvent transmises via des protocoles reacuteseau non crypteacutes comme le protocole HTTP Il sagissait pour la plupart dinformations simples comme des noms des adresses et des numeacuteros de teacuteleacutephone Cependant dans notre jeu deacutechantillons ces donneacutees comprenaient eacutegalement lemplacement actuel de lutilisateur ainsi que lidentifiant unique de lappareil (eacutegalement appeleacute UDID)
Livre blanc | Rapport HP 2012 sur les cyber-risques
11 voiceswashingtonpostcomposttech201011smartphone_sales_to_pass_compuhtml
18
LUDID est primordial pour un appareil car il peut servir agrave des attaques extrecircmement cibleacutees contre des utilisateurs en particulier Si les donneacutees de geacuteolocalisation lidentifiant unique de lappareil et les donneacutees personnelles eacutetaient intercepteacutees sur une application vulneacuterable ce que cela implique dans la reacutealiteacute est eacutetonnant Un attaquant pourrait localiser une cible dans le monde reacuteel et les possibiliteacutes qui souvriraient alors agrave lui seraient illimiteacutees Cest la porte ouverte agrave un sceacutenario effroyable que la plupart des gens ne soupccedilonnent pas Bien entendu lexploitation dapplications simples et banales peut eacutegalement avoir lieu Imaginez le sceacutenario suivant Si lapplication transmet lUDID le nom complet ladresse et ainsi de suite agrave un service Web vulneacuterable et que ce dernier est la cible potentielle dune attaque par injection SQL on conccediloit aiseacutement que chaque bit de donneacutees sur cet appareil mobile soit accessible Il est eacutetonnant de voir jusquougrave une fuite dinformation peut mener un attaquant si les circonstances jouent en sa faveur et que tout alors est du domaine du probable voire du possible
Les donneacutees transmises sur des canaux non seacutecuriseacutes ne se limitaient pas aux donneacutees personnelles Les donneacutees applicatives elles non plus neacutetaient pas proteacutegeacutees Nous avons deacutecouvert que des informations de connexion des informations didentification utilisateur des ID de session des jetons et des donneacutees dentreprise sensibles eacutetaient transmises via des protocoles reacuteseau non crypteacutes agrave linstar du protocole HTTP Imaginez les conseacutequences pour une application bancaire vulneacuterable Si des informations didentification des identificateurs de session des informations didentification personnelle ou dautres donneacutees strateacutegiques sont transmises vers un serveur principal la transmission se doit decirctre seacutecuriseacutee sans quoi les donneacutees peuvent ecirctre intercepteacutees par un attaquant au moyen doutils ou dapplications de capture de paquets reacuteseau courants (par exemple DroidSheep)
Les recherches ont montreacute que 375 des applications pouvaient ecirctre la cible dune vulneacuterabiliteacute impliquant une forme quelconque dautorisation notamment des mots de passe en texte clair des mots de passe codeacutes en dur et des mots de passe inteacutegreacutes agrave la reacuteponse Ce pourcentage bien plus eacuteleveacute que pour les applications dites traditionnelles prouve eacutegalement que les deacuteveloppeurs dapplications mobiles doivent travailler davantage pour proteacuteger leurs donneacutees
Dautres vulneacuterabiliteacutes deacutetecteacutees en nombres importants incluaient les attaques de type stack-smashing Plus de la moitieacute des vulneacuterabiliteacutes (5545 ) noffraient aucune protection adeacutequate contre ce type dattaque Si cet oubli nentraicircne pas lexeacutecution du code il peut quand mecircme geacuteneacuterer une panne injustifieacutee de lapplication vulneacuterable
Qui plus est 135 des applications eacutetaient vulneacuterables agrave des attaques XSS Ceci fut une reacuteelle surprise puisque tous les autres ensembles dapplications que nous avons testeacutes mobiles et traditionnels reacuteveacutelaient des nombres de vulneacuterabiliteacutes XSS plus eacuteleveacutes Un examen plus attentif de ces nombres a montreacute que les applications vulneacuterables eacutetaient des applications destineacutees autant agrave la gestion de la finance que des bases de donneacutees En dautres termes le faible pourcentage ne reacuteduisait pas limpact potentiel
Les accegraves non autoriseacutes concernent quasiment la moitieacute des applications mobilesNous avons chercheacute dautres donneacutees en examinant les reacutesultats obtenus par notre partenaire Security Compass lors de ses tests sur dautres applications A de nombreux eacutegards ils confirment les chiffres eacutevoqueacutes preacuteceacutedemment
48 des applications eacutetaient la proie de vulneacuterabiliteacutes daccegraves non autoriseacute Elles valident les vulneacuterabiliteacutes dauthentification (375 ) que nous avons eacutevoqueacutees dans notre eacutechantillon plus haut Les chiffres montrent que les deacuteveloppeurs dapplications mobiles doivent autant se concentrer sur la preacutevention des accegraves non autoriseacutes sur les applications mobiles que sur les moyens de faciliter laccegraves pour les utilisateurs leacutegitimes
37 des applications posaient des problegravemes de divulgation dinformations sensibles 26 avaient recours agrave des pratiques de connexion meacutediocres et 19 affichaient des messages derreur de mauvaise qualiteacute qui reacuteveacutelaient des informations susceptibles decirctre exploiteacutees par des attaquants Ceci corrobore nos donneacutees preacuteceacutedentes car nous avons vu agrave quel point les fuites dinformations eacutetaient importantes Lors du codage des applications mobiles les deacuteveloppeurs ne tiennent pas compte de ce quimplique la seacutecuriteacute pour le stockage la transmission et laccegraves des donneacutees
33 des applications eacutetaient vulneacuterables agrave des attaques XSS Des tests reacutepeacutetitifs montrent que les attaques par script intersite (XSS) sont autant une menace pour les applications mobiles que pour les applications stationnaires Ces reacutesultats sont en phase avec ce que nous avons constateacute lors des tests des applications traditionnelles
Livre blanc | Rapport HP 2012 sur les cyber-risques
19
26 des applications employaient une meacutethode de cryptage inadapteacutee Le cryptage sur des ordinateurs dentreprise est aujourdhui une pratique standard pour la plupart des entreprises du classement Fortune 500 Il y a dix ans la presse regorgeait dhistoires de donneacutees deacuterobeacutees sur des ordinateurs perdus Les risques dans ce domaine se sont reacuteduits dune part gracircce aux mesures leacutegislatives mises en places et dautre part parce que les entreprises ont eu loccasion de lapprendre agrave leurs deacutepens Pourtant ces mecircmes pratiques standard ne sont pas appliqueacutees aux appareils mobiles et agrave legravere du BYOD (Bring your own device) cela peut saveacuterer dangereux
Les dix principales vulneacuterabiliteacutes des applications mobiles Le partenaire dHP Security Compass a eacutegalement analyseacute les vulneacuterabiliteacutes des applications mobiles et les a eacutetiqueteacutees par type (voir la Figure 22) Ainsi donc agrave quoi les applications moyennes sont-elles le plus vulneacuterables par ordre de preacutevalence des vulneacuterabiliteacutes A quels types dattaques par incident les applications mobiles sont-elles le plus vulneacuterables
Sur les dix principales vulneacuterabiliteacutes constateacutees en matiegravere dapplications mobiles XSS affichait le deuxiegraveme taux le plus eacuteleveacute et repreacutesentait 15 de toutes les vulneacuterabiliteacutes deacutecouvertes dans ce jeu deacutechantillons Les chiffres confirment eacutegalement que lorsquelles sont consigneacutees par ordre doccurrence les vulneacuterabiliteacutes de fuite dinformation et daccegraves non autoriseacuteauthentification indiquent aux deacuteveloppeurs dapplications mobiles comment ils peuvent mieux seacutecuriser leurs applications en concentrant davantage leurs efforts sur ces domaines
Rechercheentechnologiemobile lacommunicationenchampproche (NFC)pourlesapplicationsmobilesdepaiementNous avons constateacute que les vulneacuterabiliteacutes lieacutees aux applications mobiles eacutetaient en hausse constante mais il est indispensable eacutegalement danticiper et de connaicirctre les nouvelles vulneacuterabiliteacutes qui verront le jour Les nouvelles technologies introduisent en permanence des failles de seacutecuriteacute possibles La plate-forme mobile ne fait pas exception Lune de ces nouvelles technologies est la communication en champ proche (NFC) La communication en champ proche (NFC) deacutesigne une meacutethode de communication de donneacutees sans contact entre des appareils proches les uns des autres Elle a deacutejagrave eacuteteacute adopteacutee en Europe et en Asie et fait depuis peu des adeptes en Ameacuterique du Nord Le Forum NFC (consortium regroupant plusieurs membres tels que Sony Nokia et Philips) applique des normes strictes pour les fabricants dappareils compatibles NFC Les eacutediteurs dapplications disposent ainsi dune architecture seacutecuriseacutee et dune infrastructure compatible qui leur permettent dexploiter cette technologie pour des applications de paiement mobiles et le partage de donneacutees (par exemple leacutechange de devises entre homologues)
Il existe actuellement plusieurs smartphones compatibles NFC Cest le cas du Googletrade Nexus 5 du Samsung Galaxy S II et des BlackBerry Bold 9900 et 9930 Plusieurs socieacuteteacutes exploitent aujourdhui cette technologie
bull Google Wallet conteneur seacutecuriseacute pour les informations de carte de creacutedit qui facilite les transactions NFC
bull MasterCard PayPass service de paiement sans contact (actuellement pris en charge dans Google Wallet)
bull Visa payWave service de paiement sans contact
bull PayPal meacutethode bump (application Bump) pour le transfert dargent ou la reacutealisation de paiements entre utilisateurs
bull Apple iPhone prise en charge de la NFC attendue dans une prochaine version (non confirmeacutee)12
Problegravemes de seacutecuriteacutePlusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (donneacutees de carte de creacutedit ou numeacuteros de comptes) sont transmises via un canal NFC sur un appareil mobile Voici des exemples de cas reacuteels constateacutes reacutecemment dans le domaine de la seacutecuriteacute
Cas 1La technologie NFC est employeacutee dans le cadre de solutions de paiement grand public avec deux modes de mise en œuvre distincts
bull Puce NFC dans des cartes de creacutedit grand public telles que MasterCard PayPass et Visa payWave
bull NFC utiliseacutee dans des solutions de portefeuille mobile
Livre blanc | Rapport HP 2012 sur les cyber-risques
12 Il existe actuellement des eacutediteurs agrave linstar de DeviceFidelity qui proposent des composants tiers qui reproduisent la prise en charge de la communication en champ proche (NFC) pour les appareils iPhone
Figure 22Preacutevalence des dix principales vulneacuterabiliteacutes (en pourcentage)
Accegraves non autoriseacute 18
Scripts intersites 15
Divulgation dinformations sensibles 12
Traitementnon seacutecuriseacute des sessions 11
Vulneacuterabiliteacutes du traitement des cookies 9
Meacutethode de cryptage inadapteacutee 9
Pratiques de connexion meacutediocres 8
Saisie semi-automatique sur des formulaires agrave donneacutees sensibles 6
Informations didentificationen texte clair 6
Messages derreur de mauvaise qualiteacute 6
20
Le deacutefi du premier mode de mise en œuvre est double le premier est que pour la plupart des eacutemetteurs de cartes de creacutedit linstallation de la puce NFC est obligatoire le deuxiegraveme est que par deacutefinition la puce NFC est toujours activeacutee Par exemple si la carte de creacutedit dun utilisateur est dans le champ dun lecteur NFS actif comme celui que lon rencontre dans un terminal de point de vente la carte de creacutedit transmet automatiquement le numeacutero de carte de creacutedit de lutilisateur au lecteur NFS de reacuteception A preacutesent imaginez le sceacutenario pour les appareils mobiles les plus modernes eacutequipeacutes de puces NFS inteacutegreacutees Dans le monde dAndroid il existe des applications conccedilues pour activer la puce NFC de lappareil mobile pour reproduire le comportement du lecteur NFS dun terminal de point de vente A laide dun appareil mobile ou dune application de ce genre un attaquant peut potentiellement activer la puce NFC de son appareil Android croiser des gens dans un endroit peupleacute et tenter danalyser leurs cartes de creacutedit pour recueillir leur numeacutero de compte permanent (PAN)
Les solutions de portefeuille mobile NFC sont souvent vulneacuterables agrave ce mecircme type dattaque si la solution concerneacutee ne deacutesactive pas ou ne retire pas la puce NFC une fois lexeacutecution dune transaction termineacutee Heureusement cette vulneacuterabiliteacute peut facilement ecirctre reacutesolue par des deacuteveloppeurs de solutions de portefeuille mobile sils retirent la puce NFC apregraves usage
Cas 2Plusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (par exemple des donneacutees de carte de creacutedit ou des numeacuteros de comptes) sont transmises via un canal NFC
bull Ecoute tentative dintercepter la communication des donneacutees de transmission NFC (par exemple proxy NFC)
bull Manipulation des donneacutees tentative de manipuler la communication des donneacutees de transmission NFC (par exemple pour identifier des reacutesultats erroneacutes)
bull Attaques par interception tentative dexploitation des modes actifpassif de lappareil pour envoyer et recevoir la communication des donneacutees de transmission NFC
bull Vol tentative dacceacuteder sans autorisation agrave lapplication de paiement mobile (comme si lappareil a eacuteteacute voleacute ou perdu) et examen des fichiers stockeacutes sur lappareil agrave la recherche dinformations sensibles
Cas 3Au cœur mecircme de la fonction NFC se trouve un composant appeleacute eacuteleacutement seacutecuriseacute Deux types de mise en œuvre de cet eacuteleacutement sont possibles (1) les eacuteleacutements incorporeacutes dans lappareil et (2) les eacuteleacutements chargeacutes dans une carte SIM Dans les cas ougrave leacuteleacutement seacutecuriseacute est chargeacute dans une carte SIM il est possible que la carte SIM soit retireacutee et eacutechangeacutee sous les yeux dun utilisateur creacutedule Cette situation aboutit agrave des sceacutenarios dattaque semblables aux suivants
bull Echange de carte SIM avec un autre appareil (du mecircme type) pour tenter dacceacuteder au contenu de leacuteleacutement seacutecuriseacute Dans certains cas lutilisation dun appareil de type diffeacuterent peut offrir un accegraves suppleacutementaire aux informations de leacuteleacutement seacutecuriseacute sil nest pas mis en œuvre de maniegravere seacutecuriseacutee Par exemple il existe un risque de contournement de lapplication de paiement ou de la protection du mot de passe au niveau du teacuteleacutephone en cas deacutechange de carte SIM dans un teacuteleacutephone eacutequivalent avec lapplication de paiement et sans mot de passe
bull Identification des donneacutees contenant des informations sensibles dans leacuteleacutement seacutecuriseacute situeacute dans la carte SIM apregraves une opeacuteration de restauration sur un autre appareil Il peut sagir aussi dattaques visant agrave cloner ou copier la carte SIM au moyen dun mateacuteriel externe
Notez que la difficulteacute daccegraves agrave leacuteleacutement seacutecuriseacute offre une certaine garantie sur lenvironnement de seacutecuriteacute de leacuteleacutement seacutecuriseacute sur lappareil cible
Cas 4Dans certains cas il est possible que limpleacutementation de lapplet VMPA dans leacuteleacutement seacutecuriseacute nait pas tenu compte de tous les eacuteleacutements de seacutecuriteacute Il peut sagir par exemple dune signature et dun controcircle daccegraves insuffisants de lapplet VMPA qui permettent agrave une application quelconque de deacutemarrer et dy soumettre des requecirctes Cette situation peut offrir agrave une application non autoriseacutee la possibiliteacute dappeler lapplet VMPA via la commande APDU (JSR 177) Une requecircte bien formuleacutee peut potentiellement permettre dactiver la radio NFC et de transmettre des informations de carte de creacutedit
Livre blanc | Rapport HP 2012 sur les cyber-risques
21
Bien que des informations et une analyse exactes peuvent ecirctre obtenues agrave partir dun appareil dinvestigation (si un accegraves agrave ce type de mateacuteriel est disponible) il nexiste pour lheure aucun outil autorisant laccegraves agrave des informations de leacuteleacutement seacutecuriseacute Leacuteleacutement seacutecuriseacute comme son nom lindique fournit des meacutecanismes de seacutecuriteacute preacutecis (par exemple controcircle daccegraves cryptage et reacutepartition) qui empecircchent lextraction dinformations sensibles eacuteventuelles Cest pourquoi un accegraves dinvestigation explicite agrave leacuteleacutement seacutecuriseacute nest actuellement pas possible mecircme avec un outil dinvestigation distribueacute par les leaders du marcheacute
RecommandationsIl existe des mesures que les organisations peuvent prendre pour reacuteduire les risques que posent les failles de seacutecuriteacute des applications mobiles Avant tout les applications doivent ecirctre manuellement controcircleacutees et eacutevalueacutees avant le lancement des produits afin de deacuteterminer la preacutesence de vulneacuterabiliteacutes dinjection ou de vulneacuterabiliteacutes de fuite dinformation Le code doit ecirctre analyseacute via une analyse statique au moment de le deacutevelopper pour y rechercher des failles Comme pour toutes les applications il est moins coucircteux de geacuterer des failles de seacutecuriteacute lors de la phase de deacuteveloppement quau moment de leur diffusion
Les normes de transmission seacutecuriseacutee des donneacutees doivent ecirctre incluses dans le cahier des charges de toutes les applications surtout si ces derniegraveres sont eacutelaboreacutees par des deacuteveloppeurs tiers Il en va de mecircme pour le stockage seacutecuriseacute des donneacutees et le journal des applications Des exigences raisonnables en matiegravere daffichage des communications entre applications et dautorisations dans ces derniegraveres doivent ecirctre rigoureusement deacutefinies Tous ces aspects doivent ecirctre geacutereacutes lors de la phase de deacutefinition des exigences et testeacutes lors du deacuteveloppement Au moment dexeacutecuter les tests de seacutecuriteacute et lanalyse sur les applications mobiles les services Web cocircteacute serveur et les API avec lesquels les clients mobiles communiquent doivent ecirctre pris dans leur contexte et analyseacutes pour y deacuteceler des vulneacuterabiliteacutes Des failles agrave haut risque peuvent passer agrave la trappe si ces deux eacuteleacutements sont testeacutes et compareacutes hors de leur contexte
Conclusions
Lobjectif de ce rapport est de fournir aux organisations toutes les informations de seacutecuriteacute qui les aideront agrave mieux comprendre comment deacuteployer les ressources limiteacutees dont elles disposent pour minimiser au maximum leurs risques en matiegravere de seacutecuriteacute A cet effet les tendances et les enseignements agrave tirer de lanneacutee 2012 sont nombreux et doivent ecirctre pris en compte pour la ou mecircme les anneacutees qui viennent
Militarisation des vulneacuterabiliteacutes Les attaquants ne cesseront jamais de militariser les vulneacuterabiliteacutes pour mener agrave bien leurs activiteacutes malveillantes Ceux qui eacutelaborent les kits dexploitation continueront de se focaliser sur des vulneacuterabiliteacutes dans les logiciels les plus reacutepandus ciblant le plus souvent des navigateurs et des plug-ins de navigateur tels que Oracle Java et Adobereg Flash De mecircme le nombre dattaques meneacutees publiquement agrave lencontre de technologies et dentreprises speacutecifiques continuera daugmenter Des organisations criminelles des Etats-nations et des hacktivistes se serviront toujours des cyber-attaques comme moyen duniformiser les regravegles du jeu contre des adversaires riches ou puissants mecircme si les reacuteelles motivations derriegravere ces attaques resteront souvent difficiles agrave deacuteterminer
Vulneacuterabiliteacutes des technologies mobilesLadoption croissante des technologies mobiles et leur utilisation au sein de lentreprise engendreront toujours des risques consideacuterables Nombre de gens lont deacutejagrave constateacute les programmes malveillants deacuteployeacutes sur les marcheacutes qui opposent Android et Apple poursuivent leur croissance Laggravation de ce problegraveme est essentiellement lieacutee au fait que les entreprises ne disposent pas du mecircme type de controcircle sur ces appareils que sur des PC Au moment ougrave le BYOD (Bring your own device) devient la norme et que ladoption des appareils mobiles prend de lampleur on peut sattendre agrave une hausse proportionnelle du nombre de failles chez les applications mobiles tendance qui devrait se maintenir dans un avenir preacutevisible
Livre blanc | Rapport HP 2012 sur les cyber-risques
22
DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables
Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications
Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables
Pourensavoirplusconsultezlapage Web hpcomgoSIRM
Livre blanc | Rapport HP 2012 sur les cyber-risques
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013
5
Laffichage par anneacutee des donneacutees OSVDB montre clairement que les vulneacuterabiliteacutes deacutecouvertes nont cesseacute dosciller depuis le niveau record de 2006 et quaucune tendance agrave la hausse ou agrave la baisse ne sest deacutegageacutee dans les anneacutees qui ont suivi Le nombre total de vulneacuterabiliteacutes apparues au cours dune anneacutee preacutecise ne mesure pas neacutecessairement la seacutecuriteacute globale du secteur Il indique plutocirct comment les changements dans la maniegravere de deacutetecter divulguer et exploiter les vulneacuterabiliteacutes peuvent grandement varier dune anneacutee sur lautre La section suivante souligne comment ces changements du marcheacute des vulneacuterabiliteacutes expliquent en partie ces variations
Des marcheacutes qui ne cessent deacutevoluer et une complexiteacute accrue qui nuit agrave la deacutetection et la signalisation des vulneacuterabiliteacutesMecircme si le nombre des vulneacuterabiliteacutes signaleacutees reste largement infeacuterieur au niveau record observeacute en 2006 un examen des facteurs ayant une incidence sur la deacutetection et la divulgation des failles est primordial Les informations de vulneacuterabiliteacute peuvent ecirctre distribueacutees via diffeacuterents canaux notamment des programmes communautaires comme la base de donneacutees OSVDB ou le programme HP ZDI des consultants priveacutes en seacutecuriteacute les programmes Bug Bounty (recherche de vulneacuterabiliteacutes reacutecompenseacutee) des fabricants et le marcheacute noir clandestin
Si la base de donneacutees OSVDB offre un excellent aperccedilu du paysage actuel des vulneacuterabiliteacutes elle permet seulement de recenser les vulneacuterabiliteacutes qui sont publiquement divulgueacutees ou directement transmises agrave lorganisation De plus en plus les agences de conseil speacutecialiseacutees en seacutecuriteacute deacutecouvrent et achegravetent des vulneacuterabiliteacutes qui sont ensuite directement divulgueacutees agrave leurs groupes priveacutes de clients Cette pratique ignore un grand nombre de vulneacuterabiliteacutes qui ne sont pas comptabiliseacutes dans les reacutesultats publics
Un autre eacuteleacutement qui complique le deacutefi que posent les vulneacuterabiliteacutes est la complexiteacute des logiciels actuels La seacutecuriteacute est devenue est une prioriteacute croissante et pour lutter contre les attaques incessantes de personnes malveillantes les organisations ont doteacute leurs logiciels de meacutecanismes de seacutecuriteacute et ajouteacute des fonctionnaliteacutes pour contrecarrer les initiatives de deacutecouverte et dexploitation non autoriseacutees de leurs vulneacuterabiliteacutes Ces mesures nont pas seulement contribueacute agrave combler des lacunes elles ont eacutegalement compliqueacute davantage la deacutetection des vulneacuterabiliteacutes qui demeuraient
Le changement dorientation des marcheacutes publics et priveacutes des vulneacuterabiliteacutes associeacute agrave la complexiteacute croissante quimplique lidentification des vulneacuterabiliteacutes a fait grimper la valeur des vulneacuterabiliteacutes agrave fort potentiel dexploitation (celles avec une note CVSS entre 8 et 10) Cette augmentation amegravene deux conclusions
bull Les chercheurs en seacutecuriteacute doivent deacutevelopper des compeacutetences eacutetendues dans des systegravemes speacutecifiques pour rester efficaces
bull Les chercheurs beacuteneacuteficient dun meilleur retour sur investissement pour les vulneacuterabiliteacutes graves qui atteignent des prix plus eacuteleveacutes
Cependant avec la hausse theacuteorique du nombre total de vulneacuterabiliteacutes hautement exploitables signaleacutee par lOSVDB en 2012 le pourcentage du nombre total de vulneacuterabiliteacutes signaleacutees avec une note CVSS eacuteleveacutee a diminueacute pour passer de 23 en 2011 agrave 20 en 2012 (voir la Figure 2) Notez que lOSVDB nexige pas de note CVSS pour signaler des vulneacuterabiliteacutes Les vulneacuterabiliteacutes sans note CVSS ont la valeur Zeacutero dans la figure
Figure 2 Panorama de la graviteacute des vulneacuterabiliteacutes dapregraves les donneacutees de lOSVDB (2000 agrave 2012)
0
2 000
4 000
6 000
8 000
10 000
12 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Zeacutero 1 2 3 4 5 6 7 8 9 10
Livre blanc | Rapport HP 2012 sur les cyber-risques
6
Un eacuteleacutement qui contraste avec cette hausse modeste du nombre de vulneacuterabiliteacutes hautement exploitables signaleacutees en 2012 est la tendance globale des donneacutees de lOSVDB puisque ces derniegraveres montrent que le pourcentage pour ce type de vulneacuterabiliteacute a augmenteacute de maniegravere consideacuterable et homogegravene au cours des dix derniegraveres anneacutees (voir la Figure 3)
Figure 3 Graviteacute des vulneacuterabiliteacutes OSVDB sur dix ans
Graviteacute moyennement eacuteleveacutee (note CVSS 5 agrave 7) Graviteacute la plus eacuteleveacutee (note CVSS 8 agrave 10)Graviteacute la moins eacuteleveacutee (note CVSS 1 agrave 4)
8
2002 2007 2012
17
75
14
22 64
20
36
44
Entre 2002 et 2007 les vulneacuterabiliteacutes moyennement graves (note CVSS entre 5 et 7) formaient la majoriteacute des deacutecouvertes Cette peacuteriode comporte une hausse importante du nombre total de vulneacuterabiliteacutes deacuteclareacutees agrave un moment ougrave les outils de test agrave donneacutees aleacuteatoires (fuzzing) devenaient la norme et les chercheurs commenccedilaient agrave identifier les vulneacuterabiliteacutes les plus reacutepandues et simples agrave deacutetecter gracircce agrave lautomatisation Depuis ce nombre a nettement baisseacute notamment gracircce aux organisations de deacuteveloppement qui par le biais de lautomatisation ont pu identifier et reacutesoudre ces vulneacuterabiliteacutes avant que les chercheurs ne les trouvent
Par quoi sexplique alors le pourcentage en deacutecrue des vulneacuterabiliteacutes agrave fort potentiel dexploitation observeacute en 2012 Les donneacutees commerciales laissent agrave penser que du fait des compeacutetences et du temps requis pour deacutevoiler et deacutemontrer le potentiel dexploitation des vulneacuterabiliteacutes les plus graves un nombre sans cesse croissant de ce type de vulneacuterabiliteacute est vendu sur des marcheacutes commerciaux priveacutes (gris) ou clandestins (noirs) ce qui les exclut (du moins provisoirement) de tout recensement public comme celui de lOSVDB
Lesapplications Webposenttoujoursdesrisquesimportantspourles entreprisesLa Figure 4 met en eacutevidence les six vulneacuterabiliteacutes les plus reacutepandues signaleacutees dans lOSVDB deacutepassement de meacutemoire tampon deacuteni de service inclusion de fichier agrave distance injection SQL scripts intersites et falsification de requecircte intersites (CSRF) Toutes sont potentiellement exploitables agrave distance
Figure 4 Les vulneacuterabiliteacutes les plus courantes dans lOSVDB preacutesenteacutees par cateacutegories (2000 agrave 2012)
0
600
1 200
1 800
2 400
3 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Deacutepassement de meacutemoire tampon
Deacuteni de service
Inclusions de fichiers agrave distance
Injection SQL
Scripts intersites
Falsification de requecirctes intersites
Sur ces six cateacutegories de vulneacuterabiliteacute quatre (linjection SQL les scripts intersites la falsification de requecircte intersites (CSRF) et les inclusions de fichiers agrave distance) ont principalement ou exclusivement un impact sur les applications Web et repreacutesentent 40 du volume total de vulneacuterabiliteacutes deacutecouvertes en 2012 selon lOSVDB
Si le nombre de vulneacuterabiliteacutes Web a atteint un niveau record en 2006 il a eacutevolueacute depuis et de maniegravere similaire au nombre global de vulneacuterabiliteacutes (voir la Figure 5)
Livre blanc | Rapport HP 2012 sur les cyber-risques
7
Figure 5 Vulneacuterabiliteacutes des applications Web et des applications non Web
0
2 000
4 000
6 000
8 000
10 000
12 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Vulneacuterabiliteacutes des applications Web Vulneacuterabiliteacutes des applications non Web
On peut en conclure que si les vulneacuterabiliteacutes des applications non connecteacutees au Web repreacutesentent toujours la majoriteacute des vulneacuterabiliteacutes divulgueacutees quelques cateacutegories de vulneacuterabiliteacutes des applications Web introduisent encore des risques techniques consideacuterables pour les organisations
LamaturiteacutedunetechnologienedeacutefinitpassonprofildevulneacuterabiliteacuteLun des changements majeurs de paradigme technique au cours de la derniegravere deacutecennie a eacuteteacute ladoption massive dappareils mobiles capables dexeacutecuter des applications personnaliseacutees Au cours des cinq derniegraveres anneacutees seulement les donneacutees OSVDB ont afficheacute une croissance de 787 du nombre de vulneacuterabiliteacutes deacutecouvertes dans le cas des technologies mobiles (voir la Figure 6) La derniegravere anneacutee agrave elle seule montre une augmentation de 68 avec 158 vulneacuterabiliteacutes deacutecouvertes en 2011 et 266 en 2012
Figure 6 Vulneacuterabiliteacutes deacutecouvertes pour les technologies mobiles et eacutevalueacutees par lOSVDB entre 2008 et 2012
0
50
100
150
200
250
300
2008 2009 2010 2011 2012
Par comparaison les systegravemes de controcircle et de collecte de donneacutees (SCADA) qui controcirclent les processus industriels automatiseacutes notamment dans les domaines de la fabrication la production deacutelectriciteacute le secteur minier et le traitement des eaux sappuient sur des technologies beaucoup plus abouties Ces systegravemes qui opeacuteraient historiquement sur des reacuteseaux distincts avec des protocoles proprieacutetaires ont ensuite entameacute une migration vers des reacuteseaux standard et mecircme Internet dans le but de simplifier la gestion des ressources la facturation et les aspects opeacuterationnels A mesure que ces systegravemes ont quitteacute leurs reacuteseaux isoleacutes distincts des problegravemes de seacutecuriteacute autrefois masqueacutes par une surface dattaque reacuteduite ont commenceacute agrave se manifester
Livre blanc | Rapport HP 2012 sur les cyber-risques
8
Dapregraves les donneacutees de lOSVDB 76 vulneacuterabiliteacutes seulement ont eacuteteacute deacutetecteacutees dans les systegravemes SCADA entre 2008 et 2010 En revanche apregraves la deacutecouverte en 2010 du ver Stuxnet dans une usine denrichissement duranium iranienne lattention sest focaliseacutee sur la seacutecuriteacute des systegravemes SCADA En 2011 164 vulneacuterabiliteacutes ont eacuteteacute recenseacutees dans les systegravemes SCADA et ce nombre a atteint 191 en 2012 soit une augmentation de 768 par rapport aux chiffres de 2008 (voir la Figure 7)
Figure 7 Vulneacuterabiliteacutes des systegravemes SCADA deacutecouvertes et eacutevalueacutees par lOSVDB entre 2008 et 2012
0
50
100
150
200
250
2008 2009 2010 2011 2012
ProgrammeZero Day Initiative coupdœilsur 2012Gracircce agrave la position de leader du ZDI en qualiteacute de programme dacquisition des vulneacuterabiliteacutes les chercheurs de leacutequipe ont maintes fois eu loccasion danalyser certaines des vulneacuterabiliteacutes les plus inteacuteressantes et les plus deacutebattues qui sont survenues au cours des douze derniers mois Les cas dignes dinteacuterecirct suivants observeacutes en 2012 illustrent le croisement des marcheacutes blanc et noir
Au deacutebut de lanneacutee 2012 une vulneacuterabiliteacute des services Bureau agrave distance Microsoftreg (ZDI-12-044 MS12-020 et CVE-2012-0002) a fait lobjet de toutes les attentions
bull Le ZDI a signaleacute cette faille speacutecifique agrave Microsoft en aoucirct 2011
bull Aucune attaque exteacuterieure connue ne fut signaleacutee mais consciente de son pouvoir dattraction aupregraves des attaquants la socieacuteteacute Microsoft sattendait deacutejagrave agrave des exploitations imminentes pour mars 2012
bull Il eacutetait possible dacceacuteder agrave cette faille sur le reacuteseau avant toute authentification requise Elle se manifestait deacutejagrave lors de la gestion des erreurs au moment du chargement des eacuteleacutements dans un tableau
Un mois plus tard Samba publia un correctif tregraves attendu fondeacute sur une faille identifieacutee par un chercheur du ZDI (TPTI-12-04 CVE-2012-1182)
bull Le ZDI signala cette faille agrave Samba en septembre 2011
bull Aucune attaque exteacuterieure connue ne fut signaleacutee mais la vulneacuterabiliteacute incrimineacutee comptait parmi les vulneacuterabiliteacutes les plus graves pour un programme et Samba traita sans attendre le problegraveme
bull Cette faille nexigeait aucune connexion authentifieacutee et aboutissait agrave une meacutemoire corrompue quun attaquant pouvait librement exploiter pour exeacutecuter du code agrave distance
La fin de lanneacutee 2012 fut une peacuteriode dactiviteacute intense pour les attaques de type zero-day qui toucha autant Oracle (CVE-2012-0422 CVE-2012-3174) que Microsoft (MS13-008 CVE-2012-4792) Le ZDI eacutetait aux premiegraveres loges et signala une vulneacuterabiliteacute importante de Java lieacutee agrave une faille zero-day
bull Le ZDI signala cette faille Java agrave Oracle en deacutecembre 2012
bull Cette faille eacutetait exploiteacutee au grand jour
bull Elle permettait agrave une applet malveillante dexeacutecuter un code fourni par un attaquant et de le faire agrave distance dans le contexte de lutilisateur actuel
Ces cas ne sont pas les seuls cas geacutereacutes par le ZDI en 2012 mais ils montrent bien le croisement des marcheacutes noir et blanc dans cette chasse aux vulneacuterabiliteacutes Une chose est sucircre nos chercheurs sont engageacutes dans une course contre la montre visant agrave identifier et divulguer de maniegravere responsable les vulneacuterabiliteacutes des technologies logicielles les plus reacutepandues
Livre blanc | Rapport HP 2012 sur les cyber-risques
9
Vulneacuterabiliteacutesdesapplications Web
Pour dresser un tableau plus complet des vulneacuterabiliteacutes actuelles leacutequipe HP Fortify on Demand sest reacuteunie et a analyseacute les reacutesultats de milliers deacutevaluations pour savoir agrave quoi ressemble la seacutecuriteacute des applications Web de linteacuterieur Pour cela elle a proceacutedeacute agrave des examens de code et des tests de peacuteneacutetration Un examen minutieux des reacutesultats des analyses statiques (recherche de vulneacuterabiliteacutes dans le code source sans exeacutecution de ce dernier) et dynamiques (tests de fonctionnement du logiciel en qualiteacute dattaquant sans accegraves au code mecircme) constitue une base solide pour eacutetablir un reacuteel eacutetat des lieux en matiegravere de risques pour les applications Web
Les jeux deacutechantillons utiliseacutes pour cette analyse comprenaient 200 applications choisies au hasard pour lanalyse dynamique et 800 applications pour lanalyse statique La Figure 8 montre les cinq principales vulneacuterabiliteacutes deacutecouvertes dans le cadre de lanalyse dynamique en 2012
Figure 8 Cinq principales vulneacuterabiliteacutes deacutecouvertes lors de lanalyse dynamique en 2012 via HP Fortify on Demand
45
26 25
13
9
0
5
10
15
20
25
30
35
40
45
50
Scripts intersites ProtectionTransport
Layer insuffisante
Mauvaiseconfiguration
de seacutecuriteacute
Gestion delauthentification
et des sessiondeacutefaillante
Failles dinjection
Les reacutesultats dynamiques obtenus agrave partir de ce jeu deacutechantillons ainsi que dautres reacutesultats consigneacutes dans ce rapport montrent que les attaques par script intersite constituent toujours une menace importante lors de toute tentative de seacutecurisation des applications Web Si lon tient compte de la premiegravere place quoccupent les attaques par script intersite parmi les types de vulneacuterabiliteacute acquis par le ZDI lanneacutee derniegravere et de lampleur reacuteelle de ces attaques confirmeacutee par des tests reacutepeacuteteacutes les organisations peuvent agrave juste titre les consideacuterer comme une preacuteoccupation majeure en matiegravere de seacutecuriteacute
La Figure 9 deacutecrit le mode opeacuteratoire dune attaque par script intersite classique et comment lexploiter pour deacuterober des informations didentification dauthentification sur des sites strateacutegiques
Livre blanc | Rapport HP 2012 sur les cyber-risques
10
Figure 9 Anatomie dune attaque par script intersite reacutefleacutechie
Site bancaire
Utilisateur creacutedule
Attaquantmalveillant
1 Un attaquant deacutecouvre une faille XSS dans une application Web
3 Lattaquant distribue le lien XSS malveillant via dingeacutenierie sociale agrave des utilisateurs creacutedules
2 Lattaquant creacutee une URL dattaque pour voler des informations sensibles et la deacuteguise afin quelle paraisse leacutegitime
4 Lorsque la victime se connecte JavaScript qui est inteacutegreacute au lien XSS malveillant sexeacutecute et transmet les informations de connexion de la victime agrave lattaquant
La Figure 10 montre les cinq principales vulneacuterabiliteacutes deacutecouvertes dans le cadre de lanalyse statique en 2012 et inclut le pourcentage relatif dapplications toucheacutees par chaque cateacutegorie de vulneacuterabiliteacute
Figure 10 Cinq principales vulneacuterabiliteacutes deacutecouvertes lors de lanalyse statique en 2012 via HP Fortify on Demand
92 88 86
75
61
0
10
20
30
40
50
60
70
80
90
100
Fuites dinformationset gestion des
erreurs inapproprieacutee
Stockagedes donneacutees
cryptographiquesnon seacutecuriseacute
Failles dinjection Reacutefeacuterencedobjet directenon seacutecuriseacutee
Gestion delauthentification et des
session deacutefaillante
Les reacutesultats de lanalyse statique reacutevegravelent que les fuites dinformation les problegravemes de stockage des donneacutees cryptographiques et les failles dinjection sont les vulneacuterabiliteacutes les plus freacutequentes Un eacuteleacutement non citeacute dans cette liste des cinq principales vulneacuterabiliteacutes est que pour 51 des applications il eacutetait question dune attaque par script intersite reacutefleacutechie (voir la Figure 9 ci-avant) Sil ne figure pas dans la liste il reste neacuteanmoins un eacuteleacutement important si on lajoute aux autres reacutesultats de ce rapport
Les reacutesultats de ces jeux deacutechantillons confirment nettement que les applications Web souffrent encore aujourdhui de nombreuses faiblesses pourtant jugeacutees critiques par les diverses normes industrielles en vigueur Les cinq principales cateacutegories de vulneacuterabiliteacute qui dominent les reacutesultats sont souvent celles qui exposent les applications Web agrave des risques importants notamment le vol dinformations lescalade de privilegraveges etc Ces deux jeux deacutechantillons nous amegravenent agrave la conclusion que les organisations ne parviennent toujours pas agrave appliquer des mesures coheacuterentes pour faire face agrave des vulneacuterabiliteacutes omnipreacutesentes comme les scripts intersites et les fuites dinformation
Livre blanc | Rapport HP 2012 sur les cyber-risques
11
Un autre eacuteleacutement agrave retenir est que la vulneacuterabiliteacute la plus employeacutee par des attaquants en relation avec dautres vulneacuterabiliteacutes connues est la fuite dinformation Un eacuteleacutement dinformation preacutecis peut sembler sans inteacuterecirct mais peut pourtant ecirctre le composant cleacute qui permettra agrave un attaquant dimposer une technique pour mener une attaque plus deacutevastatrice encore En somme pour preacuteparer et reacuteussir une attaque des techniques minutieuses de collecte des informations et de reconnaissance sont indispensables
Risquesdesapplications Web eacutetudedecas
ProfildelasocieacuteteacuteGrande entreprise multinationale (plus de 100 000 employeacutes) avec un chiffre daffaires de plus de 82 milliards de dollars pour lexercice fiscal 2012
Cette entreprise dispose dun programme de seacutecuriteacute actif et opeacuterationnel Les reacutesultats montrent les efforts qui sont neacutecessaires pour geacuterer entiegraverement les risques lieacutes agrave la seacutecuriteacute des applications Les reacutesultats qui suivent proviennent de plus de 1 300 eacutevaluations dynamiques uniques meneacutees sur les divers sites de lentreprise Dans legravere de la seacutecuriteacute des applications modernes une vulneacuterabiliteacute est souvent une de trop
Reacutesultats
bull 541 des eacutevaluations ont reacuteveacuteleacute des cookies persistants LAgence europeacuteenne chargeacutee de la seacutecuriteacute des reacuteseaux et de linformation (ENISA) emploie le terme cookies doux-amers pour parler de ces cookies Les cookies persistants augmentent consideacuterablement la probabiliteacute dattaques par relecture en raison de la dureacutee de validiteacute prolongeacutee des cookies La divulgation dinformations sur des ordinateurs publics partageacutes peut eacutegalement produire des cookies persistants Parce que les cookies servent entre autres agrave observer le comportement des utilisateurs il est probable que les avantages potentiels quils preacutesentent pour lentreprise aient quelque peu relayeacute les questions de seacutecuriteacute au second plan
bull Un peu moins de la moitieacute (4832 ) des sites eacutetaient vulneacuterables face agrave une certaine forme dattaque par script intersite
bull Presque un cinquiegraveme (1957 ) des sites contenaient un formulaire de connexion non crypteacute agrave scheacutema mixte ougrave les informations dune page HTTP eacutetaient publieacutees dans une page HTTPS ou inversement
bull 1277 des eacutevaluations eacutetaient vulneacuterables agrave une certaine forme dinjection SQL Le plus intrigant cest que 1097 des eacutevaluations confirmaient les vulneacuterabiliteacutes dinjection SQL agrave laveugle Si lon tient compte du caractegravere particuliegraverement dangereux des injections SQL agrave laveugle et du fait que ces vulneacuterabiliteacutes sont souvent employeacutees pour compromettre un systegraveme ce pourcentage pose de graves problegravemes
bull Un autre cinquiegraveme (197 ) des sites eacutetaient vulneacuterables aux connexions transmises via une connexion non crypteacutee ce qui signifie que le formulaire nutilisait pas le protocole SSL
bull 526 des sites eacutetaient exposeacutes agrave une vulneacuterabiliteacute de lectureinclusion de fichier local Sil eacutetait jugeacute sensible le contenu du fichier pouvait ecirctre utiliseacute pour prendre le controcircle du systegraveme
Des attaques deacutevastatricesOutre des statistiques les organismes chargeacutes de collecter des informations de seacutecuriteacute ont eacutegalement besoin dobservations et dideacutees Dans cette optique la section qui suit propose une liste sommaire des attaques deacutevastatrices que les responsables des tests de peacuteneacutetration chez HP Fortify on Demand ont deacutecouvertes en 2012 Chaque compte a eacuteteacute deacutecouvert moyennant autorisation au cours dopeacuterations approuveacutees meneacutees agrave lencontre de sites de production avec des difficulteacutes techniques allant des plus simples aux plus complexes Le deacutenominateur commun est que toutes les attaques avaient des conseacutequences extrecircmement graves si elles eacutetaient deacutecouvertes par un attaquant malveillant Pour des raisons eacutevidentes les noms des clients nont pas eacuteteacute inclus mais les secteurs eux-mecircmes sont inseacutereacutes dans la liste pour illustrer le danger potentiel et la pertinence des attaques Si ces exemples revecirctent un caractegravere anecdotique par deacutefinition ils profitent de lexpeacuterience et des avis de nos responsables de tests de peacuteneacutetration dune maniegravere que les simples statistiques ne permettent pas Lagrave encore la seacutecuriteacute est plus quune affaire de produits Cest un processus
Attaques par injection et attaques par validation dentreacutee incorrecte Secteurs dactiviteacute peacutetrochimie industrie alimentaire eacutenergie et logicielsTeacuteleacutechargementsdefichiersnonseacutecuriseacutesetconfigurationincorrectedelaseacutecuriteacute Un programme client lourd permettait agrave nimporte quel utilisateur de charger (au moyen de sa fonction de chargement intrinsegraveque) des programmes malveillants sur un serveur Web muni daucune protection contre ce type de programme Environ 30 000 utilisateurs dans le monde entier se servaient de ce programme les risques eacutetaient donc particuliegraverement grands Les fonctions de teacuteleacutechargement de fichiers doivent impeacuterativement faire preuve de meacutefiance agrave leacutegard des types de fichiers acceptables La Figure 11 deacutecrit les conseacutequences de ce sceacutenario
Livre blanc | Rapport HP 2012 sur les cyber-risques
12
Figure 11 Lautorisation de teacuteleacutechargements de fichiers peut avoir des conseacutequences seacutevegraveres
Teacuteleacutechargementsde fichiers
non valideacutes
Aucuneprotectionpar logiciel
anti-programmemalveillant
30 000utilisateurs
sont infecteacutes parle logiciel
malveillant
Injection SQLagravelaveugle les fonctionnaliteacutes daide agrave la recherche (une seacuterie de cases agrave cocher conccedilues pour aider les utilisateurs agrave restreindre leurs critegraveres de recherche) sans validation dentreacutee ont abouti agrave laffichage de 35 bases de donneacutees dID dutilisateur de systegraveme de base de donneacutees et de hachages de mot de passe y compris le compte dadministrateur systegraveme Linjection SQL agrave laveugle peut ecirctre difficile agrave deacuteceler parce quelle geacutenegravere rarement des messages derreur et manifeste un comportement applicatif anormal Les requecirctes parameacutetrables eacutegalement appeleacutees instructions preacutepareacutees empecircchent avec efficaciteacute les attaques par injection SQL si elles ont correctement mises en place5 La Figure 12 deacutecrit cette seacutequence
Instructions SQLentexteclair lors des tests effectueacutes sur une application cliente lourde il a eacuteteacute deacutecouvert que le client exeacutecutait des instructions SQL directement sur le serveur SQL principal avec des autorisations de niveau administrateur sur HTTP Une escalade des privilegraveges utilisateur et la modification des mots de passe furent possibles en soumettant le protocole agrave une ingeacutenierie agrave rebours et en le manipulant (voir la Figure 13)
Inclusiondefichierlocal des techniques de traversement de reacutepertoires (Directory Traversal) et dinclusion de fichier local ont eacuteteacute employeacutees pour afficher le contenu du fichier SAM (Gestionnaire de comptes de seacutecuriteacute) de sauvegarde du serveur Web qui permettait de deacutecoder les mots de passe Au bout de dix minutes il eacutetait possible pour un administrateur local dacceacuteder au systegraveme et de tout compromettre Les routines de validation dentreacutee quelles soient inheacuterentes agrave lapplication ou interviennent au niveau de configuration du serveur Web auraient eacutelimineacute ce vecteur
AttaquesvisantagraveexploiterunemauvaiseconfigurationdeseacutecuriteacuteSecteurs dactiviteacute peacutetrochimie et secteur bancaire internationalImpossibiliteacutederestreindrelaccegravesauxreacutepertoiressensibles dans ce cas le reacutepertoire deacutecouvert eacutetait ldquohttpswwwexamplecompasswordsrdquo Naturellement aucun dossier ldquopasswordsrdquo tout du moins public ne devrait exister Le dossier eacutetait accessible via des navigateurs Web sans aucune authentification et comprenait une liste de reacutepertoires avec des fichiers texte aux noms divers tels que ldquopasswordsprojectrdquo ou mecircme ldquopasswordssystemsrdquo Un simple clic sur un fichier provoquait louverture dun document texte muni dune liste dutilisateurs et de mots de passe au format suivant userpassword Une des listes contenait mecircme ldquosysadminpassword adminpassword etchelliprdquo (voir la Figure 14) Ceci illustre la neacutecessiteacute et limportance de la validation danalyse post-automatique puisque cette vulneacuterabiliteacute qui pose de faibles risques en apparence pouvait aiseacutement passer inaperccedilu aux yeux du client Qui plus est le problegraveme aurait pu ecirctre eacuteviteacute si laccegraves au reacutepertoire avait eacuteteacute restreint comme il le fallait
Leprotocole WebDAVactiveacuteautorisaitlesopeacuterationsdeacutecritureagravedistance Le mode dactivation du protocole WebDAV sur un serveur Web en particulier permettait agrave des utilisateurs dapplications distants de communiquer avec lhocircte et deacutecrire des fichiers dans des reacutepertoires arbitraires Lexploitation de cette vulneacuterabiliteacute permettait de teacuteleacutecharger une porte deacuterobeacutee personnaliseacutee puis de lexeacutecuter en parcourant le chemin daccegraves agrave lURL du fichier reacutecemment transfeacutereacute Une fois exeacutecuteacutee elle offrait la possibiliteacute de controcircler entiegraverement le serveur Web En preacutevoyant de plus amples tests la personne chargeacutee de ces tests pouvait librement poursuivre une attaque contre dautres hocirctes sur le reacuteseau interne de lentreprise processus appeleacute glissement (pivoting) La suppression de laccegraves WebDAV et de meacutethodes HTTP exteacuterieures aurait pu eacuteviter cette attaque
Injection SQLetcommandesdevalidationdentreacuteefaibles Un filtre SQL filtrait tout agrave lexception de lopeacuterateur ldquoORrdquo Cela signifie essentiellement quapregraves insertion de lopeacuterateur ldquoORrdquo dans une instruction SQL chaque commande serait exeacutecuteacutee sur le systegraveme Le parameacutetrage des requecirctes empecircchera les attaques par injection SQL La Figure 15 deacutecrit le deacuteroulement seacutequentiel dune attaque par injection SQL
Livre blanc | Rapport HP 2012 sur les cyber-risques
5 httpswwwowasporgindexphpSQL_Injection_Prevention_Cheat_Sheet
Figure 12 Injection SQL agrave laveugle
Injection SQLagrave laveugle
Voldinformationsutilisateur
Accegraves agraveladministrationsystegraveme
Figure 13 Instructions SQL en texte clair
Protocoledingeacutenierie clientserveur agrave rebours
Exeacutecution SQL
Reacuteinitialisation dumot de passe avec
des privilegravegesplus eacuteleveacutes
Figure 14 Restriction daccegraves impossible
Accegraves au reacutepertoire non restreint
passwrdsprojectuserpassword sysadminmot de passe
passwordssystems fichier
httpswwwexamplecompasswords reacutepertoire
13
Figure 15 Anatomie dune attaque par injection SQL
Site bancaireBase de donneacutees
de la banque
1=1
Attaquant malveillant
1 Lattaquant envoie des informations suppleacutementaires telles quun guillemet ou 1=1 avec des informations de connexion ou inclure des variablespour modifier linstruction SQL originale
3 Une fois que le scheacutema de base de donneacutees a eacuteteacute deacutefini lattaquant peut extraire les donneacutees contenues dans la base de donneacutees notamment les noms dutilisateur les mots de passes les informations de carte de creacutedit etc
2 Avec lapproche par essais et erreurs lattaquant peut construire des arguments SQL pouvant ecirctre utiliseacutes pour reacutecupeacuterer des donneacutees telles que des noms de tableaux ou des noms delignes etc
Mauvaiseconfiguration SAP Linteacutegraliteacute de la base de donneacutees des cartes de creacutedit eacutetait accessible et eacutetait transfeacutereacutee dans un fichier Les commandes configureacutees dans la structure SAP mise en place eacutetaient de qualiteacute meacutediocre et permettaient agrave des repreacutesentants du service clientegravele dexeacutecuter des transactions agrave caractegravere sensible y compris le navigateur de donneacutees HR (SE16) Cette fonction eacutetait exploiteacutee pour parcourir et charger le contenu tout entier de la table des donneacutees des cartes de creacutedit des clients Accessibles de cette maniegravere toutes les donneacutees pouvaient aiseacutement ecirctre exporteacutees agrave laide de comptes SAP avec des privilegraveges moindres
AttaquesparauthentificationparsessionlogiqueetautresattaquesSecteurs dactiviteacute compagnies aeacuteriennes secteur bancaire international et eacutenergieListedebilletsdavionviadesservices Webdecreacuteationdecodes QRmobiles Les testeurs eacutetaient capables de reconstituer agrave rebours une partie de la fonction des services Web pour creacuteer des numeacuteros de billets De faux codes QR de billets davion eacutetaient ainsi geacuteneacutereacutes pour des vols aeacuteriens Il est tout est fait possible que lexploitation de cette fonction ait permis aux attaquants de voler gratuitement En labsence de controcircles preacuteventifs efficaces ils pouvaient senregistrer librement par le biais de leurs appareils mobiles Le recours agrave une fonction de controcircle aleacuteatoire standard des numeacuteros de billets aurait pu eacutegalement eacuteviter ce problegraveme
Figure 16 Creacuteation de mots de passe dynamiques agrave cryptage facilement reacuteversible
AttaqueSQL
Servicedauthen-tification
Web
Capturedu trafic chiffreacute
Deacutesactivationdu chiffrement
du mot depasse
Randomisationdes mots de
passeinsuffisante
Accegravesadministrateur
agrave la basede donneacutees
Deacutesactivation du chiffrement -mot de passe devinable
Accegraves complet agrave labase de donneacutees avec des
autorisations dadministrateur
Livre blanc | Rapport HP 2012 sur les cyber-risques
14
Creacuteationdemotsdepassedynamiquesagravecryptagefacilementreacuteversible lapplication cliente lourde testeacutee communiquait avec un service Web qui se chargeait dabord dauthentifier lutilisateur qui tentait de se connecter Ensuite lapplication demandait le mot de passe au serveur de base de donneacutees principal Au deacutepart le mot de passe eacutetait crypteacute pour la transmission mais simultaneacutement lors dune autre attaque SQL un indicateur de la base de donneacutees a eacuteteacute renverseacute deacutesactivant et annulant ainsi les effets du cryptage Il sest aveacutereacute que le systegraveme mettait en place des mots de passe dynamiques qui changeaient freacutequemment cependant apregraves regroupement des nombreux mots de passe un scheacutema eacutevident est apparu Le mot de passe suivait une chronologie et eacutetait donc facile agrave deviner Un accegraves direct agrave la base de donneacutees avec des autorisations administratives fut confirmeacute et compromit entiegraverement le systegraveme (voir la Figure 16)
Leservice Webautorisaitdesrequecirctes SQLdirectes une application autorisait des connexions agrave sa base de donneacutees principale via un interpreacuteteur Web accessible sur Internet sans authentification Avec des connaissances limiteacutees en SQL un attaquant pouvait aiseacutement extraire toutes les donneacutees enregistreacutees dans la base de donneacutees cliente y compris les deacutetails complets des comptes des utilisateurs noms dutilisateurs mots de passe adresses de messagerie et autres informations didentification personnelle
En partageant les reacutesultats de ces tests de peacuteneacutetration en conditions reacuteelles notre but est dattirer lattention sur la creacuteativiteacute sans bornes et la deacutetermination sans fin des attaquants malveillants Les testeurs de peacuteneacutetration cherchent agrave reproduire ces techniques pour tenter deacutevaluer avec efficaciteacute chaque commande de seacutecuriteacute et sassurer que les donneacutees sensibles et les fonctions applicatives sont proteacutegeacutees Comme le prouvent ces reacutesultats les tests de seacutecuriteacute automatiseacutes seuls ne mesurent pas inteacutegralement la politique globale dun environnement en matiegravere de seacutecuriteacute et doivent ecirctre compleacuteteacutes par une analyse manuelle
Dans la section suivante les chercheurs HP en seacutecuriteacute de logiciels cherchent agrave mettre agrave jour une vulneacuterabiliteacute cruciale souvent utiliseacutee conjointement avec les nombreuses attaques et techniques mentionneacutees plus haut et pour lesquelles une strateacutegie de preacutevention efficace reste globalement agrave mettre en place
En-tecircteX-Frame-Options eacutechecdelancementPour illustrer la nature toujours changeante de la seacutecuriteacute des applications Web les speacutecialistes du groupe HP Software Security Research ont examineacute une vulneacuterabiliteacute deacutejagrave reconnue et officiellement appeleacute script sur plusieurs cadres ou XFS XFS est un outil indispensable pour tout attaquant qui tente deacutelaborer une attaque de hameccedilonnage (phishing) ou dingeacutenierie sociale dans le but de charger un site Web vulneacuterable dans une balise iFrame HTML sur une page malveillante controcircleacutee par un attaquant Ce dernier peut alors extraire des eacuteveacutenements (des seacutequences de touches par exemple) appeleacutes par un utilisateur quelconque sur le site Web cibleacute
Les vulneacuterabiliteacutes XFS ouvrent eacutegalement la voie aux attaques de type clickjacking6 qui trompent les utilisateurs en les incitant agrave cliquer sur des eacuteleacutements preacutecis sur le site Web cibleacute chargeacute agrave linteacuterieur dune balise iFrame invisible Souvent ces reacutesultats aboutissent sur des actions non voulues voire privileacutegieacutees Depuis des anneacutees les chercheurs mettent en garde contre linefficaciteacute des protections par code frame-busting baseacute sur des scripts dans la preacutevention des menaces du XFS Pourtant les deacuteveloppeurs et les administrateurs de serveur qui les assistent ont toujours uniquement recours au meacutecanisme JavaScript (Figure 17) pour deacutetecter des attaques XFS
Les diverses meacutethodes de preacutevention contre XFS se sont maintes fois montreacutees incomplegravetes ou inefficaces Le plus reacutepandu de ces modes de preacutevention est la logique de frame-busting (destruction) de JavaScript ou plus preacuteciseacutement un script cocircteacute client qui ressemble agrave celui preacutesenteacute dans la Figure 175
Figure 17 Logique classique de frame-busting JavaScript
ltscriptgt
if (top=self) toplocationhref = selflocationhref
ltscriptgt
Livre blanc | Rapport HP 2012 sur les cyber-risques
6 cvedetailscomcveCVE-2002-1217
15
Outre les nombreuses variantes de cette technique quil est facile de deacutenicher en ligne des contre-mesures datteacutenuation ont eacutegalement eacuteteacute mises en place pour lutter aussi contre ces variantes avec des regravegles grosso modo eacutequivalentes agrave celles du jeu de la taupe
Comme le montre la Figure 18 la premiegravere vulneacuterabiliteacute XFS documenteacutee a eacuteteacute deacutecouverte il y a plus de 10 ans7 Depuis le clickjacking est devenu une vulneacuterabiliteacute reacutepandue et malgreacute cela moins de un pour cent de nos eacutechantillons incluait loutil de preacutevention le plus connu agrave savoir len-tecircte X-Frame-Options
Figure 18 Bref historique des eacuteveacutenements majeurs lieacutes agrave la deacutetection de failles de type XFS (script sur plusieurs cadres)
29062002Bug iFrame Jesse Rudermana
28102002Premier CVE XFS connub
16112005Echec des techniques de Framec
21052008Premiegravere mention publique de lattribut iFrame sandboxd
12092008Le terme clickjacking est inventeacutee
26012009Premier navigateur prenant en charge des options X-Framef
17062010Busting Frame Bustinga Study of ClickjackingVulnerabilities on Popular Sitesg
27012012Facebook poursuit uneentreprise de clickjackingh
11072012Dernier conseilXFS connui
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
a httpsbugzillamozillaorgshow_bugcgiid=154957 b httpwwwcvedetailscomcveCVE-2002-1217 c httpcryptostanfordeduframebust d httphtml5orgtoolsweb-apps-trackerfrom=1642ampto=1643 e httpwwwsectheorycomclickjackinghtm f httpblogsmsdncombiearchive20090126internet-explorer-8-release-candidate-now-availableaspx g httpcdnlytlpublicationsbusting-frame-busting-a-study-of-clickjacking-vulnerabilities-on-popular-sitespdf h httpwwwguardiancouktechnology2012jan27facebook-sues-clickjacking-firm-adscend i httposvdborgshowosvdb83762
Lhistoire du XFS (Cross-Frame Scripting ou scripts sur plusieurs cadres) remonte agrave la publication dun rapport relativement banal sur un comportement observeacute par Jesse Ruderman en 20028 et devenu aujourdhui un eacuteleacutement moteur dun autre pheacutenomegravene communeacutement appeleacute clickjacking Un eacuteleacutement cleacute de la reacutegression identifieacutee en matiegravere de seacutecuriteacute eacutetait la deacutecision dajouter lattribut sandbox agrave leacutebauche de la speacutecification HTML5 pour la balise iFrame au milieu de lanneacutee 2008
Les chercheurs ont deacutemontreacute que plusieurs contre-mesures datteacutenuation eacutetaient possibles avec des bugs des navigateurs ou des astuces JavaScript Le dernier eacuteleacutement ajouteacute agrave cette liste comme le montre la Figure 19 est lutilisation dune fonction de seacutecuriteacute introduite dans la speacutecification HTML5 sous la forme dun attribut sandbox iFrame que les attaquants peuvent exploiter pour deacutesactiver les protections de frame-busting de JavaScript
Figure 19 Attribut sandbox iFrame
ltiframe sandbox=rdquoallow-scriptsrdquo src=rdquohttpexamplecomrdquogtltiframegt
Lobjet de lattribut sandbox est daccorder lautorisation dexeacutecuter des scripts (allow-scripts) dans le contenu cibleacute A titre accessoire toutes les logiques de frame-busting employeacutees par examplecom sont effectivement deacutesactiveacutees en lui refusant lautorisation allow-top-navigation dans sa speacutecification sandbox
Gracircce agrave lattribut sandbox cette technique permet agrave un attaquant de deacutejouer de maniegravere efficace toutes les tentatives de frame-busting que megravenent les deacuteveloppeurs pour se proteacuteger de tout encadrement de site et toute opeacuteration de clickjacking par des tiers Les eacutediteurs de navigateurs ont introduit et valideacute une technique de preacutevention baseacutee sur des strateacutegies bien plus forte gracircce agrave len-tecircte X-Frame-Options Les deacuteveloppeurs peuvent se servir de cet en-tecircte pour dicter au navigateur les actions adeacutequates agrave entreprendre si leur site est inclus dans un iFrame Malheureusement ladoption de cette fonction parmi les deacuteveloppeurs est tregraves lente et offre aux attaquants un vaste terrain de sites potentiellement exploitables agrave mesure quils deacutecouvrent de nouvelles techniques pour contourner les scripts de frame-busting Ceci rend plus indispensable encore ladoption et la mise en œuvre de len-tecircte X-Frame-Options puisque ce dernier constitue la solution de facto agrave ce problegraveme et reste en vigueur mecircme lorsque le nouvel attribut sandbox HTML5 est utiliseacute Voilagrave donc ce qui motive notre projet de recherche et ce qui est agrave lorigine de notre question de deacutepart Combien de domaines incluent des en-tecirctes X-Frame-Options et combien le font correctement
Livre blanc | Rapport HP 2012 sur les cyber-risques
7 cvedetailscomcveCVE-2002-1217 8 httpsbugzillamozillaorgshow_bug
cgiid=154957
16
Collection de jeux deacutechantillons Dans le cadre de cette eacutetude le groupe HP Fortify Software Security Research a meneacute des recherches pour eacutevaluer agrave quel point les faibles pratiques de preacutevention des attaques XFS restent aujourdhui adopteacutees et font autoriteacute Nos reacutesultats soulignent eacutegalement la reacuteticence et le rythme dadoption tregraves lent dautres meacutethodes plus seacutecuriseacutees recommandeacutees par des speacutecialistes des navigateurs et des experts en seacutecuriteacute
Alexa9 fut utiliseacute pour renseigner une collection de 100 000 sites Web (les plus connus) et geacuteneacuterer une liste distribueacutee dans de nombreux secteurs diffeacuterents Une fois la liste de deacutepart creacuteeacutee avec ses 100 000 URL les demandes de niveau supeacuterieur furent assembleacutees en concateacutenant ldquohttprdquo dans lURL obtenue Par exemple
ldquohttprdquo + exemplecom = httpexemplecom
Ensuite la nouvelle URL composeacutee fut demandeacutee et la reacuteponse obtenue examineacutee de maniegravere passive agrave la recherche des eacuteleacutements suivants
bull La preacutesence dun en-tecircte X-Frame-Options et de ses valeurs respectives
bull La preacutesence dun champ de mot de passe dans la reacuteponse de la demande de niveau supeacuterieur Un champ de mot de passe est censeacute indiquer un niveau de sensibiliteacute qui doit ecirctre proteacutegeacute par lapplication
bull Si la preacutesence de len-tecircte neacutetait pas respecteacutee lURL cible eacutetait soumise agrave des tests suppleacutementaires afin de distinguer si une tentative de deacutejouer les attaques XFS avait eu lieu Le recours agrave la preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade a eacuteteacute enregistreacute pour une analyse ulteacuterieure
Reacutesultats90 des eacutechantillons analyseacutes nont jamais rien tenteacute pour se proteacuteger des attaques XFS De tous les domaines doteacutes dune protection active contre les attaques XFS 62 ont recours agrave des meacutecanismes de preacutevention faibles fondeacutes sur les scripts Sur les 100 000 domaines testeacutes 19 848 disposaient de champs de mot de passe dans la demande de niveau supeacuterieur avec seulement 101 domaines preacutecisant un en-tecircte X-Frame-Options Celasignifieque01 deseacutechantillonssontproteacutegeacutesDe plus plus de 99 des eacutechantillons oubliaient de speacutecifier un en-tecircte X-Frame-Options tandis que 19 dentre eux avaient une raison dinclure len-tecircte mais ne lont pas fait
Les reacutesultats montrent que soit les deacuteveloppeurs ne sont pas suffisamment informeacutes des risques que posent les vulneacuterabiliteacutes XFS soit ils ne souhaitent consacrer aucun effort agrave la protection de leurs visiteurs Si 2 307 eacutechantillons deacutevoilaient des protections contre les attaques XFS seulement 38 ont opteacute pour lutilisation de len-tecircte X-Frame-Options preacuteconiseacute 1 432 eacutechantillons ont montreacute quils employaient toujours des techniques de preacutevention et datteacutenuation fondeacutees sur JavaScript ou les feuilles de style en cascade qui se sont aveacutereacutees insuffisantes (voir la Figure 20)
Les 875 domaines fondeacutes sur len-tecircte X-Frame-Options affichaient la distribution de valeurs suivante
1 702 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur SAMEORIGIN
2 151 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur DENY
3 13 des 875 domaines eacutetaient deacutefinis avec lattribut Allow-from
4 8 des 875 valeurs fournies eacutetaient conformes agrave leacutebauche de lIETF10
Aucun des 13 domaines utilisant lattribut Allow-from ne preacutecisait un caractegravere geacuteneacuterique () reacuteduisant les risques lieacutes agrave une politique de libre accegraves La Figure 21 preacutesente ces valeurs sous forme de pourcentages
Livre blanc | Rapport HP 2012 sur les cyber-risques
9 httpsbugzillamozillaorgshow_bugcgiid=154957
10 httptoolsietforghtmldraft-ietf-websec-x-frame-options-01
Figure 20Preacutevention des risques lieacutes aux scripts sur plusieurs cadres
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade 62
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade
Options X-Frame 38
Options X-Frame
Figure 21Reacutepartition des valeurs den-tecircte X-Frame-Options fournies
REFUS 17 Allow-from
2 Autres (valeurs non en conformiteacute)1
MEcircME ORIGINE 80
17
Encadrementintersites conclusionIl est eacutevident que toutes les ressources nont pas besoin decirctre proteacutegeacutees contre les attaques XFS Cependant il demeure des situations ougrave la mise en place dune protection adeacutequate est justifieacutee et indispensable Une mesure employeacutee pour identifier ces cas au cours de cette eacutetude eacutetait la preacutesence dun champ de saisie de mot de passe dans un formulaire Les pages dauthentification sont les plus exposeacutees agrave une attaque de type clickjacking En se focalisant sur les pages munies de champs pour la saisie des mots de passe lanalyse tente deacutetablir un lien entre la sensibiliteacute dune ressource et les efforts investis pour la proteacuteger Une des statistiques les plus surprenantes dans lanalyse est que seulement 103 des 100 000 domaines proteacutegeaient comme il se doit les pages avec des champs de mots de passe confidentiels soit un taux exorbitant de 010 qui suggegravere que la puissance et lefficaciteacute de len-tecircte ont fait lobjet dune mauvaise promotion nont pas obtenu ladheacutesion des administrateurs des serveurs ou nont pas seacuteduit les deacuteveloppeurs
Il convient de souligner que si un peu plus de 80 des reacuteponses ne contenaient aucun champ de mot de passe cela ne veut pas dire pour autant quil ne faut pas proteacuteger le contenu Autrement dit leacutechantillon nincluait aucun champ de mot de passe dans la demande de niveau supeacuterieur Il est donc tregraves probable que beaucoup dautres sites sexposent agrave des risques en avanccedilant plus loin dans larborescence du site La mesure la plus importante agrave noter est le pourcentage remarquable de sites sans en-tecircte X-Frame-Options soit 99
Apregraves une analyse approfondie des reacutesultats des recherches speacutecialiseacutees consacreacutees aux attaques XFS la section qui suit se concentre agrave nouveau sur ce qui semble ecirctre le sujet de conversation le plus populaire en 2012 en matiegravere de seacutecuriteacute la seacutecuriteacute des applications mobiles
Seacutecuriteacutedesapplicationsmobiles
Dix secondes dans une file dattente nimporte ougrave suffisent pour se rendre compte que lutilisation dappareils mobiles a litteacuteralement exploseacute En fait pour la premiegravere fois 2012 est lanneacutee pendant laquelle le nombre de smartphones vendus a deacutepasseacute le nombre dordinateurs portables et dordinateurs de bureau agrave la fois11 Cette augmentation a eacuteteacute suivie aussi dune hausse proportionnelle des risques surtout au moment ougrave les entreprises essaient de mettre agrave profit les avantages quoffre la mobiliteacute Comme nous lavons vu plus haut lOSVDB a signaleacute une hausse de 68 du nombre de vulneacuterabiliteacutes signaleacutees pour les technologies mobiles depuis 2011 soit une augmentation de 787 sur les cinq derniegraveres anneacutees Lors de nos tests nous sommes toujours revenus au mecircme constat Si vous posseacutedez des donneacutees des attaquants chercheront agrave sen emparer
Pour eacutevaluer leacutetat actuel de la seacutecuriteacute des applications mobiles leacutequipe HP Fortify on Demand a rassembleacute les reacutesultats de plus de 70 applications mobiles agrave la recherche de failles de seacutecuriteacute Ce jeu deacutechantillons concernait plus de 50 organisations uniques et de nombreux secteurs au niveau local et international Il peut donc ecirctre consideacutereacute comme une repreacutesentation relativement preacutecise dune application mobile moyenne Les reacutesultats montrent que les vulneacuterabiliteacutes qui compromettent la seacutecuriteacute des applications mobiles sont les mecircmes que pour les applications classiques Ils montrent eacutegalement quun problegraveme surtout se distingue des autres Dans le paysage informatique actuel la fuite dinformation est un problegraveme particuliegraverement reacutepandu et neacutefaste La demande croissante dinformations des travailleurs mobiles allieacutee aux services de cloud de plus en plus omnipreacutesents et agrave une hausse des appareils grand public non geacutereacutes sur le reacuteseau dentreprise repreacutesente un deacutefi notable pour de nombreuses organisations
Fuite de donneacutees sensibles sur des canaux non seacutecuriseacutesLa fuite de donneacutees est un problegraveme de longue date pour les applications Web Si elle peut paraicirctre un problegraveme dampleur modeacutereacutee elle implique souvent une information en apparence inoffensive qui permet agrave un attaquant de renforcer sa strateacutegie dattaque pour mener une attaque plus dangereuse encore La mecircme chose vaut pour les applications mobiles Plus des trois quarts (77 ) des applications mobiles dans notre eacutetude eacutetaient vulneacuterables et en proie agrave des fuites dinformations Nous avons deacutecouvert que les donneacutees personnelles dun utilisateur eacutetaient souvent transmises via des protocoles reacuteseau non crypteacutes comme le protocole HTTP Il sagissait pour la plupart dinformations simples comme des noms des adresses et des numeacuteros de teacuteleacutephone Cependant dans notre jeu deacutechantillons ces donneacutees comprenaient eacutegalement lemplacement actuel de lutilisateur ainsi que lidentifiant unique de lappareil (eacutegalement appeleacute UDID)
Livre blanc | Rapport HP 2012 sur les cyber-risques
11 voiceswashingtonpostcomposttech201011smartphone_sales_to_pass_compuhtml
18
LUDID est primordial pour un appareil car il peut servir agrave des attaques extrecircmement cibleacutees contre des utilisateurs en particulier Si les donneacutees de geacuteolocalisation lidentifiant unique de lappareil et les donneacutees personnelles eacutetaient intercepteacutees sur une application vulneacuterable ce que cela implique dans la reacutealiteacute est eacutetonnant Un attaquant pourrait localiser une cible dans le monde reacuteel et les possibiliteacutes qui souvriraient alors agrave lui seraient illimiteacutees Cest la porte ouverte agrave un sceacutenario effroyable que la plupart des gens ne soupccedilonnent pas Bien entendu lexploitation dapplications simples et banales peut eacutegalement avoir lieu Imaginez le sceacutenario suivant Si lapplication transmet lUDID le nom complet ladresse et ainsi de suite agrave un service Web vulneacuterable et que ce dernier est la cible potentielle dune attaque par injection SQL on conccediloit aiseacutement que chaque bit de donneacutees sur cet appareil mobile soit accessible Il est eacutetonnant de voir jusquougrave une fuite dinformation peut mener un attaquant si les circonstances jouent en sa faveur et que tout alors est du domaine du probable voire du possible
Les donneacutees transmises sur des canaux non seacutecuriseacutes ne se limitaient pas aux donneacutees personnelles Les donneacutees applicatives elles non plus neacutetaient pas proteacutegeacutees Nous avons deacutecouvert que des informations de connexion des informations didentification utilisateur des ID de session des jetons et des donneacutees dentreprise sensibles eacutetaient transmises via des protocoles reacuteseau non crypteacutes agrave linstar du protocole HTTP Imaginez les conseacutequences pour une application bancaire vulneacuterable Si des informations didentification des identificateurs de session des informations didentification personnelle ou dautres donneacutees strateacutegiques sont transmises vers un serveur principal la transmission se doit decirctre seacutecuriseacutee sans quoi les donneacutees peuvent ecirctre intercepteacutees par un attaquant au moyen doutils ou dapplications de capture de paquets reacuteseau courants (par exemple DroidSheep)
Les recherches ont montreacute que 375 des applications pouvaient ecirctre la cible dune vulneacuterabiliteacute impliquant une forme quelconque dautorisation notamment des mots de passe en texte clair des mots de passe codeacutes en dur et des mots de passe inteacutegreacutes agrave la reacuteponse Ce pourcentage bien plus eacuteleveacute que pour les applications dites traditionnelles prouve eacutegalement que les deacuteveloppeurs dapplications mobiles doivent travailler davantage pour proteacuteger leurs donneacutees
Dautres vulneacuterabiliteacutes deacutetecteacutees en nombres importants incluaient les attaques de type stack-smashing Plus de la moitieacute des vulneacuterabiliteacutes (5545 ) noffraient aucune protection adeacutequate contre ce type dattaque Si cet oubli nentraicircne pas lexeacutecution du code il peut quand mecircme geacuteneacuterer une panne injustifieacutee de lapplication vulneacuterable
Qui plus est 135 des applications eacutetaient vulneacuterables agrave des attaques XSS Ceci fut une reacuteelle surprise puisque tous les autres ensembles dapplications que nous avons testeacutes mobiles et traditionnels reacuteveacutelaient des nombres de vulneacuterabiliteacutes XSS plus eacuteleveacutes Un examen plus attentif de ces nombres a montreacute que les applications vulneacuterables eacutetaient des applications destineacutees autant agrave la gestion de la finance que des bases de donneacutees En dautres termes le faible pourcentage ne reacuteduisait pas limpact potentiel
Les accegraves non autoriseacutes concernent quasiment la moitieacute des applications mobilesNous avons chercheacute dautres donneacutees en examinant les reacutesultats obtenus par notre partenaire Security Compass lors de ses tests sur dautres applications A de nombreux eacutegards ils confirment les chiffres eacutevoqueacutes preacuteceacutedemment
48 des applications eacutetaient la proie de vulneacuterabiliteacutes daccegraves non autoriseacute Elles valident les vulneacuterabiliteacutes dauthentification (375 ) que nous avons eacutevoqueacutees dans notre eacutechantillon plus haut Les chiffres montrent que les deacuteveloppeurs dapplications mobiles doivent autant se concentrer sur la preacutevention des accegraves non autoriseacutes sur les applications mobiles que sur les moyens de faciliter laccegraves pour les utilisateurs leacutegitimes
37 des applications posaient des problegravemes de divulgation dinformations sensibles 26 avaient recours agrave des pratiques de connexion meacutediocres et 19 affichaient des messages derreur de mauvaise qualiteacute qui reacuteveacutelaient des informations susceptibles decirctre exploiteacutees par des attaquants Ceci corrobore nos donneacutees preacuteceacutedentes car nous avons vu agrave quel point les fuites dinformations eacutetaient importantes Lors du codage des applications mobiles les deacuteveloppeurs ne tiennent pas compte de ce quimplique la seacutecuriteacute pour le stockage la transmission et laccegraves des donneacutees
33 des applications eacutetaient vulneacuterables agrave des attaques XSS Des tests reacutepeacutetitifs montrent que les attaques par script intersite (XSS) sont autant une menace pour les applications mobiles que pour les applications stationnaires Ces reacutesultats sont en phase avec ce que nous avons constateacute lors des tests des applications traditionnelles
Livre blanc | Rapport HP 2012 sur les cyber-risques
19
26 des applications employaient une meacutethode de cryptage inadapteacutee Le cryptage sur des ordinateurs dentreprise est aujourdhui une pratique standard pour la plupart des entreprises du classement Fortune 500 Il y a dix ans la presse regorgeait dhistoires de donneacutees deacuterobeacutees sur des ordinateurs perdus Les risques dans ce domaine se sont reacuteduits dune part gracircce aux mesures leacutegislatives mises en places et dautre part parce que les entreprises ont eu loccasion de lapprendre agrave leurs deacutepens Pourtant ces mecircmes pratiques standard ne sont pas appliqueacutees aux appareils mobiles et agrave legravere du BYOD (Bring your own device) cela peut saveacuterer dangereux
Les dix principales vulneacuterabiliteacutes des applications mobiles Le partenaire dHP Security Compass a eacutegalement analyseacute les vulneacuterabiliteacutes des applications mobiles et les a eacutetiqueteacutees par type (voir la Figure 22) Ainsi donc agrave quoi les applications moyennes sont-elles le plus vulneacuterables par ordre de preacutevalence des vulneacuterabiliteacutes A quels types dattaques par incident les applications mobiles sont-elles le plus vulneacuterables
Sur les dix principales vulneacuterabiliteacutes constateacutees en matiegravere dapplications mobiles XSS affichait le deuxiegraveme taux le plus eacuteleveacute et repreacutesentait 15 de toutes les vulneacuterabiliteacutes deacutecouvertes dans ce jeu deacutechantillons Les chiffres confirment eacutegalement que lorsquelles sont consigneacutees par ordre doccurrence les vulneacuterabiliteacutes de fuite dinformation et daccegraves non autoriseacuteauthentification indiquent aux deacuteveloppeurs dapplications mobiles comment ils peuvent mieux seacutecuriser leurs applications en concentrant davantage leurs efforts sur ces domaines
Rechercheentechnologiemobile lacommunicationenchampproche (NFC)pourlesapplicationsmobilesdepaiementNous avons constateacute que les vulneacuterabiliteacutes lieacutees aux applications mobiles eacutetaient en hausse constante mais il est indispensable eacutegalement danticiper et de connaicirctre les nouvelles vulneacuterabiliteacutes qui verront le jour Les nouvelles technologies introduisent en permanence des failles de seacutecuriteacute possibles La plate-forme mobile ne fait pas exception Lune de ces nouvelles technologies est la communication en champ proche (NFC) La communication en champ proche (NFC) deacutesigne une meacutethode de communication de donneacutees sans contact entre des appareils proches les uns des autres Elle a deacutejagrave eacuteteacute adopteacutee en Europe et en Asie et fait depuis peu des adeptes en Ameacuterique du Nord Le Forum NFC (consortium regroupant plusieurs membres tels que Sony Nokia et Philips) applique des normes strictes pour les fabricants dappareils compatibles NFC Les eacutediteurs dapplications disposent ainsi dune architecture seacutecuriseacutee et dune infrastructure compatible qui leur permettent dexploiter cette technologie pour des applications de paiement mobiles et le partage de donneacutees (par exemple leacutechange de devises entre homologues)
Il existe actuellement plusieurs smartphones compatibles NFC Cest le cas du Googletrade Nexus 5 du Samsung Galaxy S II et des BlackBerry Bold 9900 et 9930 Plusieurs socieacuteteacutes exploitent aujourdhui cette technologie
bull Google Wallet conteneur seacutecuriseacute pour les informations de carte de creacutedit qui facilite les transactions NFC
bull MasterCard PayPass service de paiement sans contact (actuellement pris en charge dans Google Wallet)
bull Visa payWave service de paiement sans contact
bull PayPal meacutethode bump (application Bump) pour le transfert dargent ou la reacutealisation de paiements entre utilisateurs
bull Apple iPhone prise en charge de la NFC attendue dans une prochaine version (non confirmeacutee)12
Problegravemes de seacutecuriteacutePlusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (donneacutees de carte de creacutedit ou numeacuteros de comptes) sont transmises via un canal NFC sur un appareil mobile Voici des exemples de cas reacuteels constateacutes reacutecemment dans le domaine de la seacutecuriteacute
Cas 1La technologie NFC est employeacutee dans le cadre de solutions de paiement grand public avec deux modes de mise en œuvre distincts
bull Puce NFC dans des cartes de creacutedit grand public telles que MasterCard PayPass et Visa payWave
bull NFC utiliseacutee dans des solutions de portefeuille mobile
Livre blanc | Rapport HP 2012 sur les cyber-risques
12 Il existe actuellement des eacutediteurs agrave linstar de DeviceFidelity qui proposent des composants tiers qui reproduisent la prise en charge de la communication en champ proche (NFC) pour les appareils iPhone
Figure 22Preacutevalence des dix principales vulneacuterabiliteacutes (en pourcentage)
Accegraves non autoriseacute 18
Scripts intersites 15
Divulgation dinformations sensibles 12
Traitementnon seacutecuriseacute des sessions 11
Vulneacuterabiliteacutes du traitement des cookies 9
Meacutethode de cryptage inadapteacutee 9
Pratiques de connexion meacutediocres 8
Saisie semi-automatique sur des formulaires agrave donneacutees sensibles 6
Informations didentificationen texte clair 6
Messages derreur de mauvaise qualiteacute 6
20
Le deacutefi du premier mode de mise en œuvre est double le premier est que pour la plupart des eacutemetteurs de cartes de creacutedit linstallation de la puce NFC est obligatoire le deuxiegraveme est que par deacutefinition la puce NFC est toujours activeacutee Par exemple si la carte de creacutedit dun utilisateur est dans le champ dun lecteur NFS actif comme celui que lon rencontre dans un terminal de point de vente la carte de creacutedit transmet automatiquement le numeacutero de carte de creacutedit de lutilisateur au lecteur NFS de reacuteception A preacutesent imaginez le sceacutenario pour les appareils mobiles les plus modernes eacutequipeacutes de puces NFS inteacutegreacutees Dans le monde dAndroid il existe des applications conccedilues pour activer la puce NFC de lappareil mobile pour reproduire le comportement du lecteur NFS dun terminal de point de vente A laide dun appareil mobile ou dune application de ce genre un attaquant peut potentiellement activer la puce NFC de son appareil Android croiser des gens dans un endroit peupleacute et tenter danalyser leurs cartes de creacutedit pour recueillir leur numeacutero de compte permanent (PAN)
Les solutions de portefeuille mobile NFC sont souvent vulneacuterables agrave ce mecircme type dattaque si la solution concerneacutee ne deacutesactive pas ou ne retire pas la puce NFC une fois lexeacutecution dune transaction termineacutee Heureusement cette vulneacuterabiliteacute peut facilement ecirctre reacutesolue par des deacuteveloppeurs de solutions de portefeuille mobile sils retirent la puce NFC apregraves usage
Cas 2Plusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (par exemple des donneacutees de carte de creacutedit ou des numeacuteros de comptes) sont transmises via un canal NFC
bull Ecoute tentative dintercepter la communication des donneacutees de transmission NFC (par exemple proxy NFC)
bull Manipulation des donneacutees tentative de manipuler la communication des donneacutees de transmission NFC (par exemple pour identifier des reacutesultats erroneacutes)
bull Attaques par interception tentative dexploitation des modes actifpassif de lappareil pour envoyer et recevoir la communication des donneacutees de transmission NFC
bull Vol tentative dacceacuteder sans autorisation agrave lapplication de paiement mobile (comme si lappareil a eacuteteacute voleacute ou perdu) et examen des fichiers stockeacutes sur lappareil agrave la recherche dinformations sensibles
Cas 3Au cœur mecircme de la fonction NFC se trouve un composant appeleacute eacuteleacutement seacutecuriseacute Deux types de mise en œuvre de cet eacuteleacutement sont possibles (1) les eacuteleacutements incorporeacutes dans lappareil et (2) les eacuteleacutements chargeacutes dans une carte SIM Dans les cas ougrave leacuteleacutement seacutecuriseacute est chargeacute dans une carte SIM il est possible que la carte SIM soit retireacutee et eacutechangeacutee sous les yeux dun utilisateur creacutedule Cette situation aboutit agrave des sceacutenarios dattaque semblables aux suivants
bull Echange de carte SIM avec un autre appareil (du mecircme type) pour tenter dacceacuteder au contenu de leacuteleacutement seacutecuriseacute Dans certains cas lutilisation dun appareil de type diffeacuterent peut offrir un accegraves suppleacutementaire aux informations de leacuteleacutement seacutecuriseacute sil nest pas mis en œuvre de maniegravere seacutecuriseacutee Par exemple il existe un risque de contournement de lapplication de paiement ou de la protection du mot de passe au niveau du teacuteleacutephone en cas deacutechange de carte SIM dans un teacuteleacutephone eacutequivalent avec lapplication de paiement et sans mot de passe
bull Identification des donneacutees contenant des informations sensibles dans leacuteleacutement seacutecuriseacute situeacute dans la carte SIM apregraves une opeacuteration de restauration sur un autre appareil Il peut sagir aussi dattaques visant agrave cloner ou copier la carte SIM au moyen dun mateacuteriel externe
Notez que la difficulteacute daccegraves agrave leacuteleacutement seacutecuriseacute offre une certaine garantie sur lenvironnement de seacutecuriteacute de leacuteleacutement seacutecuriseacute sur lappareil cible
Cas 4Dans certains cas il est possible que limpleacutementation de lapplet VMPA dans leacuteleacutement seacutecuriseacute nait pas tenu compte de tous les eacuteleacutements de seacutecuriteacute Il peut sagir par exemple dune signature et dun controcircle daccegraves insuffisants de lapplet VMPA qui permettent agrave une application quelconque de deacutemarrer et dy soumettre des requecirctes Cette situation peut offrir agrave une application non autoriseacutee la possibiliteacute dappeler lapplet VMPA via la commande APDU (JSR 177) Une requecircte bien formuleacutee peut potentiellement permettre dactiver la radio NFC et de transmettre des informations de carte de creacutedit
Livre blanc | Rapport HP 2012 sur les cyber-risques
21
Bien que des informations et une analyse exactes peuvent ecirctre obtenues agrave partir dun appareil dinvestigation (si un accegraves agrave ce type de mateacuteriel est disponible) il nexiste pour lheure aucun outil autorisant laccegraves agrave des informations de leacuteleacutement seacutecuriseacute Leacuteleacutement seacutecuriseacute comme son nom lindique fournit des meacutecanismes de seacutecuriteacute preacutecis (par exemple controcircle daccegraves cryptage et reacutepartition) qui empecircchent lextraction dinformations sensibles eacuteventuelles Cest pourquoi un accegraves dinvestigation explicite agrave leacuteleacutement seacutecuriseacute nest actuellement pas possible mecircme avec un outil dinvestigation distribueacute par les leaders du marcheacute
RecommandationsIl existe des mesures que les organisations peuvent prendre pour reacuteduire les risques que posent les failles de seacutecuriteacute des applications mobiles Avant tout les applications doivent ecirctre manuellement controcircleacutees et eacutevalueacutees avant le lancement des produits afin de deacuteterminer la preacutesence de vulneacuterabiliteacutes dinjection ou de vulneacuterabiliteacutes de fuite dinformation Le code doit ecirctre analyseacute via une analyse statique au moment de le deacutevelopper pour y rechercher des failles Comme pour toutes les applications il est moins coucircteux de geacuterer des failles de seacutecuriteacute lors de la phase de deacuteveloppement quau moment de leur diffusion
Les normes de transmission seacutecuriseacutee des donneacutees doivent ecirctre incluses dans le cahier des charges de toutes les applications surtout si ces derniegraveres sont eacutelaboreacutees par des deacuteveloppeurs tiers Il en va de mecircme pour le stockage seacutecuriseacute des donneacutees et le journal des applications Des exigences raisonnables en matiegravere daffichage des communications entre applications et dautorisations dans ces derniegraveres doivent ecirctre rigoureusement deacutefinies Tous ces aspects doivent ecirctre geacutereacutes lors de la phase de deacutefinition des exigences et testeacutes lors du deacuteveloppement Au moment dexeacutecuter les tests de seacutecuriteacute et lanalyse sur les applications mobiles les services Web cocircteacute serveur et les API avec lesquels les clients mobiles communiquent doivent ecirctre pris dans leur contexte et analyseacutes pour y deacuteceler des vulneacuterabiliteacutes Des failles agrave haut risque peuvent passer agrave la trappe si ces deux eacuteleacutements sont testeacutes et compareacutes hors de leur contexte
Conclusions
Lobjectif de ce rapport est de fournir aux organisations toutes les informations de seacutecuriteacute qui les aideront agrave mieux comprendre comment deacuteployer les ressources limiteacutees dont elles disposent pour minimiser au maximum leurs risques en matiegravere de seacutecuriteacute A cet effet les tendances et les enseignements agrave tirer de lanneacutee 2012 sont nombreux et doivent ecirctre pris en compte pour la ou mecircme les anneacutees qui viennent
Militarisation des vulneacuterabiliteacutes Les attaquants ne cesseront jamais de militariser les vulneacuterabiliteacutes pour mener agrave bien leurs activiteacutes malveillantes Ceux qui eacutelaborent les kits dexploitation continueront de se focaliser sur des vulneacuterabiliteacutes dans les logiciels les plus reacutepandus ciblant le plus souvent des navigateurs et des plug-ins de navigateur tels que Oracle Java et Adobereg Flash De mecircme le nombre dattaques meneacutees publiquement agrave lencontre de technologies et dentreprises speacutecifiques continuera daugmenter Des organisations criminelles des Etats-nations et des hacktivistes se serviront toujours des cyber-attaques comme moyen duniformiser les regravegles du jeu contre des adversaires riches ou puissants mecircme si les reacuteelles motivations derriegravere ces attaques resteront souvent difficiles agrave deacuteterminer
Vulneacuterabiliteacutes des technologies mobilesLadoption croissante des technologies mobiles et leur utilisation au sein de lentreprise engendreront toujours des risques consideacuterables Nombre de gens lont deacutejagrave constateacute les programmes malveillants deacuteployeacutes sur les marcheacutes qui opposent Android et Apple poursuivent leur croissance Laggravation de ce problegraveme est essentiellement lieacutee au fait que les entreprises ne disposent pas du mecircme type de controcircle sur ces appareils que sur des PC Au moment ougrave le BYOD (Bring your own device) devient la norme et que ladoption des appareils mobiles prend de lampleur on peut sattendre agrave une hausse proportionnelle du nombre de failles chez les applications mobiles tendance qui devrait se maintenir dans un avenir preacutevisible
Livre blanc | Rapport HP 2012 sur les cyber-risques
22
DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables
Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications
Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables
Pourensavoirplusconsultezlapage Web hpcomgoSIRM
Livre blanc | Rapport HP 2012 sur les cyber-risques
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013
6
Un eacuteleacutement qui contraste avec cette hausse modeste du nombre de vulneacuterabiliteacutes hautement exploitables signaleacutees en 2012 est la tendance globale des donneacutees de lOSVDB puisque ces derniegraveres montrent que le pourcentage pour ce type de vulneacuterabiliteacute a augmenteacute de maniegravere consideacuterable et homogegravene au cours des dix derniegraveres anneacutees (voir la Figure 3)
Figure 3 Graviteacute des vulneacuterabiliteacutes OSVDB sur dix ans
Graviteacute moyennement eacuteleveacutee (note CVSS 5 agrave 7) Graviteacute la plus eacuteleveacutee (note CVSS 8 agrave 10)Graviteacute la moins eacuteleveacutee (note CVSS 1 agrave 4)
8
2002 2007 2012
17
75
14
22 64
20
36
44
Entre 2002 et 2007 les vulneacuterabiliteacutes moyennement graves (note CVSS entre 5 et 7) formaient la majoriteacute des deacutecouvertes Cette peacuteriode comporte une hausse importante du nombre total de vulneacuterabiliteacutes deacuteclareacutees agrave un moment ougrave les outils de test agrave donneacutees aleacuteatoires (fuzzing) devenaient la norme et les chercheurs commenccedilaient agrave identifier les vulneacuterabiliteacutes les plus reacutepandues et simples agrave deacutetecter gracircce agrave lautomatisation Depuis ce nombre a nettement baisseacute notamment gracircce aux organisations de deacuteveloppement qui par le biais de lautomatisation ont pu identifier et reacutesoudre ces vulneacuterabiliteacutes avant que les chercheurs ne les trouvent
Par quoi sexplique alors le pourcentage en deacutecrue des vulneacuterabiliteacutes agrave fort potentiel dexploitation observeacute en 2012 Les donneacutees commerciales laissent agrave penser que du fait des compeacutetences et du temps requis pour deacutevoiler et deacutemontrer le potentiel dexploitation des vulneacuterabiliteacutes les plus graves un nombre sans cesse croissant de ce type de vulneacuterabiliteacute est vendu sur des marcheacutes commerciaux priveacutes (gris) ou clandestins (noirs) ce qui les exclut (du moins provisoirement) de tout recensement public comme celui de lOSVDB
Lesapplications Webposenttoujoursdesrisquesimportantspourles entreprisesLa Figure 4 met en eacutevidence les six vulneacuterabiliteacutes les plus reacutepandues signaleacutees dans lOSVDB deacutepassement de meacutemoire tampon deacuteni de service inclusion de fichier agrave distance injection SQL scripts intersites et falsification de requecircte intersites (CSRF) Toutes sont potentiellement exploitables agrave distance
Figure 4 Les vulneacuterabiliteacutes les plus courantes dans lOSVDB preacutesenteacutees par cateacutegories (2000 agrave 2012)
0
600
1 200
1 800
2 400
3 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Deacutepassement de meacutemoire tampon
Deacuteni de service
Inclusions de fichiers agrave distance
Injection SQL
Scripts intersites
Falsification de requecirctes intersites
Sur ces six cateacutegories de vulneacuterabiliteacute quatre (linjection SQL les scripts intersites la falsification de requecircte intersites (CSRF) et les inclusions de fichiers agrave distance) ont principalement ou exclusivement un impact sur les applications Web et repreacutesentent 40 du volume total de vulneacuterabiliteacutes deacutecouvertes en 2012 selon lOSVDB
Si le nombre de vulneacuterabiliteacutes Web a atteint un niveau record en 2006 il a eacutevolueacute depuis et de maniegravere similaire au nombre global de vulneacuterabiliteacutes (voir la Figure 5)
Livre blanc | Rapport HP 2012 sur les cyber-risques
7
Figure 5 Vulneacuterabiliteacutes des applications Web et des applications non Web
0
2 000
4 000
6 000
8 000
10 000
12 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Vulneacuterabiliteacutes des applications Web Vulneacuterabiliteacutes des applications non Web
On peut en conclure que si les vulneacuterabiliteacutes des applications non connecteacutees au Web repreacutesentent toujours la majoriteacute des vulneacuterabiliteacutes divulgueacutees quelques cateacutegories de vulneacuterabiliteacutes des applications Web introduisent encore des risques techniques consideacuterables pour les organisations
LamaturiteacutedunetechnologienedeacutefinitpassonprofildevulneacuterabiliteacuteLun des changements majeurs de paradigme technique au cours de la derniegravere deacutecennie a eacuteteacute ladoption massive dappareils mobiles capables dexeacutecuter des applications personnaliseacutees Au cours des cinq derniegraveres anneacutees seulement les donneacutees OSVDB ont afficheacute une croissance de 787 du nombre de vulneacuterabiliteacutes deacutecouvertes dans le cas des technologies mobiles (voir la Figure 6) La derniegravere anneacutee agrave elle seule montre une augmentation de 68 avec 158 vulneacuterabiliteacutes deacutecouvertes en 2011 et 266 en 2012
Figure 6 Vulneacuterabiliteacutes deacutecouvertes pour les technologies mobiles et eacutevalueacutees par lOSVDB entre 2008 et 2012
0
50
100
150
200
250
300
2008 2009 2010 2011 2012
Par comparaison les systegravemes de controcircle et de collecte de donneacutees (SCADA) qui controcirclent les processus industriels automatiseacutes notamment dans les domaines de la fabrication la production deacutelectriciteacute le secteur minier et le traitement des eaux sappuient sur des technologies beaucoup plus abouties Ces systegravemes qui opeacuteraient historiquement sur des reacuteseaux distincts avec des protocoles proprieacutetaires ont ensuite entameacute une migration vers des reacuteseaux standard et mecircme Internet dans le but de simplifier la gestion des ressources la facturation et les aspects opeacuterationnels A mesure que ces systegravemes ont quitteacute leurs reacuteseaux isoleacutes distincts des problegravemes de seacutecuriteacute autrefois masqueacutes par une surface dattaque reacuteduite ont commenceacute agrave se manifester
Livre blanc | Rapport HP 2012 sur les cyber-risques
8
Dapregraves les donneacutees de lOSVDB 76 vulneacuterabiliteacutes seulement ont eacuteteacute deacutetecteacutees dans les systegravemes SCADA entre 2008 et 2010 En revanche apregraves la deacutecouverte en 2010 du ver Stuxnet dans une usine denrichissement duranium iranienne lattention sest focaliseacutee sur la seacutecuriteacute des systegravemes SCADA En 2011 164 vulneacuterabiliteacutes ont eacuteteacute recenseacutees dans les systegravemes SCADA et ce nombre a atteint 191 en 2012 soit une augmentation de 768 par rapport aux chiffres de 2008 (voir la Figure 7)
Figure 7 Vulneacuterabiliteacutes des systegravemes SCADA deacutecouvertes et eacutevalueacutees par lOSVDB entre 2008 et 2012
0
50
100
150
200
250
2008 2009 2010 2011 2012
ProgrammeZero Day Initiative coupdœilsur 2012Gracircce agrave la position de leader du ZDI en qualiteacute de programme dacquisition des vulneacuterabiliteacutes les chercheurs de leacutequipe ont maintes fois eu loccasion danalyser certaines des vulneacuterabiliteacutes les plus inteacuteressantes et les plus deacutebattues qui sont survenues au cours des douze derniers mois Les cas dignes dinteacuterecirct suivants observeacutes en 2012 illustrent le croisement des marcheacutes blanc et noir
Au deacutebut de lanneacutee 2012 une vulneacuterabiliteacute des services Bureau agrave distance Microsoftreg (ZDI-12-044 MS12-020 et CVE-2012-0002) a fait lobjet de toutes les attentions
bull Le ZDI a signaleacute cette faille speacutecifique agrave Microsoft en aoucirct 2011
bull Aucune attaque exteacuterieure connue ne fut signaleacutee mais consciente de son pouvoir dattraction aupregraves des attaquants la socieacuteteacute Microsoft sattendait deacutejagrave agrave des exploitations imminentes pour mars 2012
bull Il eacutetait possible dacceacuteder agrave cette faille sur le reacuteseau avant toute authentification requise Elle se manifestait deacutejagrave lors de la gestion des erreurs au moment du chargement des eacuteleacutements dans un tableau
Un mois plus tard Samba publia un correctif tregraves attendu fondeacute sur une faille identifieacutee par un chercheur du ZDI (TPTI-12-04 CVE-2012-1182)
bull Le ZDI signala cette faille agrave Samba en septembre 2011
bull Aucune attaque exteacuterieure connue ne fut signaleacutee mais la vulneacuterabiliteacute incrimineacutee comptait parmi les vulneacuterabiliteacutes les plus graves pour un programme et Samba traita sans attendre le problegraveme
bull Cette faille nexigeait aucune connexion authentifieacutee et aboutissait agrave une meacutemoire corrompue quun attaquant pouvait librement exploiter pour exeacutecuter du code agrave distance
La fin de lanneacutee 2012 fut une peacuteriode dactiviteacute intense pour les attaques de type zero-day qui toucha autant Oracle (CVE-2012-0422 CVE-2012-3174) que Microsoft (MS13-008 CVE-2012-4792) Le ZDI eacutetait aux premiegraveres loges et signala une vulneacuterabiliteacute importante de Java lieacutee agrave une faille zero-day
bull Le ZDI signala cette faille Java agrave Oracle en deacutecembre 2012
bull Cette faille eacutetait exploiteacutee au grand jour
bull Elle permettait agrave une applet malveillante dexeacutecuter un code fourni par un attaquant et de le faire agrave distance dans le contexte de lutilisateur actuel
Ces cas ne sont pas les seuls cas geacutereacutes par le ZDI en 2012 mais ils montrent bien le croisement des marcheacutes noir et blanc dans cette chasse aux vulneacuterabiliteacutes Une chose est sucircre nos chercheurs sont engageacutes dans une course contre la montre visant agrave identifier et divulguer de maniegravere responsable les vulneacuterabiliteacutes des technologies logicielles les plus reacutepandues
Livre blanc | Rapport HP 2012 sur les cyber-risques
9
Vulneacuterabiliteacutesdesapplications Web
Pour dresser un tableau plus complet des vulneacuterabiliteacutes actuelles leacutequipe HP Fortify on Demand sest reacuteunie et a analyseacute les reacutesultats de milliers deacutevaluations pour savoir agrave quoi ressemble la seacutecuriteacute des applications Web de linteacuterieur Pour cela elle a proceacutedeacute agrave des examens de code et des tests de peacuteneacutetration Un examen minutieux des reacutesultats des analyses statiques (recherche de vulneacuterabiliteacutes dans le code source sans exeacutecution de ce dernier) et dynamiques (tests de fonctionnement du logiciel en qualiteacute dattaquant sans accegraves au code mecircme) constitue une base solide pour eacutetablir un reacuteel eacutetat des lieux en matiegravere de risques pour les applications Web
Les jeux deacutechantillons utiliseacutes pour cette analyse comprenaient 200 applications choisies au hasard pour lanalyse dynamique et 800 applications pour lanalyse statique La Figure 8 montre les cinq principales vulneacuterabiliteacutes deacutecouvertes dans le cadre de lanalyse dynamique en 2012
Figure 8 Cinq principales vulneacuterabiliteacutes deacutecouvertes lors de lanalyse dynamique en 2012 via HP Fortify on Demand
45
26 25
13
9
0
5
10
15
20
25
30
35
40
45
50
Scripts intersites ProtectionTransport
Layer insuffisante
Mauvaiseconfiguration
de seacutecuriteacute
Gestion delauthentification
et des sessiondeacutefaillante
Failles dinjection
Les reacutesultats dynamiques obtenus agrave partir de ce jeu deacutechantillons ainsi que dautres reacutesultats consigneacutes dans ce rapport montrent que les attaques par script intersite constituent toujours une menace importante lors de toute tentative de seacutecurisation des applications Web Si lon tient compte de la premiegravere place quoccupent les attaques par script intersite parmi les types de vulneacuterabiliteacute acquis par le ZDI lanneacutee derniegravere et de lampleur reacuteelle de ces attaques confirmeacutee par des tests reacutepeacuteteacutes les organisations peuvent agrave juste titre les consideacuterer comme une preacuteoccupation majeure en matiegravere de seacutecuriteacute
La Figure 9 deacutecrit le mode opeacuteratoire dune attaque par script intersite classique et comment lexploiter pour deacuterober des informations didentification dauthentification sur des sites strateacutegiques
Livre blanc | Rapport HP 2012 sur les cyber-risques
10
Figure 9 Anatomie dune attaque par script intersite reacutefleacutechie
Site bancaire
Utilisateur creacutedule
Attaquantmalveillant
1 Un attaquant deacutecouvre une faille XSS dans une application Web
3 Lattaquant distribue le lien XSS malveillant via dingeacutenierie sociale agrave des utilisateurs creacutedules
2 Lattaquant creacutee une URL dattaque pour voler des informations sensibles et la deacuteguise afin quelle paraisse leacutegitime
4 Lorsque la victime se connecte JavaScript qui est inteacutegreacute au lien XSS malveillant sexeacutecute et transmet les informations de connexion de la victime agrave lattaquant
La Figure 10 montre les cinq principales vulneacuterabiliteacutes deacutecouvertes dans le cadre de lanalyse statique en 2012 et inclut le pourcentage relatif dapplications toucheacutees par chaque cateacutegorie de vulneacuterabiliteacute
Figure 10 Cinq principales vulneacuterabiliteacutes deacutecouvertes lors de lanalyse statique en 2012 via HP Fortify on Demand
92 88 86
75
61
0
10
20
30
40
50
60
70
80
90
100
Fuites dinformationset gestion des
erreurs inapproprieacutee
Stockagedes donneacutees
cryptographiquesnon seacutecuriseacute
Failles dinjection Reacutefeacuterencedobjet directenon seacutecuriseacutee
Gestion delauthentification et des
session deacutefaillante
Les reacutesultats de lanalyse statique reacutevegravelent que les fuites dinformation les problegravemes de stockage des donneacutees cryptographiques et les failles dinjection sont les vulneacuterabiliteacutes les plus freacutequentes Un eacuteleacutement non citeacute dans cette liste des cinq principales vulneacuterabiliteacutes est que pour 51 des applications il eacutetait question dune attaque par script intersite reacutefleacutechie (voir la Figure 9 ci-avant) Sil ne figure pas dans la liste il reste neacuteanmoins un eacuteleacutement important si on lajoute aux autres reacutesultats de ce rapport
Les reacutesultats de ces jeux deacutechantillons confirment nettement que les applications Web souffrent encore aujourdhui de nombreuses faiblesses pourtant jugeacutees critiques par les diverses normes industrielles en vigueur Les cinq principales cateacutegories de vulneacuterabiliteacute qui dominent les reacutesultats sont souvent celles qui exposent les applications Web agrave des risques importants notamment le vol dinformations lescalade de privilegraveges etc Ces deux jeux deacutechantillons nous amegravenent agrave la conclusion que les organisations ne parviennent toujours pas agrave appliquer des mesures coheacuterentes pour faire face agrave des vulneacuterabiliteacutes omnipreacutesentes comme les scripts intersites et les fuites dinformation
Livre blanc | Rapport HP 2012 sur les cyber-risques
11
Un autre eacuteleacutement agrave retenir est que la vulneacuterabiliteacute la plus employeacutee par des attaquants en relation avec dautres vulneacuterabiliteacutes connues est la fuite dinformation Un eacuteleacutement dinformation preacutecis peut sembler sans inteacuterecirct mais peut pourtant ecirctre le composant cleacute qui permettra agrave un attaquant dimposer une technique pour mener une attaque plus deacutevastatrice encore En somme pour preacuteparer et reacuteussir une attaque des techniques minutieuses de collecte des informations et de reconnaissance sont indispensables
Risquesdesapplications Web eacutetudedecas
ProfildelasocieacuteteacuteGrande entreprise multinationale (plus de 100 000 employeacutes) avec un chiffre daffaires de plus de 82 milliards de dollars pour lexercice fiscal 2012
Cette entreprise dispose dun programme de seacutecuriteacute actif et opeacuterationnel Les reacutesultats montrent les efforts qui sont neacutecessaires pour geacuterer entiegraverement les risques lieacutes agrave la seacutecuriteacute des applications Les reacutesultats qui suivent proviennent de plus de 1 300 eacutevaluations dynamiques uniques meneacutees sur les divers sites de lentreprise Dans legravere de la seacutecuriteacute des applications modernes une vulneacuterabiliteacute est souvent une de trop
Reacutesultats
bull 541 des eacutevaluations ont reacuteveacuteleacute des cookies persistants LAgence europeacuteenne chargeacutee de la seacutecuriteacute des reacuteseaux et de linformation (ENISA) emploie le terme cookies doux-amers pour parler de ces cookies Les cookies persistants augmentent consideacuterablement la probabiliteacute dattaques par relecture en raison de la dureacutee de validiteacute prolongeacutee des cookies La divulgation dinformations sur des ordinateurs publics partageacutes peut eacutegalement produire des cookies persistants Parce que les cookies servent entre autres agrave observer le comportement des utilisateurs il est probable que les avantages potentiels quils preacutesentent pour lentreprise aient quelque peu relayeacute les questions de seacutecuriteacute au second plan
bull Un peu moins de la moitieacute (4832 ) des sites eacutetaient vulneacuterables face agrave une certaine forme dattaque par script intersite
bull Presque un cinquiegraveme (1957 ) des sites contenaient un formulaire de connexion non crypteacute agrave scheacutema mixte ougrave les informations dune page HTTP eacutetaient publieacutees dans une page HTTPS ou inversement
bull 1277 des eacutevaluations eacutetaient vulneacuterables agrave une certaine forme dinjection SQL Le plus intrigant cest que 1097 des eacutevaluations confirmaient les vulneacuterabiliteacutes dinjection SQL agrave laveugle Si lon tient compte du caractegravere particuliegraverement dangereux des injections SQL agrave laveugle et du fait que ces vulneacuterabiliteacutes sont souvent employeacutees pour compromettre un systegraveme ce pourcentage pose de graves problegravemes
bull Un autre cinquiegraveme (197 ) des sites eacutetaient vulneacuterables aux connexions transmises via une connexion non crypteacutee ce qui signifie que le formulaire nutilisait pas le protocole SSL
bull 526 des sites eacutetaient exposeacutes agrave une vulneacuterabiliteacute de lectureinclusion de fichier local Sil eacutetait jugeacute sensible le contenu du fichier pouvait ecirctre utiliseacute pour prendre le controcircle du systegraveme
Des attaques deacutevastatricesOutre des statistiques les organismes chargeacutes de collecter des informations de seacutecuriteacute ont eacutegalement besoin dobservations et dideacutees Dans cette optique la section qui suit propose une liste sommaire des attaques deacutevastatrices que les responsables des tests de peacuteneacutetration chez HP Fortify on Demand ont deacutecouvertes en 2012 Chaque compte a eacuteteacute deacutecouvert moyennant autorisation au cours dopeacuterations approuveacutees meneacutees agrave lencontre de sites de production avec des difficulteacutes techniques allant des plus simples aux plus complexes Le deacutenominateur commun est que toutes les attaques avaient des conseacutequences extrecircmement graves si elles eacutetaient deacutecouvertes par un attaquant malveillant Pour des raisons eacutevidentes les noms des clients nont pas eacuteteacute inclus mais les secteurs eux-mecircmes sont inseacutereacutes dans la liste pour illustrer le danger potentiel et la pertinence des attaques Si ces exemples revecirctent un caractegravere anecdotique par deacutefinition ils profitent de lexpeacuterience et des avis de nos responsables de tests de peacuteneacutetration dune maniegravere que les simples statistiques ne permettent pas Lagrave encore la seacutecuriteacute est plus quune affaire de produits Cest un processus
Attaques par injection et attaques par validation dentreacutee incorrecte Secteurs dactiviteacute peacutetrochimie industrie alimentaire eacutenergie et logicielsTeacuteleacutechargementsdefichiersnonseacutecuriseacutesetconfigurationincorrectedelaseacutecuriteacute Un programme client lourd permettait agrave nimporte quel utilisateur de charger (au moyen de sa fonction de chargement intrinsegraveque) des programmes malveillants sur un serveur Web muni daucune protection contre ce type de programme Environ 30 000 utilisateurs dans le monde entier se servaient de ce programme les risques eacutetaient donc particuliegraverement grands Les fonctions de teacuteleacutechargement de fichiers doivent impeacuterativement faire preuve de meacutefiance agrave leacutegard des types de fichiers acceptables La Figure 11 deacutecrit les conseacutequences de ce sceacutenario
Livre blanc | Rapport HP 2012 sur les cyber-risques
12
Figure 11 Lautorisation de teacuteleacutechargements de fichiers peut avoir des conseacutequences seacutevegraveres
Teacuteleacutechargementsde fichiers
non valideacutes
Aucuneprotectionpar logiciel
anti-programmemalveillant
30 000utilisateurs
sont infecteacutes parle logiciel
malveillant
Injection SQLagravelaveugle les fonctionnaliteacutes daide agrave la recherche (une seacuterie de cases agrave cocher conccedilues pour aider les utilisateurs agrave restreindre leurs critegraveres de recherche) sans validation dentreacutee ont abouti agrave laffichage de 35 bases de donneacutees dID dutilisateur de systegraveme de base de donneacutees et de hachages de mot de passe y compris le compte dadministrateur systegraveme Linjection SQL agrave laveugle peut ecirctre difficile agrave deacuteceler parce quelle geacutenegravere rarement des messages derreur et manifeste un comportement applicatif anormal Les requecirctes parameacutetrables eacutegalement appeleacutees instructions preacutepareacutees empecircchent avec efficaciteacute les attaques par injection SQL si elles ont correctement mises en place5 La Figure 12 deacutecrit cette seacutequence
Instructions SQLentexteclair lors des tests effectueacutes sur une application cliente lourde il a eacuteteacute deacutecouvert que le client exeacutecutait des instructions SQL directement sur le serveur SQL principal avec des autorisations de niveau administrateur sur HTTP Une escalade des privilegraveges utilisateur et la modification des mots de passe furent possibles en soumettant le protocole agrave une ingeacutenierie agrave rebours et en le manipulant (voir la Figure 13)
Inclusiondefichierlocal des techniques de traversement de reacutepertoires (Directory Traversal) et dinclusion de fichier local ont eacuteteacute employeacutees pour afficher le contenu du fichier SAM (Gestionnaire de comptes de seacutecuriteacute) de sauvegarde du serveur Web qui permettait de deacutecoder les mots de passe Au bout de dix minutes il eacutetait possible pour un administrateur local dacceacuteder au systegraveme et de tout compromettre Les routines de validation dentreacutee quelles soient inheacuterentes agrave lapplication ou interviennent au niveau de configuration du serveur Web auraient eacutelimineacute ce vecteur
AttaquesvisantagraveexploiterunemauvaiseconfigurationdeseacutecuriteacuteSecteurs dactiviteacute peacutetrochimie et secteur bancaire internationalImpossibiliteacutederestreindrelaccegravesauxreacutepertoiressensibles dans ce cas le reacutepertoire deacutecouvert eacutetait ldquohttpswwwexamplecompasswordsrdquo Naturellement aucun dossier ldquopasswordsrdquo tout du moins public ne devrait exister Le dossier eacutetait accessible via des navigateurs Web sans aucune authentification et comprenait une liste de reacutepertoires avec des fichiers texte aux noms divers tels que ldquopasswordsprojectrdquo ou mecircme ldquopasswordssystemsrdquo Un simple clic sur un fichier provoquait louverture dun document texte muni dune liste dutilisateurs et de mots de passe au format suivant userpassword Une des listes contenait mecircme ldquosysadminpassword adminpassword etchelliprdquo (voir la Figure 14) Ceci illustre la neacutecessiteacute et limportance de la validation danalyse post-automatique puisque cette vulneacuterabiliteacute qui pose de faibles risques en apparence pouvait aiseacutement passer inaperccedilu aux yeux du client Qui plus est le problegraveme aurait pu ecirctre eacuteviteacute si laccegraves au reacutepertoire avait eacuteteacute restreint comme il le fallait
Leprotocole WebDAVactiveacuteautorisaitlesopeacuterationsdeacutecritureagravedistance Le mode dactivation du protocole WebDAV sur un serveur Web en particulier permettait agrave des utilisateurs dapplications distants de communiquer avec lhocircte et deacutecrire des fichiers dans des reacutepertoires arbitraires Lexploitation de cette vulneacuterabiliteacute permettait de teacuteleacutecharger une porte deacuterobeacutee personnaliseacutee puis de lexeacutecuter en parcourant le chemin daccegraves agrave lURL du fichier reacutecemment transfeacutereacute Une fois exeacutecuteacutee elle offrait la possibiliteacute de controcircler entiegraverement le serveur Web En preacutevoyant de plus amples tests la personne chargeacutee de ces tests pouvait librement poursuivre une attaque contre dautres hocirctes sur le reacuteseau interne de lentreprise processus appeleacute glissement (pivoting) La suppression de laccegraves WebDAV et de meacutethodes HTTP exteacuterieures aurait pu eacuteviter cette attaque
Injection SQLetcommandesdevalidationdentreacuteefaibles Un filtre SQL filtrait tout agrave lexception de lopeacuterateur ldquoORrdquo Cela signifie essentiellement quapregraves insertion de lopeacuterateur ldquoORrdquo dans une instruction SQL chaque commande serait exeacutecuteacutee sur le systegraveme Le parameacutetrage des requecirctes empecircchera les attaques par injection SQL La Figure 15 deacutecrit le deacuteroulement seacutequentiel dune attaque par injection SQL
Livre blanc | Rapport HP 2012 sur les cyber-risques
5 httpswwwowasporgindexphpSQL_Injection_Prevention_Cheat_Sheet
Figure 12 Injection SQL agrave laveugle
Injection SQLagrave laveugle
Voldinformationsutilisateur
Accegraves agraveladministrationsystegraveme
Figure 13 Instructions SQL en texte clair
Protocoledingeacutenierie clientserveur agrave rebours
Exeacutecution SQL
Reacuteinitialisation dumot de passe avec
des privilegravegesplus eacuteleveacutes
Figure 14 Restriction daccegraves impossible
Accegraves au reacutepertoire non restreint
passwrdsprojectuserpassword sysadminmot de passe
passwordssystems fichier
httpswwwexamplecompasswords reacutepertoire
13
Figure 15 Anatomie dune attaque par injection SQL
Site bancaireBase de donneacutees
de la banque
1=1
Attaquant malveillant
1 Lattaquant envoie des informations suppleacutementaires telles quun guillemet ou 1=1 avec des informations de connexion ou inclure des variablespour modifier linstruction SQL originale
3 Une fois que le scheacutema de base de donneacutees a eacuteteacute deacutefini lattaquant peut extraire les donneacutees contenues dans la base de donneacutees notamment les noms dutilisateur les mots de passes les informations de carte de creacutedit etc
2 Avec lapproche par essais et erreurs lattaquant peut construire des arguments SQL pouvant ecirctre utiliseacutes pour reacutecupeacuterer des donneacutees telles que des noms de tableaux ou des noms delignes etc
Mauvaiseconfiguration SAP Linteacutegraliteacute de la base de donneacutees des cartes de creacutedit eacutetait accessible et eacutetait transfeacutereacutee dans un fichier Les commandes configureacutees dans la structure SAP mise en place eacutetaient de qualiteacute meacutediocre et permettaient agrave des repreacutesentants du service clientegravele dexeacutecuter des transactions agrave caractegravere sensible y compris le navigateur de donneacutees HR (SE16) Cette fonction eacutetait exploiteacutee pour parcourir et charger le contenu tout entier de la table des donneacutees des cartes de creacutedit des clients Accessibles de cette maniegravere toutes les donneacutees pouvaient aiseacutement ecirctre exporteacutees agrave laide de comptes SAP avec des privilegraveges moindres
AttaquesparauthentificationparsessionlogiqueetautresattaquesSecteurs dactiviteacute compagnies aeacuteriennes secteur bancaire international et eacutenergieListedebilletsdavionviadesservices Webdecreacuteationdecodes QRmobiles Les testeurs eacutetaient capables de reconstituer agrave rebours une partie de la fonction des services Web pour creacuteer des numeacuteros de billets De faux codes QR de billets davion eacutetaient ainsi geacuteneacutereacutes pour des vols aeacuteriens Il est tout est fait possible que lexploitation de cette fonction ait permis aux attaquants de voler gratuitement En labsence de controcircles preacuteventifs efficaces ils pouvaient senregistrer librement par le biais de leurs appareils mobiles Le recours agrave une fonction de controcircle aleacuteatoire standard des numeacuteros de billets aurait pu eacutegalement eacuteviter ce problegraveme
Figure 16 Creacuteation de mots de passe dynamiques agrave cryptage facilement reacuteversible
AttaqueSQL
Servicedauthen-tification
Web
Capturedu trafic chiffreacute
Deacutesactivationdu chiffrement
du mot depasse
Randomisationdes mots de
passeinsuffisante
Accegravesadministrateur
agrave la basede donneacutees
Deacutesactivation du chiffrement -mot de passe devinable
Accegraves complet agrave labase de donneacutees avec des
autorisations dadministrateur
Livre blanc | Rapport HP 2012 sur les cyber-risques
14
Creacuteationdemotsdepassedynamiquesagravecryptagefacilementreacuteversible lapplication cliente lourde testeacutee communiquait avec un service Web qui se chargeait dabord dauthentifier lutilisateur qui tentait de se connecter Ensuite lapplication demandait le mot de passe au serveur de base de donneacutees principal Au deacutepart le mot de passe eacutetait crypteacute pour la transmission mais simultaneacutement lors dune autre attaque SQL un indicateur de la base de donneacutees a eacuteteacute renverseacute deacutesactivant et annulant ainsi les effets du cryptage Il sest aveacutereacute que le systegraveme mettait en place des mots de passe dynamiques qui changeaient freacutequemment cependant apregraves regroupement des nombreux mots de passe un scheacutema eacutevident est apparu Le mot de passe suivait une chronologie et eacutetait donc facile agrave deviner Un accegraves direct agrave la base de donneacutees avec des autorisations administratives fut confirmeacute et compromit entiegraverement le systegraveme (voir la Figure 16)
Leservice Webautorisaitdesrequecirctes SQLdirectes une application autorisait des connexions agrave sa base de donneacutees principale via un interpreacuteteur Web accessible sur Internet sans authentification Avec des connaissances limiteacutees en SQL un attaquant pouvait aiseacutement extraire toutes les donneacutees enregistreacutees dans la base de donneacutees cliente y compris les deacutetails complets des comptes des utilisateurs noms dutilisateurs mots de passe adresses de messagerie et autres informations didentification personnelle
En partageant les reacutesultats de ces tests de peacuteneacutetration en conditions reacuteelles notre but est dattirer lattention sur la creacuteativiteacute sans bornes et la deacutetermination sans fin des attaquants malveillants Les testeurs de peacuteneacutetration cherchent agrave reproduire ces techniques pour tenter deacutevaluer avec efficaciteacute chaque commande de seacutecuriteacute et sassurer que les donneacutees sensibles et les fonctions applicatives sont proteacutegeacutees Comme le prouvent ces reacutesultats les tests de seacutecuriteacute automatiseacutes seuls ne mesurent pas inteacutegralement la politique globale dun environnement en matiegravere de seacutecuriteacute et doivent ecirctre compleacuteteacutes par une analyse manuelle
Dans la section suivante les chercheurs HP en seacutecuriteacute de logiciels cherchent agrave mettre agrave jour une vulneacuterabiliteacute cruciale souvent utiliseacutee conjointement avec les nombreuses attaques et techniques mentionneacutees plus haut et pour lesquelles une strateacutegie de preacutevention efficace reste globalement agrave mettre en place
En-tecircteX-Frame-Options eacutechecdelancementPour illustrer la nature toujours changeante de la seacutecuriteacute des applications Web les speacutecialistes du groupe HP Software Security Research ont examineacute une vulneacuterabiliteacute deacutejagrave reconnue et officiellement appeleacute script sur plusieurs cadres ou XFS XFS est un outil indispensable pour tout attaquant qui tente deacutelaborer une attaque de hameccedilonnage (phishing) ou dingeacutenierie sociale dans le but de charger un site Web vulneacuterable dans une balise iFrame HTML sur une page malveillante controcircleacutee par un attaquant Ce dernier peut alors extraire des eacuteveacutenements (des seacutequences de touches par exemple) appeleacutes par un utilisateur quelconque sur le site Web cibleacute
Les vulneacuterabiliteacutes XFS ouvrent eacutegalement la voie aux attaques de type clickjacking6 qui trompent les utilisateurs en les incitant agrave cliquer sur des eacuteleacutements preacutecis sur le site Web cibleacute chargeacute agrave linteacuterieur dune balise iFrame invisible Souvent ces reacutesultats aboutissent sur des actions non voulues voire privileacutegieacutees Depuis des anneacutees les chercheurs mettent en garde contre linefficaciteacute des protections par code frame-busting baseacute sur des scripts dans la preacutevention des menaces du XFS Pourtant les deacuteveloppeurs et les administrateurs de serveur qui les assistent ont toujours uniquement recours au meacutecanisme JavaScript (Figure 17) pour deacutetecter des attaques XFS
Les diverses meacutethodes de preacutevention contre XFS se sont maintes fois montreacutees incomplegravetes ou inefficaces Le plus reacutepandu de ces modes de preacutevention est la logique de frame-busting (destruction) de JavaScript ou plus preacuteciseacutement un script cocircteacute client qui ressemble agrave celui preacutesenteacute dans la Figure 175
Figure 17 Logique classique de frame-busting JavaScript
ltscriptgt
if (top=self) toplocationhref = selflocationhref
ltscriptgt
Livre blanc | Rapport HP 2012 sur les cyber-risques
6 cvedetailscomcveCVE-2002-1217
15
Outre les nombreuses variantes de cette technique quil est facile de deacutenicher en ligne des contre-mesures datteacutenuation ont eacutegalement eacuteteacute mises en place pour lutter aussi contre ces variantes avec des regravegles grosso modo eacutequivalentes agrave celles du jeu de la taupe
Comme le montre la Figure 18 la premiegravere vulneacuterabiliteacute XFS documenteacutee a eacuteteacute deacutecouverte il y a plus de 10 ans7 Depuis le clickjacking est devenu une vulneacuterabiliteacute reacutepandue et malgreacute cela moins de un pour cent de nos eacutechantillons incluait loutil de preacutevention le plus connu agrave savoir len-tecircte X-Frame-Options
Figure 18 Bref historique des eacuteveacutenements majeurs lieacutes agrave la deacutetection de failles de type XFS (script sur plusieurs cadres)
29062002Bug iFrame Jesse Rudermana
28102002Premier CVE XFS connub
16112005Echec des techniques de Framec
21052008Premiegravere mention publique de lattribut iFrame sandboxd
12092008Le terme clickjacking est inventeacutee
26012009Premier navigateur prenant en charge des options X-Framef
17062010Busting Frame Bustinga Study of ClickjackingVulnerabilities on Popular Sitesg
27012012Facebook poursuit uneentreprise de clickjackingh
11072012Dernier conseilXFS connui
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
a httpsbugzillamozillaorgshow_bugcgiid=154957 b httpwwwcvedetailscomcveCVE-2002-1217 c httpcryptostanfordeduframebust d httphtml5orgtoolsweb-apps-trackerfrom=1642ampto=1643 e httpwwwsectheorycomclickjackinghtm f httpblogsmsdncombiearchive20090126internet-explorer-8-release-candidate-now-availableaspx g httpcdnlytlpublicationsbusting-frame-busting-a-study-of-clickjacking-vulnerabilities-on-popular-sitespdf h httpwwwguardiancouktechnology2012jan27facebook-sues-clickjacking-firm-adscend i httposvdborgshowosvdb83762
Lhistoire du XFS (Cross-Frame Scripting ou scripts sur plusieurs cadres) remonte agrave la publication dun rapport relativement banal sur un comportement observeacute par Jesse Ruderman en 20028 et devenu aujourdhui un eacuteleacutement moteur dun autre pheacutenomegravene communeacutement appeleacute clickjacking Un eacuteleacutement cleacute de la reacutegression identifieacutee en matiegravere de seacutecuriteacute eacutetait la deacutecision dajouter lattribut sandbox agrave leacutebauche de la speacutecification HTML5 pour la balise iFrame au milieu de lanneacutee 2008
Les chercheurs ont deacutemontreacute que plusieurs contre-mesures datteacutenuation eacutetaient possibles avec des bugs des navigateurs ou des astuces JavaScript Le dernier eacuteleacutement ajouteacute agrave cette liste comme le montre la Figure 19 est lutilisation dune fonction de seacutecuriteacute introduite dans la speacutecification HTML5 sous la forme dun attribut sandbox iFrame que les attaquants peuvent exploiter pour deacutesactiver les protections de frame-busting de JavaScript
Figure 19 Attribut sandbox iFrame
ltiframe sandbox=rdquoallow-scriptsrdquo src=rdquohttpexamplecomrdquogtltiframegt
Lobjet de lattribut sandbox est daccorder lautorisation dexeacutecuter des scripts (allow-scripts) dans le contenu cibleacute A titre accessoire toutes les logiques de frame-busting employeacutees par examplecom sont effectivement deacutesactiveacutees en lui refusant lautorisation allow-top-navigation dans sa speacutecification sandbox
Gracircce agrave lattribut sandbox cette technique permet agrave un attaquant de deacutejouer de maniegravere efficace toutes les tentatives de frame-busting que megravenent les deacuteveloppeurs pour se proteacuteger de tout encadrement de site et toute opeacuteration de clickjacking par des tiers Les eacutediteurs de navigateurs ont introduit et valideacute une technique de preacutevention baseacutee sur des strateacutegies bien plus forte gracircce agrave len-tecircte X-Frame-Options Les deacuteveloppeurs peuvent se servir de cet en-tecircte pour dicter au navigateur les actions adeacutequates agrave entreprendre si leur site est inclus dans un iFrame Malheureusement ladoption de cette fonction parmi les deacuteveloppeurs est tregraves lente et offre aux attaquants un vaste terrain de sites potentiellement exploitables agrave mesure quils deacutecouvrent de nouvelles techniques pour contourner les scripts de frame-busting Ceci rend plus indispensable encore ladoption et la mise en œuvre de len-tecircte X-Frame-Options puisque ce dernier constitue la solution de facto agrave ce problegraveme et reste en vigueur mecircme lorsque le nouvel attribut sandbox HTML5 est utiliseacute Voilagrave donc ce qui motive notre projet de recherche et ce qui est agrave lorigine de notre question de deacutepart Combien de domaines incluent des en-tecirctes X-Frame-Options et combien le font correctement
Livre blanc | Rapport HP 2012 sur les cyber-risques
7 cvedetailscomcveCVE-2002-1217 8 httpsbugzillamozillaorgshow_bug
cgiid=154957
16
Collection de jeux deacutechantillons Dans le cadre de cette eacutetude le groupe HP Fortify Software Security Research a meneacute des recherches pour eacutevaluer agrave quel point les faibles pratiques de preacutevention des attaques XFS restent aujourdhui adopteacutees et font autoriteacute Nos reacutesultats soulignent eacutegalement la reacuteticence et le rythme dadoption tregraves lent dautres meacutethodes plus seacutecuriseacutees recommandeacutees par des speacutecialistes des navigateurs et des experts en seacutecuriteacute
Alexa9 fut utiliseacute pour renseigner une collection de 100 000 sites Web (les plus connus) et geacuteneacuterer une liste distribueacutee dans de nombreux secteurs diffeacuterents Une fois la liste de deacutepart creacuteeacutee avec ses 100 000 URL les demandes de niveau supeacuterieur furent assembleacutees en concateacutenant ldquohttprdquo dans lURL obtenue Par exemple
ldquohttprdquo + exemplecom = httpexemplecom
Ensuite la nouvelle URL composeacutee fut demandeacutee et la reacuteponse obtenue examineacutee de maniegravere passive agrave la recherche des eacuteleacutements suivants
bull La preacutesence dun en-tecircte X-Frame-Options et de ses valeurs respectives
bull La preacutesence dun champ de mot de passe dans la reacuteponse de la demande de niveau supeacuterieur Un champ de mot de passe est censeacute indiquer un niveau de sensibiliteacute qui doit ecirctre proteacutegeacute par lapplication
bull Si la preacutesence de len-tecircte neacutetait pas respecteacutee lURL cible eacutetait soumise agrave des tests suppleacutementaires afin de distinguer si une tentative de deacutejouer les attaques XFS avait eu lieu Le recours agrave la preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade a eacuteteacute enregistreacute pour une analyse ulteacuterieure
Reacutesultats90 des eacutechantillons analyseacutes nont jamais rien tenteacute pour se proteacuteger des attaques XFS De tous les domaines doteacutes dune protection active contre les attaques XFS 62 ont recours agrave des meacutecanismes de preacutevention faibles fondeacutes sur les scripts Sur les 100 000 domaines testeacutes 19 848 disposaient de champs de mot de passe dans la demande de niveau supeacuterieur avec seulement 101 domaines preacutecisant un en-tecircte X-Frame-Options Celasignifieque01 deseacutechantillonssontproteacutegeacutesDe plus plus de 99 des eacutechantillons oubliaient de speacutecifier un en-tecircte X-Frame-Options tandis que 19 dentre eux avaient une raison dinclure len-tecircte mais ne lont pas fait
Les reacutesultats montrent que soit les deacuteveloppeurs ne sont pas suffisamment informeacutes des risques que posent les vulneacuterabiliteacutes XFS soit ils ne souhaitent consacrer aucun effort agrave la protection de leurs visiteurs Si 2 307 eacutechantillons deacutevoilaient des protections contre les attaques XFS seulement 38 ont opteacute pour lutilisation de len-tecircte X-Frame-Options preacuteconiseacute 1 432 eacutechantillons ont montreacute quils employaient toujours des techniques de preacutevention et datteacutenuation fondeacutees sur JavaScript ou les feuilles de style en cascade qui se sont aveacutereacutees insuffisantes (voir la Figure 20)
Les 875 domaines fondeacutes sur len-tecircte X-Frame-Options affichaient la distribution de valeurs suivante
1 702 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur SAMEORIGIN
2 151 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur DENY
3 13 des 875 domaines eacutetaient deacutefinis avec lattribut Allow-from
4 8 des 875 valeurs fournies eacutetaient conformes agrave leacutebauche de lIETF10
Aucun des 13 domaines utilisant lattribut Allow-from ne preacutecisait un caractegravere geacuteneacuterique () reacuteduisant les risques lieacutes agrave une politique de libre accegraves La Figure 21 preacutesente ces valeurs sous forme de pourcentages
Livre blanc | Rapport HP 2012 sur les cyber-risques
9 httpsbugzillamozillaorgshow_bugcgiid=154957
10 httptoolsietforghtmldraft-ietf-websec-x-frame-options-01
Figure 20Preacutevention des risques lieacutes aux scripts sur plusieurs cadres
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade 62
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade
Options X-Frame 38
Options X-Frame
Figure 21Reacutepartition des valeurs den-tecircte X-Frame-Options fournies
REFUS 17 Allow-from
2 Autres (valeurs non en conformiteacute)1
MEcircME ORIGINE 80
17
Encadrementintersites conclusionIl est eacutevident que toutes les ressources nont pas besoin decirctre proteacutegeacutees contre les attaques XFS Cependant il demeure des situations ougrave la mise en place dune protection adeacutequate est justifieacutee et indispensable Une mesure employeacutee pour identifier ces cas au cours de cette eacutetude eacutetait la preacutesence dun champ de saisie de mot de passe dans un formulaire Les pages dauthentification sont les plus exposeacutees agrave une attaque de type clickjacking En se focalisant sur les pages munies de champs pour la saisie des mots de passe lanalyse tente deacutetablir un lien entre la sensibiliteacute dune ressource et les efforts investis pour la proteacuteger Une des statistiques les plus surprenantes dans lanalyse est que seulement 103 des 100 000 domaines proteacutegeaient comme il se doit les pages avec des champs de mots de passe confidentiels soit un taux exorbitant de 010 qui suggegravere que la puissance et lefficaciteacute de len-tecircte ont fait lobjet dune mauvaise promotion nont pas obtenu ladheacutesion des administrateurs des serveurs ou nont pas seacuteduit les deacuteveloppeurs
Il convient de souligner que si un peu plus de 80 des reacuteponses ne contenaient aucun champ de mot de passe cela ne veut pas dire pour autant quil ne faut pas proteacuteger le contenu Autrement dit leacutechantillon nincluait aucun champ de mot de passe dans la demande de niveau supeacuterieur Il est donc tregraves probable que beaucoup dautres sites sexposent agrave des risques en avanccedilant plus loin dans larborescence du site La mesure la plus importante agrave noter est le pourcentage remarquable de sites sans en-tecircte X-Frame-Options soit 99
Apregraves une analyse approfondie des reacutesultats des recherches speacutecialiseacutees consacreacutees aux attaques XFS la section qui suit se concentre agrave nouveau sur ce qui semble ecirctre le sujet de conversation le plus populaire en 2012 en matiegravere de seacutecuriteacute la seacutecuriteacute des applications mobiles
Seacutecuriteacutedesapplicationsmobiles
Dix secondes dans une file dattente nimporte ougrave suffisent pour se rendre compte que lutilisation dappareils mobiles a litteacuteralement exploseacute En fait pour la premiegravere fois 2012 est lanneacutee pendant laquelle le nombre de smartphones vendus a deacutepasseacute le nombre dordinateurs portables et dordinateurs de bureau agrave la fois11 Cette augmentation a eacuteteacute suivie aussi dune hausse proportionnelle des risques surtout au moment ougrave les entreprises essaient de mettre agrave profit les avantages quoffre la mobiliteacute Comme nous lavons vu plus haut lOSVDB a signaleacute une hausse de 68 du nombre de vulneacuterabiliteacutes signaleacutees pour les technologies mobiles depuis 2011 soit une augmentation de 787 sur les cinq derniegraveres anneacutees Lors de nos tests nous sommes toujours revenus au mecircme constat Si vous posseacutedez des donneacutees des attaquants chercheront agrave sen emparer
Pour eacutevaluer leacutetat actuel de la seacutecuriteacute des applications mobiles leacutequipe HP Fortify on Demand a rassembleacute les reacutesultats de plus de 70 applications mobiles agrave la recherche de failles de seacutecuriteacute Ce jeu deacutechantillons concernait plus de 50 organisations uniques et de nombreux secteurs au niveau local et international Il peut donc ecirctre consideacutereacute comme une repreacutesentation relativement preacutecise dune application mobile moyenne Les reacutesultats montrent que les vulneacuterabiliteacutes qui compromettent la seacutecuriteacute des applications mobiles sont les mecircmes que pour les applications classiques Ils montrent eacutegalement quun problegraveme surtout se distingue des autres Dans le paysage informatique actuel la fuite dinformation est un problegraveme particuliegraverement reacutepandu et neacutefaste La demande croissante dinformations des travailleurs mobiles allieacutee aux services de cloud de plus en plus omnipreacutesents et agrave une hausse des appareils grand public non geacutereacutes sur le reacuteseau dentreprise repreacutesente un deacutefi notable pour de nombreuses organisations
Fuite de donneacutees sensibles sur des canaux non seacutecuriseacutesLa fuite de donneacutees est un problegraveme de longue date pour les applications Web Si elle peut paraicirctre un problegraveme dampleur modeacutereacutee elle implique souvent une information en apparence inoffensive qui permet agrave un attaquant de renforcer sa strateacutegie dattaque pour mener une attaque plus dangereuse encore La mecircme chose vaut pour les applications mobiles Plus des trois quarts (77 ) des applications mobiles dans notre eacutetude eacutetaient vulneacuterables et en proie agrave des fuites dinformations Nous avons deacutecouvert que les donneacutees personnelles dun utilisateur eacutetaient souvent transmises via des protocoles reacuteseau non crypteacutes comme le protocole HTTP Il sagissait pour la plupart dinformations simples comme des noms des adresses et des numeacuteros de teacuteleacutephone Cependant dans notre jeu deacutechantillons ces donneacutees comprenaient eacutegalement lemplacement actuel de lutilisateur ainsi que lidentifiant unique de lappareil (eacutegalement appeleacute UDID)
Livre blanc | Rapport HP 2012 sur les cyber-risques
11 voiceswashingtonpostcomposttech201011smartphone_sales_to_pass_compuhtml
18
LUDID est primordial pour un appareil car il peut servir agrave des attaques extrecircmement cibleacutees contre des utilisateurs en particulier Si les donneacutees de geacuteolocalisation lidentifiant unique de lappareil et les donneacutees personnelles eacutetaient intercepteacutees sur une application vulneacuterable ce que cela implique dans la reacutealiteacute est eacutetonnant Un attaquant pourrait localiser une cible dans le monde reacuteel et les possibiliteacutes qui souvriraient alors agrave lui seraient illimiteacutees Cest la porte ouverte agrave un sceacutenario effroyable que la plupart des gens ne soupccedilonnent pas Bien entendu lexploitation dapplications simples et banales peut eacutegalement avoir lieu Imaginez le sceacutenario suivant Si lapplication transmet lUDID le nom complet ladresse et ainsi de suite agrave un service Web vulneacuterable et que ce dernier est la cible potentielle dune attaque par injection SQL on conccediloit aiseacutement que chaque bit de donneacutees sur cet appareil mobile soit accessible Il est eacutetonnant de voir jusquougrave une fuite dinformation peut mener un attaquant si les circonstances jouent en sa faveur et que tout alors est du domaine du probable voire du possible
Les donneacutees transmises sur des canaux non seacutecuriseacutes ne se limitaient pas aux donneacutees personnelles Les donneacutees applicatives elles non plus neacutetaient pas proteacutegeacutees Nous avons deacutecouvert que des informations de connexion des informations didentification utilisateur des ID de session des jetons et des donneacutees dentreprise sensibles eacutetaient transmises via des protocoles reacuteseau non crypteacutes agrave linstar du protocole HTTP Imaginez les conseacutequences pour une application bancaire vulneacuterable Si des informations didentification des identificateurs de session des informations didentification personnelle ou dautres donneacutees strateacutegiques sont transmises vers un serveur principal la transmission se doit decirctre seacutecuriseacutee sans quoi les donneacutees peuvent ecirctre intercepteacutees par un attaquant au moyen doutils ou dapplications de capture de paquets reacuteseau courants (par exemple DroidSheep)
Les recherches ont montreacute que 375 des applications pouvaient ecirctre la cible dune vulneacuterabiliteacute impliquant une forme quelconque dautorisation notamment des mots de passe en texte clair des mots de passe codeacutes en dur et des mots de passe inteacutegreacutes agrave la reacuteponse Ce pourcentage bien plus eacuteleveacute que pour les applications dites traditionnelles prouve eacutegalement que les deacuteveloppeurs dapplications mobiles doivent travailler davantage pour proteacuteger leurs donneacutees
Dautres vulneacuterabiliteacutes deacutetecteacutees en nombres importants incluaient les attaques de type stack-smashing Plus de la moitieacute des vulneacuterabiliteacutes (5545 ) noffraient aucune protection adeacutequate contre ce type dattaque Si cet oubli nentraicircne pas lexeacutecution du code il peut quand mecircme geacuteneacuterer une panne injustifieacutee de lapplication vulneacuterable
Qui plus est 135 des applications eacutetaient vulneacuterables agrave des attaques XSS Ceci fut une reacuteelle surprise puisque tous les autres ensembles dapplications que nous avons testeacutes mobiles et traditionnels reacuteveacutelaient des nombres de vulneacuterabiliteacutes XSS plus eacuteleveacutes Un examen plus attentif de ces nombres a montreacute que les applications vulneacuterables eacutetaient des applications destineacutees autant agrave la gestion de la finance que des bases de donneacutees En dautres termes le faible pourcentage ne reacuteduisait pas limpact potentiel
Les accegraves non autoriseacutes concernent quasiment la moitieacute des applications mobilesNous avons chercheacute dautres donneacutees en examinant les reacutesultats obtenus par notre partenaire Security Compass lors de ses tests sur dautres applications A de nombreux eacutegards ils confirment les chiffres eacutevoqueacutes preacuteceacutedemment
48 des applications eacutetaient la proie de vulneacuterabiliteacutes daccegraves non autoriseacute Elles valident les vulneacuterabiliteacutes dauthentification (375 ) que nous avons eacutevoqueacutees dans notre eacutechantillon plus haut Les chiffres montrent que les deacuteveloppeurs dapplications mobiles doivent autant se concentrer sur la preacutevention des accegraves non autoriseacutes sur les applications mobiles que sur les moyens de faciliter laccegraves pour les utilisateurs leacutegitimes
37 des applications posaient des problegravemes de divulgation dinformations sensibles 26 avaient recours agrave des pratiques de connexion meacutediocres et 19 affichaient des messages derreur de mauvaise qualiteacute qui reacuteveacutelaient des informations susceptibles decirctre exploiteacutees par des attaquants Ceci corrobore nos donneacutees preacuteceacutedentes car nous avons vu agrave quel point les fuites dinformations eacutetaient importantes Lors du codage des applications mobiles les deacuteveloppeurs ne tiennent pas compte de ce quimplique la seacutecuriteacute pour le stockage la transmission et laccegraves des donneacutees
33 des applications eacutetaient vulneacuterables agrave des attaques XSS Des tests reacutepeacutetitifs montrent que les attaques par script intersite (XSS) sont autant une menace pour les applications mobiles que pour les applications stationnaires Ces reacutesultats sont en phase avec ce que nous avons constateacute lors des tests des applications traditionnelles
Livre blanc | Rapport HP 2012 sur les cyber-risques
19
26 des applications employaient une meacutethode de cryptage inadapteacutee Le cryptage sur des ordinateurs dentreprise est aujourdhui une pratique standard pour la plupart des entreprises du classement Fortune 500 Il y a dix ans la presse regorgeait dhistoires de donneacutees deacuterobeacutees sur des ordinateurs perdus Les risques dans ce domaine se sont reacuteduits dune part gracircce aux mesures leacutegislatives mises en places et dautre part parce que les entreprises ont eu loccasion de lapprendre agrave leurs deacutepens Pourtant ces mecircmes pratiques standard ne sont pas appliqueacutees aux appareils mobiles et agrave legravere du BYOD (Bring your own device) cela peut saveacuterer dangereux
Les dix principales vulneacuterabiliteacutes des applications mobiles Le partenaire dHP Security Compass a eacutegalement analyseacute les vulneacuterabiliteacutes des applications mobiles et les a eacutetiqueteacutees par type (voir la Figure 22) Ainsi donc agrave quoi les applications moyennes sont-elles le plus vulneacuterables par ordre de preacutevalence des vulneacuterabiliteacutes A quels types dattaques par incident les applications mobiles sont-elles le plus vulneacuterables
Sur les dix principales vulneacuterabiliteacutes constateacutees en matiegravere dapplications mobiles XSS affichait le deuxiegraveme taux le plus eacuteleveacute et repreacutesentait 15 de toutes les vulneacuterabiliteacutes deacutecouvertes dans ce jeu deacutechantillons Les chiffres confirment eacutegalement que lorsquelles sont consigneacutees par ordre doccurrence les vulneacuterabiliteacutes de fuite dinformation et daccegraves non autoriseacuteauthentification indiquent aux deacuteveloppeurs dapplications mobiles comment ils peuvent mieux seacutecuriser leurs applications en concentrant davantage leurs efforts sur ces domaines
Rechercheentechnologiemobile lacommunicationenchampproche (NFC)pourlesapplicationsmobilesdepaiementNous avons constateacute que les vulneacuterabiliteacutes lieacutees aux applications mobiles eacutetaient en hausse constante mais il est indispensable eacutegalement danticiper et de connaicirctre les nouvelles vulneacuterabiliteacutes qui verront le jour Les nouvelles technologies introduisent en permanence des failles de seacutecuriteacute possibles La plate-forme mobile ne fait pas exception Lune de ces nouvelles technologies est la communication en champ proche (NFC) La communication en champ proche (NFC) deacutesigne une meacutethode de communication de donneacutees sans contact entre des appareils proches les uns des autres Elle a deacutejagrave eacuteteacute adopteacutee en Europe et en Asie et fait depuis peu des adeptes en Ameacuterique du Nord Le Forum NFC (consortium regroupant plusieurs membres tels que Sony Nokia et Philips) applique des normes strictes pour les fabricants dappareils compatibles NFC Les eacutediteurs dapplications disposent ainsi dune architecture seacutecuriseacutee et dune infrastructure compatible qui leur permettent dexploiter cette technologie pour des applications de paiement mobiles et le partage de donneacutees (par exemple leacutechange de devises entre homologues)
Il existe actuellement plusieurs smartphones compatibles NFC Cest le cas du Googletrade Nexus 5 du Samsung Galaxy S II et des BlackBerry Bold 9900 et 9930 Plusieurs socieacuteteacutes exploitent aujourdhui cette technologie
bull Google Wallet conteneur seacutecuriseacute pour les informations de carte de creacutedit qui facilite les transactions NFC
bull MasterCard PayPass service de paiement sans contact (actuellement pris en charge dans Google Wallet)
bull Visa payWave service de paiement sans contact
bull PayPal meacutethode bump (application Bump) pour le transfert dargent ou la reacutealisation de paiements entre utilisateurs
bull Apple iPhone prise en charge de la NFC attendue dans une prochaine version (non confirmeacutee)12
Problegravemes de seacutecuriteacutePlusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (donneacutees de carte de creacutedit ou numeacuteros de comptes) sont transmises via un canal NFC sur un appareil mobile Voici des exemples de cas reacuteels constateacutes reacutecemment dans le domaine de la seacutecuriteacute
Cas 1La technologie NFC est employeacutee dans le cadre de solutions de paiement grand public avec deux modes de mise en œuvre distincts
bull Puce NFC dans des cartes de creacutedit grand public telles que MasterCard PayPass et Visa payWave
bull NFC utiliseacutee dans des solutions de portefeuille mobile
Livre blanc | Rapport HP 2012 sur les cyber-risques
12 Il existe actuellement des eacutediteurs agrave linstar de DeviceFidelity qui proposent des composants tiers qui reproduisent la prise en charge de la communication en champ proche (NFC) pour les appareils iPhone
Figure 22Preacutevalence des dix principales vulneacuterabiliteacutes (en pourcentage)
Accegraves non autoriseacute 18
Scripts intersites 15
Divulgation dinformations sensibles 12
Traitementnon seacutecuriseacute des sessions 11
Vulneacuterabiliteacutes du traitement des cookies 9
Meacutethode de cryptage inadapteacutee 9
Pratiques de connexion meacutediocres 8
Saisie semi-automatique sur des formulaires agrave donneacutees sensibles 6
Informations didentificationen texte clair 6
Messages derreur de mauvaise qualiteacute 6
20
Le deacutefi du premier mode de mise en œuvre est double le premier est que pour la plupart des eacutemetteurs de cartes de creacutedit linstallation de la puce NFC est obligatoire le deuxiegraveme est que par deacutefinition la puce NFC est toujours activeacutee Par exemple si la carte de creacutedit dun utilisateur est dans le champ dun lecteur NFS actif comme celui que lon rencontre dans un terminal de point de vente la carte de creacutedit transmet automatiquement le numeacutero de carte de creacutedit de lutilisateur au lecteur NFS de reacuteception A preacutesent imaginez le sceacutenario pour les appareils mobiles les plus modernes eacutequipeacutes de puces NFS inteacutegreacutees Dans le monde dAndroid il existe des applications conccedilues pour activer la puce NFC de lappareil mobile pour reproduire le comportement du lecteur NFS dun terminal de point de vente A laide dun appareil mobile ou dune application de ce genre un attaquant peut potentiellement activer la puce NFC de son appareil Android croiser des gens dans un endroit peupleacute et tenter danalyser leurs cartes de creacutedit pour recueillir leur numeacutero de compte permanent (PAN)
Les solutions de portefeuille mobile NFC sont souvent vulneacuterables agrave ce mecircme type dattaque si la solution concerneacutee ne deacutesactive pas ou ne retire pas la puce NFC une fois lexeacutecution dune transaction termineacutee Heureusement cette vulneacuterabiliteacute peut facilement ecirctre reacutesolue par des deacuteveloppeurs de solutions de portefeuille mobile sils retirent la puce NFC apregraves usage
Cas 2Plusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (par exemple des donneacutees de carte de creacutedit ou des numeacuteros de comptes) sont transmises via un canal NFC
bull Ecoute tentative dintercepter la communication des donneacutees de transmission NFC (par exemple proxy NFC)
bull Manipulation des donneacutees tentative de manipuler la communication des donneacutees de transmission NFC (par exemple pour identifier des reacutesultats erroneacutes)
bull Attaques par interception tentative dexploitation des modes actifpassif de lappareil pour envoyer et recevoir la communication des donneacutees de transmission NFC
bull Vol tentative dacceacuteder sans autorisation agrave lapplication de paiement mobile (comme si lappareil a eacuteteacute voleacute ou perdu) et examen des fichiers stockeacutes sur lappareil agrave la recherche dinformations sensibles
Cas 3Au cœur mecircme de la fonction NFC se trouve un composant appeleacute eacuteleacutement seacutecuriseacute Deux types de mise en œuvre de cet eacuteleacutement sont possibles (1) les eacuteleacutements incorporeacutes dans lappareil et (2) les eacuteleacutements chargeacutes dans une carte SIM Dans les cas ougrave leacuteleacutement seacutecuriseacute est chargeacute dans une carte SIM il est possible que la carte SIM soit retireacutee et eacutechangeacutee sous les yeux dun utilisateur creacutedule Cette situation aboutit agrave des sceacutenarios dattaque semblables aux suivants
bull Echange de carte SIM avec un autre appareil (du mecircme type) pour tenter dacceacuteder au contenu de leacuteleacutement seacutecuriseacute Dans certains cas lutilisation dun appareil de type diffeacuterent peut offrir un accegraves suppleacutementaire aux informations de leacuteleacutement seacutecuriseacute sil nest pas mis en œuvre de maniegravere seacutecuriseacutee Par exemple il existe un risque de contournement de lapplication de paiement ou de la protection du mot de passe au niveau du teacuteleacutephone en cas deacutechange de carte SIM dans un teacuteleacutephone eacutequivalent avec lapplication de paiement et sans mot de passe
bull Identification des donneacutees contenant des informations sensibles dans leacuteleacutement seacutecuriseacute situeacute dans la carte SIM apregraves une opeacuteration de restauration sur un autre appareil Il peut sagir aussi dattaques visant agrave cloner ou copier la carte SIM au moyen dun mateacuteriel externe
Notez que la difficulteacute daccegraves agrave leacuteleacutement seacutecuriseacute offre une certaine garantie sur lenvironnement de seacutecuriteacute de leacuteleacutement seacutecuriseacute sur lappareil cible
Cas 4Dans certains cas il est possible que limpleacutementation de lapplet VMPA dans leacuteleacutement seacutecuriseacute nait pas tenu compte de tous les eacuteleacutements de seacutecuriteacute Il peut sagir par exemple dune signature et dun controcircle daccegraves insuffisants de lapplet VMPA qui permettent agrave une application quelconque de deacutemarrer et dy soumettre des requecirctes Cette situation peut offrir agrave une application non autoriseacutee la possibiliteacute dappeler lapplet VMPA via la commande APDU (JSR 177) Une requecircte bien formuleacutee peut potentiellement permettre dactiver la radio NFC et de transmettre des informations de carte de creacutedit
Livre blanc | Rapport HP 2012 sur les cyber-risques
21
Bien que des informations et une analyse exactes peuvent ecirctre obtenues agrave partir dun appareil dinvestigation (si un accegraves agrave ce type de mateacuteriel est disponible) il nexiste pour lheure aucun outil autorisant laccegraves agrave des informations de leacuteleacutement seacutecuriseacute Leacuteleacutement seacutecuriseacute comme son nom lindique fournit des meacutecanismes de seacutecuriteacute preacutecis (par exemple controcircle daccegraves cryptage et reacutepartition) qui empecircchent lextraction dinformations sensibles eacuteventuelles Cest pourquoi un accegraves dinvestigation explicite agrave leacuteleacutement seacutecuriseacute nest actuellement pas possible mecircme avec un outil dinvestigation distribueacute par les leaders du marcheacute
RecommandationsIl existe des mesures que les organisations peuvent prendre pour reacuteduire les risques que posent les failles de seacutecuriteacute des applications mobiles Avant tout les applications doivent ecirctre manuellement controcircleacutees et eacutevalueacutees avant le lancement des produits afin de deacuteterminer la preacutesence de vulneacuterabiliteacutes dinjection ou de vulneacuterabiliteacutes de fuite dinformation Le code doit ecirctre analyseacute via une analyse statique au moment de le deacutevelopper pour y rechercher des failles Comme pour toutes les applications il est moins coucircteux de geacuterer des failles de seacutecuriteacute lors de la phase de deacuteveloppement quau moment de leur diffusion
Les normes de transmission seacutecuriseacutee des donneacutees doivent ecirctre incluses dans le cahier des charges de toutes les applications surtout si ces derniegraveres sont eacutelaboreacutees par des deacuteveloppeurs tiers Il en va de mecircme pour le stockage seacutecuriseacute des donneacutees et le journal des applications Des exigences raisonnables en matiegravere daffichage des communications entre applications et dautorisations dans ces derniegraveres doivent ecirctre rigoureusement deacutefinies Tous ces aspects doivent ecirctre geacutereacutes lors de la phase de deacutefinition des exigences et testeacutes lors du deacuteveloppement Au moment dexeacutecuter les tests de seacutecuriteacute et lanalyse sur les applications mobiles les services Web cocircteacute serveur et les API avec lesquels les clients mobiles communiquent doivent ecirctre pris dans leur contexte et analyseacutes pour y deacuteceler des vulneacuterabiliteacutes Des failles agrave haut risque peuvent passer agrave la trappe si ces deux eacuteleacutements sont testeacutes et compareacutes hors de leur contexte
Conclusions
Lobjectif de ce rapport est de fournir aux organisations toutes les informations de seacutecuriteacute qui les aideront agrave mieux comprendre comment deacuteployer les ressources limiteacutees dont elles disposent pour minimiser au maximum leurs risques en matiegravere de seacutecuriteacute A cet effet les tendances et les enseignements agrave tirer de lanneacutee 2012 sont nombreux et doivent ecirctre pris en compte pour la ou mecircme les anneacutees qui viennent
Militarisation des vulneacuterabiliteacutes Les attaquants ne cesseront jamais de militariser les vulneacuterabiliteacutes pour mener agrave bien leurs activiteacutes malveillantes Ceux qui eacutelaborent les kits dexploitation continueront de se focaliser sur des vulneacuterabiliteacutes dans les logiciels les plus reacutepandus ciblant le plus souvent des navigateurs et des plug-ins de navigateur tels que Oracle Java et Adobereg Flash De mecircme le nombre dattaques meneacutees publiquement agrave lencontre de technologies et dentreprises speacutecifiques continuera daugmenter Des organisations criminelles des Etats-nations et des hacktivistes se serviront toujours des cyber-attaques comme moyen duniformiser les regravegles du jeu contre des adversaires riches ou puissants mecircme si les reacuteelles motivations derriegravere ces attaques resteront souvent difficiles agrave deacuteterminer
Vulneacuterabiliteacutes des technologies mobilesLadoption croissante des technologies mobiles et leur utilisation au sein de lentreprise engendreront toujours des risques consideacuterables Nombre de gens lont deacutejagrave constateacute les programmes malveillants deacuteployeacutes sur les marcheacutes qui opposent Android et Apple poursuivent leur croissance Laggravation de ce problegraveme est essentiellement lieacutee au fait que les entreprises ne disposent pas du mecircme type de controcircle sur ces appareils que sur des PC Au moment ougrave le BYOD (Bring your own device) devient la norme et que ladoption des appareils mobiles prend de lampleur on peut sattendre agrave une hausse proportionnelle du nombre de failles chez les applications mobiles tendance qui devrait se maintenir dans un avenir preacutevisible
Livre blanc | Rapport HP 2012 sur les cyber-risques
22
DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables
Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications
Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables
Pourensavoirplusconsultezlapage Web hpcomgoSIRM
Livre blanc | Rapport HP 2012 sur les cyber-risques
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013
7
Figure 5 Vulneacuterabiliteacutes des applications Web et des applications non Web
0
2 000
4 000
6 000
8 000
10 000
12 000
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Vulneacuterabiliteacutes des applications Web Vulneacuterabiliteacutes des applications non Web
On peut en conclure que si les vulneacuterabiliteacutes des applications non connecteacutees au Web repreacutesentent toujours la majoriteacute des vulneacuterabiliteacutes divulgueacutees quelques cateacutegories de vulneacuterabiliteacutes des applications Web introduisent encore des risques techniques consideacuterables pour les organisations
LamaturiteacutedunetechnologienedeacutefinitpassonprofildevulneacuterabiliteacuteLun des changements majeurs de paradigme technique au cours de la derniegravere deacutecennie a eacuteteacute ladoption massive dappareils mobiles capables dexeacutecuter des applications personnaliseacutees Au cours des cinq derniegraveres anneacutees seulement les donneacutees OSVDB ont afficheacute une croissance de 787 du nombre de vulneacuterabiliteacutes deacutecouvertes dans le cas des technologies mobiles (voir la Figure 6) La derniegravere anneacutee agrave elle seule montre une augmentation de 68 avec 158 vulneacuterabiliteacutes deacutecouvertes en 2011 et 266 en 2012
Figure 6 Vulneacuterabiliteacutes deacutecouvertes pour les technologies mobiles et eacutevalueacutees par lOSVDB entre 2008 et 2012
0
50
100
150
200
250
300
2008 2009 2010 2011 2012
Par comparaison les systegravemes de controcircle et de collecte de donneacutees (SCADA) qui controcirclent les processus industriels automatiseacutes notamment dans les domaines de la fabrication la production deacutelectriciteacute le secteur minier et le traitement des eaux sappuient sur des technologies beaucoup plus abouties Ces systegravemes qui opeacuteraient historiquement sur des reacuteseaux distincts avec des protocoles proprieacutetaires ont ensuite entameacute une migration vers des reacuteseaux standard et mecircme Internet dans le but de simplifier la gestion des ressources la facturation et les aspects opeacuterationnels A mesure que ces systegravemes ont quitteacute leurs reacuteseaux isoleacutes distincts des problegravemes de seacutecuriteacute autrefois masqueacutes par une surface dattaque reacuteduite ont commenceacute agrave se manifester
Livre blanc | Rapport HP 2012 sur les cyber-risques
8
Dapregraves les donneacutees de lOSVDB 76 vulneacuterabiliteacutes seulement ont eacuteteacute deacutetecteacutees dans les systegravemes SCADA entre 2008 et 2010 En revanche apregraves la deacutecouverte en 2010 du ver Stuxnet dans une usine denrichissement duranium iranienne lattention sest focaliseacutee sur la seacutecuriteacute des systegravemes SCADA En 2011 164 vulneacuterabiliteacutes ont eacuteteacute recenseacutees dans les systegravemes SCADA et ce nombre a atteint 191 en 2012 soit une augmentation de 768 par rapport aux chiffres de 2008 (voir la Figure 7)
Figure 7 Vulneacuterabiliteacutes des systegravemes SCADA deacutecouvertes et eacutevalueacutees par lOSVDB entre 2008 et 2012
0
50
100
150
200
250
2008 2009 2010 2011 2012
ProgrammeZero Day Initiative coupdœilsur 2012Gracircce agrave la position de leader du ZDI en qualiteacute de programme dacquisition des vulneacuterabiliteacutes les chercheurs de leacutequipe ont maintes fois eu loccasion danalyser certaines des vulneacuterabiliteacutes les plus inteacuteressantes et les plus deacutebattues qui sont survenues au cours des douze derniers mois Les cas dignes dinteacuterecirct suivants observeacutes en 2012 illustrent le croisement des marcheacutes blanc et noir
Au deacutebut de lanneacutee 2012 une vulneacuterabiliteacute des services Bureau agrave distance Microsoftreg (ZDI-12-044 MS12-020 et CVE-2012-0002) a fait lobjet de toutes les attentions
bull Le ZDI a signaleacute cette faille speacutecifique agrave Microsoft en aoucirct 2011
bull Aucune attaque exteacuterieure connue ne fut signaleacutee mais consciente de son pouvoir dattraction aupregraves des attaquants la socieacuteteacute Microsoft sattendait deacutejagrave agrave des exploitations imminentes pour mars 2012
bull Il eacutetait possible dacceacuteder agrave cette faille sur le reacuteseau avant toute authentification requise Elle se manifestait deacutejagrave lors de la gestion des erreurs au moment du chargement des eacuteleacutements dans un tableau
Un mois plus tard Samba publia un correctif tregraves attendu fondeacute sur une faille identifieacutee par un chercheur du ZDI (TPTI-12-04 CVE-2012-1182)
bull Le ZDI signala cette faille agrave Samba en septembre 2011
bull Aucune attaque exteacuterieure connue ne fut signaleacutee mais la vulneacuterabiliteacute incrimineacutee comptait parmi les vulneacuterabiliteacutes les plus graves pour un programme et Samba traita sans attendre le problegraveme
bull Cette faille nexigeait aucune connexion authentifieacutee et aboutissait agrave une meacutemoire corrompue quun attaquant pouvait librement exploiter pour exeacutecuter du code agrave distance
La fin de lanneacutee 2012 fut une peacuteriode dactiviteacute intense pour les attaques de type zero-day qui toucha autant Oracle (CVE-2012-0422 CVE-2012-3174) que Microsoft (MS13-008 CVE-2012-4792) Le ZDI eacutetait aux premiegraveres loges et signala une vulneacuterabiliteacute importante de Java lieacutee agrave une faille zero-day
bull Le ZDI signala cette faille Java agrave Oracle en deacutecembre 2012
bull Cette faille eacutetait exploiteacutee au grand jour
bull Elle permettait agrave une applet malveillante dexeacutecuter un code fourni par un attaquant et de le faire agrave distance dans le contexte de lutilisateur actuel
Ces cas ne sont pas les seuls cas geacutereacutes par le ZDI en 2012 mais ils montrent bien le croisement des marcheacutes noir et blanc dans cette chasse aux vulneacuterabiliteacutes Une chose est sucircre nos chercheurs sont engageacutes dans une course contre la montre visant agrave identifier et divulguer de maniegravere responsable les vulneacuterabiliteacutes des technologies logicielles les plus reacutepandues
Livre blanc | Rapport HP 2012 sur les cyber-risques
9
Vulneacuterabiliteacutesdesapplications Web
Pour dresser un tableau plus complet des vulneacuterabiliteacutes actuelles leacutequipe HP Fortify on Demand sest reacuteunie et a analyseacute les reacutesultats de milliers deacutevaluations pour savoir agrave quoi ressemble la seacutecuriteacute des applications Web de linteacuterieur Pour cela elle a proceacutedeacute agrave des examens de code et des tests de peacuteneacutetration Un examen minutieux des reacutesultats des analyses statiques (recherche de vulneacuterabiliteacutes dans le code source sans exeacutecution de ce dernier) et dynamiques (tests de fonctionnement du logiciel en qualiteacute dattaquant sans accegraves au code mecircme) constitue une base solide pour eacutetablir un reacuteel eacutetat des lieux en matiegravere de risques pour les applications Web
Les jeux deacutechantillons utiliseacutes pour cette analyse comprenaient 200 applications choisies au hasard pour lanalyse dynamique et 800 applications pour lanalyse statique La Figure 8 montre les cinq principales vulneacuterabiliteacutes deacutecouvertes dans le cadre de lanalyse dynamique en 2012
Figure 8 Cinq principales vulneacuterabiliteacutes deacutecouvertes lors de lanalyse dynamique en 2012 via HP Fortify on Demand
45
26 25
13
9
0
5
10
15
20
25
30
35
40
45
50
Scripts intersites ProtectionTransport
Layer insuffisante
Mauvaiseconfiguration
de seacutecuriteacute
Gestion delauthentification
et des sessiondeacutefaillante
Failles dinjection
Les reacutesultats dynamiques obtenus agrave partir de ce jeu deacutechantillons ainsi que dautres reacutesultats consigneacutes dans ce rapport montrent que les attaques par script intersite constituent toujours une menace importante lors de toute tentative de seacutecurisation des applications Web Si lon tient compte de la premiegravere place quoccupent les attaques par script intersite parmi les types de vulneacuterabiliteacute acquis par le ZDI lanneacutee derniegravere et de lampleur reacuteelle de ces attaques confirmeacutee par des tests reacutepeacuteteacutes les organisations peuvent agrave juste titre les consideacuterer comme une preacuteoccupation majeure en matiegravere de seacutecuriteacute
La Figure 9 deacutecrit le mode opeacuteratoire dune attaque par script intersite classique et comment lexploiter pour deacuterober des informations didentification dauthentification sur des sites strateacutegiques
Livre blanc | Rapport HP 2012 sur les cyber-risques
10
Figure 9 Anatomie dune attaque par script intersite reacutefleacutechie
Site bancaire
Utilisateur creacutedule
Attaquantmalveillant
1 Un attaquant deacutecouvre une faille XSS dans une application Web
3 Lattaquant distribue le lien XSS malveillant via dingeacutenierie sociale agrave des utilisateurs creacutedules
2 Lattaquant creacutee une URL dattaque pour voler des informations sensibles et la deacuteguise afin quelle paraisse leacutegitime
4 Lorsque la victime se connecte JavaScript qui est inteacutegreacute au lien XSS malveillant sexeacutecute et transmet les informations de connexion de la victime agrave lattaquant
La Figure 10 montre les cinq principales vulneacuterabiliteacutes deacutecouvertes dans le cadre de lanalyse statique en 2012 et inclut le pourcentage relatif dapplications toucheacutees par chaque cateacutegorie de vulneacuterabiliteacute
Figure 10 Cinq principales vulneacuterabiliteacutes deacutecouvertes lors de lanalyse statique en 2012 via HP Fortify on Demand
92 88 86
75
61
0
10
20
30
40
50
60
70
80
90
100
Fuites dinformationset gestion des
erreurs inapproprieacutee
Stockagedes donneacutees
cryptographiquesnon seacutecuriseacute
Failles dinjection Reacutefeacuterencedobjet directenon seacutecuriseacutee
Gestion delauthentification et des
session deacutefaillante
Les reacutesultats de lanalyse statique reacutevegravelent que les fuites dinformation les problegravemes de stockage des donneacutees cryptographiques et les failles dinjection sont les vulneacuterabiliteacutes les plus freacutequentes Un eacuteleacutement non citeacute dans cette liste des cinq principales vulneacuterabiliteacutes est que pour 51 des applications il eacutetait question dune attaque par script intersite reacutefleacutechie (voir la Figure 9 ci-avant) Sil ne figure pas dans la liste il reste neacuteanmoins un eacuteleacutement important si on lajoute aux autres reacutesultats de ce rapport
Les reacutesultats de ces jeux deacutechantillons confirment nettement que les applications Web souffrent encore aujourdhui de nombreuses faiblesses pourtant jugeacutees critiques par les diverses normes industrielles en vigueur Les cinq principales cateacutegories de vulneacuterabiliteacute qui dominent les reacutesultats sont souvent celles qui exposent les applications Web agrave des risques importants notamment le vol dinformations lescalade de privilegraveges etc Ces deux jeux deacutechantillons nous amegravenent agrave la conclusion que les organisations ne parviennent toujours pas agrave appliquer des mesures coheacuterentes pour faire face agrave des vulneacuterabiliteacutes omnipreacutesentes comme les scripts intersites et les fuites dinformation
Livre blanc | Rapport HP 2012 sur les cyber-risques
11
Un autre eacuteleacutement agrave retenir est que la vulneacuterabiliteacute la plus employeacutee par des attaquants en relation avec dautres vulneacuterabiliteacutes connues est la fuite dinformation Un eacuteleacutement dinformation preacutecis peut sembler sans inteacuterecirct mais peut pourtant ecirctre le composant cleacute qui permettra agrave un attaquant dimposer une technique pour mener une attaque plus deacutevastatrice encore En somme pour preacuteparer et reacuteussir une attaque des techniques minutieuses de collecte des informations et de reconnaissance sont indispensables
Risquesdesapplications Web eacutetudedecas
ProfildelasocieacuteteacuteGrande entreprise multinationale (plus de 100 000 employeacutes) avec un chiffre daffaires de plus de 82 milliards de dollars pour lexercice fiscal 2012
Cette entreprise dispose dun programme de seacutecuriteacute actif et opeacuterationnel Les reacutesultats montrent les efforts qui sont neacutecessaires pour geacuterer entiegraverement les risques lieacutes agrave la seacutecuriteacute des applications Les reacutesultats qui suivent proviennent de plus de 1 300 eacutevaluations dynamiques uniques meneacutees sur les divers sites de lentreprise Dans legravere de la seacutecuriteacute des applications modernes une vulneacuterabiliteacute est souvent une de trop
Reacutesultats
bull 541 des eacutevaluations ont reacuteveacuteleacute des cookies persistants LAgence europeacuteenne chargeacutee de la seacutecuriteacute des reacuteseaux et de linformation (ENISA) emploie le terme cookies doux-amers pour parler de ces cookies Les cookies persistants augmentent consideacuterablement la probabiliteacute dattaques par relecture en raison de la dureacutee de validiteacute prolongeacutee des cookies La divulgation dinformations sur des ordinateurs publics partageacutes peut eacutegalement produire des cookies persistants Parce que les cookies servent entre autres agrave observer le comportement des utilisateurs il est probable que les avantages potentiels quils preacutesentent pour lentreprise aient quelque peu relayeacute les questions de seacutecuriteacute au second plan
bull Un peu moins de la moitieacute (4832 ) des sites eacutetaient vulneacuterables face agrave une certaine forme dattaque par script intersite
bull Presque un cinquiegraveme (1957 ) des sites contenaient un formulaire de connexion non crypteacute agrave scheacutema mixte ougrave les informations dune page HTTP eacutetaient publieacutees dans une page HTTPS ou inversement
bull 1277 des eacutevaluations eacutetaient vulneacuterables agrave une certaine forme dinjection SQL Le plus intrigant cest que 1097 des eacutevaluations confirmaient les vulneacuterabiliteacutes dinjection SQL agrave laveugle Si lon tient compte du caractegravere particuliegraverement dangereux des injections SQL agrave laveugle et du fait que ces vulneacuterabiliteacutes sont souvent employeacutees pour compromettre un systegraveme ce pourcentage pose de graves problegravemes
bull Un autre cinquiegraveme (197 ) des sites eacutetaient vulneacuterables aux connexions transmises via une connexion non crypteacutee ce qui signifie que le formulaire nutilisait pas le protocole SSL
bull 526 des sites eacutetaient exposeacutes agrave une vulneacuterabiliteacute de lectureinclusion de fichier local Sil eacutetait jugeacute sensible le contenu du fichier pouvait ecirctre utiliseacute pour prendre le controcircle du systegraveme
Des attaques deacutevastatricesOutre des statistiques les organismes chargeacutes de collecter des informations de seacutecuriteacute ont eacutegalement besoin dobservations et dideacutees Dans cette optique la section qui suit propose une liste sommaire des attaques deacutevastatrices que les responsables des tests de peacuteneacutetration chez HP Fortify on Demand ont deacutecouvertes en 2012 Chaque compte a eacuteteacute deacutecouvert moyennant autorisation au cours dopeacuterations approuveacutees meneacutees agrave lencontre de sites de production avec des difficulteacutes techniques allant des plus simples aux plus complexes Le deacutenominateur commun est que toutes les attaques avaient des conseacutequences extrecircmement graves si elles eacutetaient deacutecouvertes par un attaquant malveillant Pour des raisons eacutevidentes les noms des clients nont pas eacuteteacute inclus mais les secteurs eux-mecircmes sont inseacutereacutes dans la liste pour illustrer le danger potentiel et la pertinence des attaques Si ces exemples revecirctent un caractegravere anecdotique par deacutefinition ils profitent de lexpeacuterience et des avis de nos responsables de tests de peacuteneacutetration dune maniegravere que les simples statistiques ne permettent pas Lagrave encore la seacutecuriteacute est plus quune affaire de produits Cest un processus
Attaques par injection et attaques par validation dentreacutee incorrecte Secteurs dactiviteacute peacutetrochimie industrie alimentaire eacutenergie et logicielsTeacuteleacutechargementsdefichiersnonseacutecuriseacutesetconfigurationincorrectedelaseacutecuriteacute Un programme client lourd permettait agrave nimporte quel utilisateur de charger (au moyen de sa fonction de chargement intrinsegraveque) des programmes malveillants sur un serveur Web muni daucune protection contre ce type de programme Environ 30 000 utilisateurs dans le monde entier se servaient de ce programme les risques eacutetaient donc particuliegraverement grands Les fonctions de teacuteleacutechargement de fichiers doivent impeacuterativement faire preuve de meacutefiance agrave leacutegard des types de fichiers acceptables La Figure 11 deacutecrit les conseacutequences de ce sceacutenario
Livre blanc | Rapport HP 2012 sur les cyber-risques
12
Figure 11 Lautorisation de teacuteleacutechargements de fichiers peut avoir des conseacutequences seacutevegraveres
Teacuteleacutechargementsde fichiers
non valideacutes
Aucuneprotectionpar logiciel
anti-programmemalveillant
30 000utilisateurs
sont infecteacutes parle logiciel
malveillant
Injection SQLagravelaveugle les fonctionnaliteacutes daide agrave la recherche (une seacuterie de cases agrave cocher conccedilues pour aider les utilisateurs agrave restreindre leurs critegraveres de recherche) sans validation dentreacutee ont abouti agrave laffichage de 35 bases de donneacutees dID dutilisateur de systegraveme de base de donneacutees et de hachages de mot de passe y compris le compte dadministrateur systegraveme Linjection SQL agrave laveugle peut ecirctre difficile agrave deacuteceler parce quelle geacutenegravere rarement des messages derreur et manifeste un comportement applicatif anormal Les requecirctes parameacutetrables eacutegalement appeleacutees instructions preacutepareacutees empecircchent avec efficaciteacute les attaques par injection SQL si elles ont correctement mises en place5 La Figure 12 deacutecrit cette seacutequence
Instructions SQLentexteclair lors des tests effectueacutes sur une application cliente lourde il a eacuteteacute deacutecouvert que le client exeacutecutait des instructions SQL directement sur le serveur SQL principal avec des autorisations de niveau administrateur sur HTTP Une escalade des privilegraveges utilisateur et la modification des mots de passe furent possibles en soumettant le protocole agrave une ingeacutenierie agrave rebours et en le manipulant (voir la Figure 13)
Inclusiondefichierlocal des techniques de traversement de reacutepertoires (Directory Traversal) et dinclusion de fichier local ont eacuteteacute employeacutees pour afficher le contenu du fichier SAM (Gestionnaire de comptes de seacutecuriteacute) de sauvegarde du serveur Web qui permettait de deacutecoder les mots de passe Au bout de dix minutes il eacutetait possible pour un administrateur local dacceacuteder au systegraveme et de tout compromettre Les routines de validation dentreacutee quelles soient inheacuterentes agrave lapplication ou interviennent au niveau de configuration du serveur Web auraient eacutelimineacute ce vecteur
AttaquesvisantagraveexploiterunemauvaiseconfigurationdeseacutecuriteacuteSecteurs dactiviteacute peacutetrochimie et secteur bancaire internationalImpossibiliteacutederestreindrelaccegravesauxreacutepertoiressensibles dans ce cas le reacutepertoire deacutecouvert eacutetait ldquohttpswwwexamplecompasswordsrdquo Naturellement aucun dossier ldquopasswordsrdquo tout du moins public ne devrait exister Le dossier eacutetait accessible via des navigateurs Web sans aucune authentification et comprenait une liste de reacutepertoires avec des fichiers texte aux noms divers tels que ldquopasswordsprojectrdquo ou mecircme ldquopasswordssystemsrdquo Un simple clic sur un fichier provoquait louverture dun document texte muni dune liste dutilisateurs et de mots de passe au format suivant userpassword Une des listes contenait mecircme ldquosysadminpassword adminpassword etchelliprdquo (voir la Figure 14) Ceci illustre la neacutecessiteacute et limportance de la validation danalyse post-automatique puisque cette vulneacuterabiliteacute qui pose de faibles risques en apparence pouvait aiseacutement passer inaperccedilu aux yeux du client Qui plus est le problegraveme aurait pu ecirctre eacuteviteacute si laccegraves au reacutepertoire avait eacuteteacute restreint comme il le fallait
Leprotocole WebDAVactiveacuteautorisaitlesopeacuterationsdeacutecritureagravedistance Le mode dactivation du protocole WebDAV sur un serveur Web en particulier permettait agrave des utilisateurs dapplications distants de communiquer avec lhocircte et deacutecrire des fichiers dans des reacutepertoires arbitraires Lexploitation de cette vulneacuterabiliteacute permettait de teacuteleacutecharger une porte deacuterobeacutee personnaliseacutee puis de lexeacutecuter en parcourant le chemin daccegraves agrave lURL du fichier reacutecemment transfeacutereacute Une fois exeacutecuteacutee elle offrait la possibiliteacute de controcircler entiegraverement le serveur Web En preacutevoyant de plus amples tests la personne chargeacutee de ces tests pouvait librement poursuivre une attaque contre dautres hocirctes sur le reacuteseau interne de lentreprise processus appeleacute glissement (pivoting) La suppression de laccegraves WebDAV et de meacutethodes HTTP exteacuterieures aurait pu eacuteviter cette attaque
Injection SQLetcommandesdevalidationdentreacuteefaibles Un filtre SQL filtrait tout agrave lexception de lopeacuterateur ldquoORrdquo Cela signifie essentiellement quapregraves insertion de lopeacuterateur ldquoORrdquo dans une instruction SQL chaque commande serait exeacutecuteacutee sur le systegraveme Le parameacutetrage des requecirctes empecircchera les attaques par injection SQL La Figure 15 deacutecrit le deacuteroulement seacutequentiel dune attaque par injection SQL
Livre blanc | Rapport HP 2012 sur les cyber-risques
5 httpswwwowasporgindexphpSQL_Injection_Prevention_Cheat_Sheet
Figure 12 Injection SQL agrave laveugle
Injection SQLagrave laveugle
Voldinformationsutilisateur
Accegraves agraveladministrationsystegraveme
Figure 13 Instructions SQL en texte clair
Protocoledingeacutenierie clientserveur agrave rebours
Exeacutecution SQL
Reacuteinitialisation dumot de passe avec
des privilegravegesplus eacuteleveacutes
Figure 14 Restriction daccegraves impossible
Accegraves au reacutepertoire non restreint
passwrdsprojectuserpassword sysadminmot de passe
passwordssystems fichier
httpswwwexamplecompasswords reacutepertoire
13
Figure 15 Anatomie dune attaque par injection SQL
Site bancaireBase de donneacutees
de la banque
1=1
Attaquant malveillant
1 Lattaquant envoie des informations suppleacutementaires telles quun guillemet ou 1=1 avec des informations de connexion ou inclure des variablespour modifier linstruction SQL originale
3 Une fois que le scheacutema de base de donneacutees a eacuteteacute deacutefini lattaquant peut extraire les donneacutees contenues dans la base de donneacutees notamment les noms dutilisateur les mots de passes les informations de carte de creacutedit etc
2 Avec lapproche par essais et erreurs lattaquant peut construire des arguments SQL pouvant ecirctre utiliseacutes pour reacutecupeacuterer des donneacutees telles que des noms de tableaux ou des noms delignes etc
Mauvaiseconfiguration SAP Linteacutegraliteacute de la base de donneacutees des cartes de creacutedit eacutetait accessible et eacutetait transfeacutereacutee dans un fichier Les commandes configureacutees dans la structure SAP mise en place eacutetaient de qualiteacute meacutediocre et permettaient agrave des repreacutesentants du service clientegravele dexeacutecuter des transactions agrave caractegravere sensible y compris le navigateur de donneacutees HR (SE16) Cette fonction eacutetait exploiteacutee pour parcourir et charger le contenu tout entier de la table des donneacutees des cartes de creacutedit des clients Accessibles de cette maniegravere toutes les donneacutees pouvaient aiseacutement ecirctre exporteacutees agrave laide de comptes SAP avec des privilegraveges moindres
AttaquesparauthentificationparsessionlogiqueetautresattaquesSecteurs dactiviteacute compagnies aeacuteriennes secteur bancaire international et eacutenergieListedebilletsdavionviadesservices Webdecreacuteationdecodes QRmobiles Les testeurs eacutetaient capables de reconstituer agrave rebours une partie de la fonction des services Web pour creacuteer des numeacuteros de billets De faux codes QR de billets davion eacutetaient ainsi geacuteneacutereacutes pour des vols aeacuteriens Il est tout est fait possible que lexploitation de cette fonction ait permis aux attaquants de voler gratuitement En labsence de controcircles preacuteventifs efficaces ils pouvaient senregistrer librement par le biais de leurs appareils mobiles Le recours agrave une fonction de controcircle aleacuteatoire standard des numeacuteros de billets aurait pu eacutegalement eacuteviter ce problegraveme
Figure 16 Creacuteation de mots de passe dynamiques agrave cryptage facilement reacuteversible
AttaqueSQL
Servicedauthen-tification
Web
Capturedu trafic chiffreacute
Deacutesactivationdu chiffrement
du mot depasse
Randomisationdes mots de
passeinsuffisante
Accegravesadministrateur
agrave la basede donneacutees
Deacutesactivation du chiffrement -mot de passe devinable
Accegraves complet agrave labase de donneacutees avec des
autorisations dadministrateur
Livre blanc | Rapport HP 2012 sur les cyber-risques
14
Creacuteationdemotsdepassedynamiquesagravecryptagefacilementreacuteversible lapplication cliente lourde testeacutee communiquait avec un service Web qui se chargeait dabord dauthentifier lutilisateur qui tentait de se connecter Ensuite lapplication demandait le mot de passe au serveur de base de donneacutees principal Au deacutepart le mot de passe eacutetait crypteacute pour la transmission mais simultaneacutement lors dune autre attaque SQL un indicateur de la base de donneacutees a eacuteteacute renverseacute deacutesactivant et annulant ainsi les effets du cryptage Il sest aveacutereacute que le systegraveme mettait en place des mots de passe dynamiques qui changeaient freacutequemment cependant apregraves regroupement des nombreux mots de passe un scheacutema eacutevident est apparu Le mot de passe suivait une chronologie et eacutetait donc facile agrave deviner Un accegraves direct agrave la base de donneacutees avec des autorisations administratives fut confirmeacute et compromit entiegraverement le systegraveme (voir la Figure 16)
Leservice Webautorisaitdesrequecirctes SQLdirectes une application autorisait des connexions agrave sa base de donneacutees principale via un interpreacuteteur Web accessible sur Internet sans authentification Avec des connaissances limiteacutees en SQL un attaquant pouvait aiseacutement extraire toutes les donneacutees enregistreacutees dans la base de donneacutees cliente y compris les deacutetails complets des comptes des utilisateurs noms dutilisateurs mots de passe adresses de messagerie et autres informations didentification personnelle
En partageant les reacutesultats de ces tests de peacuteneacutetration en conditions reacuteelles notre but est dattirer lattention sur la creacuteativiteacute sans bornes et la deacutetermination sans fin des attaquants malveillants Les testeurs de peacuteneacutetration cherchent agrave reproduire ces techniques pour tenter deacutevaluer avec efficaciteacute chaque commande de seacutecuriteacute et sassurer que les donneacutees sensibles et les fonctions applicatives sont proteacutegeacutees Comme le prouvent ces reacutesultats les tests de seacutecuriteacute automatiseacutes seuls ne mesurent pas inteacutegralement la politique globale dun environnement en matiegravere de seacutecuriteacute et doivent ecirctre compleacuteteacutes par une analyse manuelle
Dans la section suivante les chercheurs HP en seacutecuriteacute de logiciels cherchent agrave mettre agrave jour une vulneacuterabiliteacute cruciale souvent utiliseacutee conjointement avec les nombreuses attaques et techniques mentionneacutees plus haut et pour lesquelles une strateacutegie de preacutevention efficace reste globalement agrave mettre en place
En-tecircteX-Frame-Options eacutechecdelancementPour illustrer la nature toujours changeante de la seacutecuriteacute des applications Web les speacutecialistes du groupe HP Software Security Research ont examineacute une vulneacuterabiliteacute deacutejagrave reconnue et officiellement appeleacute script sur plusieurs cadres ou XFS XFS est un outil indispensable pour tout attaquant qui tente deacutelaborer une attaque de hameccedilonnage (phishing) ou dingeacutenierie sociale dans le but de charger un site Web vulneacuterable dans une balise iFrame HTML sur une page malveillante controcircleacutee par un attaquant Ce dernier peut alors extraire des eacuteveacutenements (des seacutequences de touches par exemple) appeleacutes par un utilisateur quelconque sur le site Web cibleacute
Les vulneacuterabiliteacutes XFS ouvrent eacutegalement la voie aux attaques de type clickjacking6 qui trompent les utilisateurs en les incitant agrave cliquer sur des eacuteleacutements preacutecis sur le site Web cibleacute chargeacute agrave linteacuterieur dune balise iFrame invisible Souvent ces reacutesultats aboutissent sur des actions non voulues voire privileacutegieacutees Depuis des anneacutees les chercheurs mettent en garde contre linefficaciteacute des protections par code frame-busting baseacute sur des scripts dans la preacutevention des menaces du XFS Pourtant les deacuteveloppeurs et les administrateurs de serveur qui les assistent ont toujours uniquement recours au meacutecanisme JavaScript (Figure 17) pour deacutetecter des attaques XFS
Les diverses meacutethodes de preacutevention contre XFS se sont maintes fois montreacutees incomplegravetes ou inefficaces Le plus reacutepandu de ces modes de preacutevention est la logique de frame-busting (destruction) de JavaScript ou plus preacuteciseacutement un script cocircteacute client qui ressemble agrave celui preacutesenteacute dans la Figure 175
Figure 17 Logique classique de frame-busting JavaScript
ltscriptgt
if (top=self) toplocationhref = selflocationhref
ltscriptgt
Livre blanc | Rapport HP 2012 sur les cyber-risques
6 cvedetailscomcveCVE-2002-1217
15
Outre les nombreuses variantes de cette technique quil est facile de deacutenicher en ligne des contre-mesures datteacutenuation ont eacutegalement eacuteteacute mises en place pour lutter aussi contre ces variantes avec des regravegles grosso modo eacutequivalentes agrave celles du jeu de la taupe
Comme le montre la Figure 18 la premiegravere vulneacuterabiliteacute XFS documenteacutee a eacuteteacute deacutecouverte il y a plus de 10 ans7 Depuis le clickjacking est devenu une vulneacuterabiliteacute reacutepandue et malgreacute cela moins de un pour cent de nos eacutechantillons incluait loutil de preacutevention le plus connu agrave savoir len-tecircte X-Frame-Options
Figure 18 Bref historique des eacuteveacutenements majeurs lieacutes agrave la deacutetection de failles de type XFS (script sur plusieurs cadres)
29062002Bug iFrame Jesse Rudermana
28102002Premier CVE XFS connub
16112005Echec des techniques de Framec
21052008Premiegravere mention publique de lattribut iFrame sandboxd
12092008Le terme clickjacking est inventeacutee
26012009Premier navigateur prenant en charge des options X-Framef
17062010Busting Frame Bustinga Study of ClickjackingVulnerabilities on Popular Sitesg
27012012Facebook poursuit uneentreprise de clickjackingh
11072012Dernier conseilXFS connui
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
a httpsbugzillamozillaorgshow_bugcgiid=154957 b httpwwwcvedetailscomcveCVE-2002-1217 c httpcryptostanfordeduframebust d httphtml5orgtoolsweb-apps-trackerfrom=1642ampto=1643 e httpwwwsectheorycomclickjackinghtm f httpblogsmsdncombiearchive20090126internet-explorer-8-release-candidate-now-availableaspx g httpcdnlytlpublicationsbusting-frame-busting-a-study-of-clickjacking-vulnerabilities-on-popular-sitespdf h httpwwwguardiancouktechnology2012jan27facebook-sues-clickjacking-firm-adscend i httposvdborgshowosvdb83762
Lhistoire du XFS (Cross-Frame Scripting ou scripts sur plusieurs cadres) remonte agrave la publication dun rapport relativement banal sur un comportement observeacute par Jesse Ruderman en 20028 et devenu aujourdhui un eacuteleacutement moteur dun autre pheacutenomegravene communeacutement appeleacute clickjacking Un eacuteleacutement cleacute de la reacutegression identifieacutee en matiegravere de seacutecuriteacute eacutetait la deacutecision dajouter lattribut sandbox agrave leacutebauche de la speacutecification HTML5 pour la balise iFrame au milieu de lanneacutee 2008
Les chercheurs ont deacutemontreacute que plusieurs contre-mesures datteacutenuation eacutetaient possibles avec des bugs des navigateurs ou des astuces JavaScript Le dernier eacuteleacutement ajouteacute agrave cette liste comme le montre la Figure 19 est lutilisation dune fonction de seacutecuriteacute introduite dans la speacutecification HTML5 sous la forme dun attribut sandbox iFrame que les attaquants peuvent exploiter pour deacutesactiver les protections de frame-busting de JavaScript
Figure 19 Attribut sandbox iFrame
ltiframe sandbox=rdquoallow-scriptsrdquo src=rdquohttpexamplecomrdquogtltiframegt
Lobjet de lattribut sandbox est daccorder lautorisation dexeacutecuter des scripts (allow-scripts) dans le contenu cibleacute A titre accessoire toutes les logiques de frame-busting employeacutees par examplecom sont effectivement deacutesactiveacutees en lui refusant lautorisation allow-top-navigation dans sa speacutecification sandbox
Gracircce agrave lattribut sandbox cette technique permet agrave un attaquant de deacutejouer de maniegravere efficace toutes les tentatives de frame-busting que megravenent les deacuteveloppeurs pour se proteacuteger de tout encadrement de site et toute opeacuteration de clickjacking par des tiers Les eacutediteurs de navigateurs ont introduit et valideacute une technique de preacutevention baseacutee sur des strateacutegies bien plus forte gracircce agrave len-tecircte X-Frame-Options Les deacuteveloppeurs peuvent se servir de cet en-tecircte pour dicter au navigateur les actions adeacutequates agrave entreprendre si leur site est inclus dans un iFrame Malheureusement ladoption de cette fonction parmi les deacuteveloppeurs est tregraves lente et offre aux attaquants un vaste terrain de sites potentiellement exploitables agrave mesure quils deacutecouvrent de nouvelles techniques pour contourner les scripts de frame-busting Ceci rend plus indispensable encore ladoption et la mise en œuvre de len-tecircte X-Frame-Options puisque ce dernier constitue la solution de facto agrave ce problegraveme et reste en vigueur mecircme lorsque le nouvel attribut sandbox HTML5 est utiliseacute Voilagrave donc ce qui motive notre projet de recherche et ce qui est agrave lorigine de notre question de deacutepart Combien de domaines incluent des en-tecirctes X-Frame-Options et combien le font correctement
Livre blanc | Rapport HP 2012 sur les cyber-risques
7 cvedetailscomcveCVE-2002-1217 8 httpsbugzillamozillaorgshow_bug
cgiid=154957
16
Collection de jeux deacutechantillons Dans le cadre de cette eacutetude le groupe HP Fortify Software Security Research a meneacute des recherches pour eacutevaluer agrave quel point les faibles pratiques de preacutevention des attaques XFS restent aujourdhui adopteacutees et font autoriteacute Nos reacutesultats soulignent eacutegalement la reacuteticence et le rythme dadoption tregraves lent dautres meacutethodes plus seacutecuriseacutees recommandeacutees par des speacutecialistes des navigateurs et des experts en seacutecuriteacute
Alexa9 fut utiliseacute pour renseigner une collection de 100 000 sites Web (les plus connus) et geacuteneacuterer une liste distribueacutee dans de nombreux secteurs diffeacuterents Une fois la liste de deacutepart creacuteeacutee avec ses 100 000 URL les demandes de niveau supeacuterieur furent assembleacutees en concateacutenant ldquohttprdquo dans lURL obtenue Par exemple
ldquohttprdquo + exemplecom = httpexemplecom
Ensuite la nouvelle URL composeacutee fut demandeacutee et la reacuteponse obtenue examineacutee de maniegravere passive agrave la recherche des eacuteleacutements suivants
bull La preacutesence dun en-tecircte X-Frame-Options et de ses valeurs respectives
bull La preacutesence dun champ de mot de passe dans la reacuteponse de la demande de niveau supeacuterieur Un champ de mot de passe est censeacute indiquer un niveau de sensibiliteacute qui doit ecirctre proteacutegeacute par lapplication
bull Si la preacutesence de len-tecircte neacutetait pas respecteacutee lURL cible eacutetait soumise agrave des tests suppleacutementaires afin de distinguer si une tentative de deacutejouer les attaques XFS avait eu lieu Le recours agrave la preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade a eacuteteacute enregistreacute pour une analyse ulteacuterieure
Reacutesultats90 des eacutechantillons analyseacutes nont jamais rien tenteacute pour se proteacuteger des attaques XFS De tous les domaines doteacutes dune protection active contre les attaques XFS 62 ont recours agrave des meacutecanismes de preacutevention faibles fondeacutes sur les scripts Sur les 100 000 domaines testeacutes 19 848 disposaient de champs de mot de passe dans la demande de niveau supeacuterieur avec seulement 101 domaines preacutecisant un en-tecircte X-Frame-Options Celasignifieque01 deseacutechantillonssontproteacutegeacutesDe plus plus de 99 des eacutechantillons oubliaient de speacutecifier un en-tecircte X-Frame-Options tandis que 19 dentre eux avaient une raison dinclure len-tecircte mais ne lont pas fait
Les reacutesultats montrent que soit les deacuteveloppeurs ne sont pas suffisamment informeacutes des risques que posent les vulneacuterabiliteacutes XFS soit ils ne souhaitent consacrer aucun effort agrave la protection de leurs visiteurs Si 2 307 eacutechantillons deacutevoilaient des protections contre les attaques XFS seulement 38 ont opteacute pour lutilisation de len-tecircte X-Frame-Options preacuteconiseacute 1 432 eacutechantillons ont montreacute quils employaient toujours des techniques de preacutevention et datteacutenuation fondeacutees sur JavaScript ou les feuilles de style en cascade qui se sont aveacutereacutees insuffisantes (voir la Figure 20)
Les 875 domaines fondeacutes sur len-tecircte X-Frame-Options affichaient la distribution de valeurs suivante
1 702 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur SAMEORIGIN
2 151 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur DENY
3 13 des 875 domaines eacutetaient deacutefinis avec lattribut Allow-from
4 8 des 875 valeurs fournies eacutetaient conformes agrave leacutebauche de lIETF10
Aucun des 13 domaines utilisant lattribut Allow-from ne preacutecisait un caractegravere geacuteneacuterique () reacuteduisant les risques lieacutes agrave une politique de libre accegraves La Figure 21 preacutesente ces valeurs sous forme de pourcentages
Livre blanc | Rapport HP 2012 sur les cyber-risques
9 httpsbugzillamozillaorgshow_bugcgiid=154957
10 httptoolsietforghtmldraft-ietf-websec-x-frame-options-01
Figure 20Preacutevention des risques lieacutes aux scripts sur plusieurs cadres
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade 62
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade
Options X-Frame 38
Options X-Frame
Figure 21Reacutepartition des valeurs den-tecircte X-Frame-Options fournies
REFUS 17 Allow-from
2 Autres (valeurs non en conformiteacute)1
MEcircME ORIGINE 80
17
Encadrementintersites conclusionIl est eacutevident que toutes les ressources nont pas besoin decirctre proteacutegeacutees contre les attaques XFS Cependant il demeure des situations ougrave la mise en place dune protection adeacutequate est justifieacutee et indispensable Une mesure employeacutee pour identifier ces cas au cours de cette eacutetude eacutetait la preacutesence dun champ de saisie de mot de passe dans un formulaire Les pages dauthentification sont les plus exposeacutees agrave une attaque de type clickjacking En se focalisant sur les pages munies de champs pour la saisie des mots de passe lanalyse tente deacutetablir un lien entre la sensibiliteacute dune ressource et les efforts investis pour la proteacuteger Une des statistiques les plus surprenantes dans lanalyse est que seulement 103 des 100 000 domaines proteacutegeaient comme il se doit les pages avec des champs de mots de passe confidentiels soit un taux exorbitant de 010 qui suggegravere que la puissance et lefficaciteacute de len-tecircte ont fait lobjet dune mauvaise promotion nont pas obtenu ladheacutesion des administrateurs des serveurs ou nont pas seacuteduit les deacuteveloppeurs
Il convient de souligner que si un peu plus de 80 des reacuteponses ne contenaient aucun champ de mot de passe cela ne veut pas dire pour autant quil ne faut pas proteacuteger le contenu Autrement dit leacutechantillon nincluait aucun champ de mot de passe dans la demande de niveau supeacuterieur Il est donc tregraves probable que beaucoup dautres sites sexposent agrave des risques en avanccedilant plus loin dans larborescence du site La mesure la plus importante agrave noter est le pourcentage remarquable de sites sans en-tecircte X-Frame-Options soit 99
Apregraves une analyse approfondie des reacutesultats des recherches speacutecialiseacutees consacreacutees aux attaques XFS la section qui suit se concentre agrave nouveau sur ce qui semble ecirctre le sujet de conversation le plus populaire en 2012 en matiegravere de seacutecuriteacute la seacutecuriteacute des applications mobiles
Seacutecuriteacutedesapplicationsmobiles
Dix secondes dans une file dattente nimporte ougrave suffisent pour se rendre compte que lutilisation dappareils mobiles a litteacuteralement exploseacute En fait pour la premiegravere fois 2012 est lanneacutee pendant laquelle le nombre de smartphones vendus a deacutepasseacute le nombre dordinateurs portables et dordinateurs de bureau agrave la fois11 Cette augmentation a eacuteteacute suivie aussi dune hausse proportionnelle des risques surtout au moment ougrave les entreprises essaient de mettre agrave profit les avantages quoffre la mobiliteacute Comme nous lavons vu plus haut lOSVDB a signaleacute une hausse de 68 du nombre de vulneacuterabiliteacutes signaleacutees pour les technologies mobiles depuis 2011 soit une augmentation de 787 sur les cinq derniegraveres anneacutees Lors de nos tests nous sommes toujours revenus au mecircme constat Si vous posseacutedez des donneacutees des attaquants chercheront agrave sen emparer
Pour eacutevaluer leacutetat actuel de la seacutecuriteacute des applications mobiles leacutequipe HP Fortify on Demand a rassembleacute les reacutesultats de plus de 70 applications mobiles agrave la recherche de failles de seacutecuriteacute Ce jeu deacutechantillons concernait plus de 50 organisations uniques et de nombreux secteurs au niveau local et international Il peut donc ecirctre consideacutereacute comme une repreacutesentation relativement preacutecise dune application mobile moyenne Les reacutesultats montrent que les vulneacuterabiliteacutes qui compromettent la seacutecuriteacute des applications mobiles sont les mecircmes que pour les applications classiques Ils montrent eacutegalement quun problegraveme surtout se distingue des autres Dans le paysage informatique actuel la fuite dinformation est un problegraveme particuliegraverement reacutepandu et neacutefaste La demande croissante dinformations des travailleurs mobiles allieacutee aux services de cloud de plus en plus omnipreacutesents et agrave une hausse des appareils grand public non geacutereacutes sur le reacuteseau dentreprise repreacutesente un deacutefi notable pour de nombreuses organisations
Fuite de donneacutees sensibles sur des canaux non seacutecuriseacutesLa fuite de donneacutees est un problegraveme de longue date pour les applications Web Si elle peut paraicirctre un problegraveme dampleur modeacutereacutee elle implique souvent une information en apparence inoffensive qui permet agrave un attaquant de renforcer sa strateacutegie dattaque pour mener une attaque plus dangereuse encore La mecircme chose vaut pour les applications mobiles Plus des trois quarts (77 ) des applications mobiles dans notre eacutetude eacutetaient vulneacuterables et en proie agrave des fuites dinformations Nous avons deacutecouvert que les donneacutees personnelles dun utilisateur eacutetaient souvent transmises via des protocoles reacuteseau non crypteacutes comme le protocole HTTP Il sagissait pour la plupart dinformations simples comme des noms des adresses et des numeacuteros de teacuteleacutephone Cependant dans notre jeu deacutechantillons ces donneacutees comprenaient eacutegalement lemplacement actuel de lutilisateur ainsi que lidentifiant unique de lappareil (eacutegalement appeleacute UDID)
Livre blanc | Rapport HP 2012 sur les cyber-risques
11 voiceswashingtonpostcomposttech201011smartphone_sales_to_pass_compuhtml
18
LUDID est primordial pour un appareil car il peut servir agrave des attaques extrecircmement cibleacutees contre des utilisateurs en particulier Si les donneacutees de geacuteolocalisation lidentifiant unique de lappareil et les donneacutees personnelles eacutetaient intercepteacutees sur une application vulneacuterable ce que cela implique dans la reacutealiteacute est eacutetonnant Un attaquant pourrait localiser une cible dans le monde reacuteel et les possibiliteacutes qui souvriraient alors agrave lui seraient illimiteacutees Cest la porte ouverte agrave un sceacutenario effroyable que la plupart des gens ne soupccedilonnent pas Bien entendu lexploitation dapplications simples et banales peut eacutegalement avoir lieu Imaginez le sceacutenario suivant Si lapplication transmet lUDID le nom complet ladresse et ainsi de suite agrave un service Web vulneacuterable et que ce dernier est la cible potentielle dune attaque par injection SQL on conccediloit aiseacutement que chaque bit de donneacutees sur cet appareil mobile soit accessible Il est eacutetonnant de voir jusquougrave une fuite dinformation peut mener un attaquant si les circonstances jouent en sa faveur et que tout alors est du domaine du probable voire du possible
Les donneacutees transmises sur des canaux non seacutecuriseacutes ne se limitaient pas aux donneacutees personnelles Les donneacutees applicatives elles non plus neacutetaient pas proteacutegeacutees Nous avons deacutecouvert que des informations de connexion des informations didentification utilisateur des ID de session des jetons et des donneacutees dentreprise sensibles eacutetaient transmises via des protocoles reacuteseau non crypteacutes agrave linstar du protocole HTTP Imaginez les conseacutequences pour une application bancaire vulneacuterable Si des informations didentification des identificateurs de session des informations didentification personnelle ou dautres donneacutees strateacutegiques sont transmises vers un serveur principal la transmission se doit decirctre seacutecuriseacutee sans quoi les donneacutees peuvent ecirctre intercepteacutees par un attaquant au moyen doutils ou dapplications de capture de paquets reacuteseau courants (par exemple DroidSheep)
Les recherches ont montreacute que 375 des applications pouvaient ecirctre la cible dune vulneacuterabiliteacute impliquant une forme quelconque dautorisation notamment des mots de passe en texte clair des mots de passe codeacutes en dur et des mots de passe inteacutegreacutes agrave la reacuteponse Ce pourcentage bien plus eacuteleveacute que pour les applications dites traditionnelles prouve eacutegalement que les deacuteveloppeurs dapplications mobiles doivent travailler davantage pour proteacuteger leurs donneacutees
Dautres vulneacuterabiliteacutes deacutetecteacutees en nombres importants incluaient les attaques de type stack-smashing Plus de la moitieacute des vulneacuterabiliteacutes (5545 ) noffraient aucune protection adeacutequate contre ce type dattaque Si cet oubli nentraicircne pas lexeacutecution du code il peut quand mecircme geacuteneacuterer une panne injustifieacutee de lapplication vulneacuterable
Qui plus est 135 des applications eacutetaient vulneacuterables agrave des attaques XSS Ceci fut une reacuteelle surprise puisque tous les autres ensembles dapplications que nous avons testeacutes mobiles et traditionnels reacuteveacutelaient des nombres de vulneacuterabiliteacutes XSS plus eacuteleveacutes Un examen plus attentif de ces nombres a montreacute que les applications vulneacuterables eacutetaient des applications destineacutees autant agrave la gestion de la finance que des bases de donneacutees En dautres termes le faible pourcentage ne reacuteduisait pas limpact potentiel
Les accegraves non autoriseacutes concernent quasiment la moitieacute des applications mobilesNous avons chercheacute dautres donneacutees en examinant les reacutesultats obtenus par notre partenaire Security Compass lors de ses tests sur dautres applications A de nombreux eacutegards ils confirment les chiffres eacutevoqueacutes preacuteceacutedemment
48 des applications eacutetaient la proie de vulneacuterabiliteacutes daccegraves non autoriseacute Elles valident les vulneacuterabiliteacutes dauthentification (375 ) que nous avons eacutevoqueacutees dans notre eacutechantillon plus haut Les chiffres montrent que les deacuteveloppeurs dapplications mobiles doivent autant se concentrer sur la preacutevention des accegraves non autoriseacutes sur les applications mobiles que sur les moyens de faciliter laccegraves pour les utilisateurs leacutegitimes
37 des applications posaient des problegravemes de divulgation dinformations sensibles 26 avaient recours agrave des pratiques de connexion meacutediocres et 19 affichaient des messages derreur de mauvaise qualiteacute qui reacuteveacutelaient des informations susceptibles decirctre exploiteacutees par des attaquants Ceci corrobore nos donneacutees preacuteceacutedentes car nous avons vu agrave quel point les fuites dinformations eacutetaient importantes Lors du codage des applications mobiles les deacuteveloppeurs ne tiennent pas compte de ce quimplique la seacutecuriteacute pour le stockage la transmission et laccegraves des donneacutees
33 des applications eacutetaient vulneacuterables agrave des attaques XSS Des tests reacutepeacutetitifs montrent que les attaques par script intersite (XSS) sont autant une menace pour les applications mobiles que pour les applications stationnaires Ces reacutesultats sont en phase avec ce que nous avons constateacute lors des tests des applications traditionnelles
Livre blanc | Rapport HP 2012 sur les cyber-risques
19
26 des applications employaient une meacutethode de cryptage inadapteacutee Le cryptage sur des ordinateurs dentreprise est aujourdhui une pratique standard pour la plupart des entreprises du classement Fortune 500 Il y a dix ans la presse regorgeait dhistoires de donneacutees deacuterobeacutees sur des ordinateurs perdus Les risques dans ce domaine se sont reacuteduits dune part gracircce aux mesures leacutegislatives mises en places et dautre part parce que les entreprises ont eu loccasion de lapprendre agrave leurs deacutepens Pourtant ces mecircmes pratiques standard ne sont pas appliqueacutees aux appareils mobiles et agrave legravere du BYOD (Bring your own device) cela peut saveacuterer dangereux
Les dix principales vulneacuterabiliteacutes des applications mobiles Le partenaire dHP Security Compass a eacutegalement analyseacute les vulneacuterabiliteacutes des applications mobiles et les a eacutetiqueteacutees par type (voir la Figure 22) Ainsi donc agrave quoi les applications moyennes sont-elles le plus vulneacuterables par ordre de preacutevalence des vulneacuterabiliteacutes A quels types dattaques par incident les applications mobiles sont-elles le plus vulneacuterables
Sur les dix principales vulneacuterabiliteacutes constateacutees en matiegravere dapplications mobiles XSS affichait le deuxiegraveme taux le plus eacuteleveacute et repreacutesentait 15 de toutes les vulneacuterabiliteacutes deacutecouvertes dans ce jeu deacutechantillons Les chiffres confirment eacutegalement que lorsquelles sont consigneacutees par ordre doccurrence les vulneacuterabiliteacutes de fuite dinformation et daccegraves non autoriseacuteauthentification indiquent aux deacuteveloppeurs dapplications mobiles comment ils peuvent mieux seacutecuriser leurs applications en concentrant davantage leurs efforts sur ces domaines
Rechercheentechnologiemobile lacommunicationenchampproche (NFC)pourlesapplicationsmobilesdepaiementNous avons constateacute que les vulneacuterabiliteacutes lieacutees aux applications mobiles eacutetaient en hausse constante mais il est indispensable eacutegalement danticiper et de connaicirctre les nouvelles vulneacuterabiliteacutes qui verront le jour Les nouvelles technologies introduisent en permanence des failles de seacutecuriteacute possibles La plate-forme mobile ne fait pas exception Lune de ces nouvelles technologies est la communication en champ proche (NFC) La communication en champ proche (NFC) deacutesigne une meacutethode de communication de donneacutees sans contact entre des appareils proches les uns des autres Elle a deacutejagrave eacuteteacute adopteacutee en Europe et en Asie et fait depuis peu des adeptes en Ameacuterique du Nord Le Forum NFC (consortium regroupant plusieurs membres tels que Sony Nokia et Philips) applique des normes strictes pour les fabricants dappareils compatibles NFC Les eacutediteurs dapplications disposent ainsi dune architecture seacutecuriseacutee et dune infrastructure compatible qui leur permettent dexploiter cette technologie pour des applications de paiement mobiles et le partage de donneacutees (par exemple leacutechange de devises entre homologues)
Il existe actuellement plusieurs smartphones compatibles NFC Cest le cas du Googletrade Nexus 5 du Samsung Galaxy S II et des BlackBerry Bold 9900 et 9930 Plusieurs socieacuteteacutes exploitent aujourdhui cette technologie
bull Google Wallet conteneur seacutecuriseacute pour les informations de carte de creacutedit qui facilite les transactions NFC
bull MasterCard PayPass service de paiement sans contact (actuellement pris en charge dans Google Wallet)
bull Visa payWave service de paiement sans contact
bull PayPal meacutethode bump (application Bump) pour le transfert dargent ou la reacutealisation de paiements entre utilisateurs
bull Apple iPhone prise en charge de la NFC attendue dans une prochaine version (non confirmeacutee)12
Problegravemes de seacutecuriteacutePlusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (donneacutees de carte de creacutedit ou numeacuteros de comptes) sont transmises via un canal NFC sur un appareil mobile Voici des exemples de cas reacuteels constateacutes reacutecemment dans le domaine de la seacutecuriteacute
Cas 1La technologie NFC est employeacutee dans le cadre de solutions de paiement grand public avec deux modes de mise en œuvre distincts
bull Puce NFC dans des cartes de creacutedit grand public telles que MasterCard PayPass et Visa payWave
bull NFC utiliseacutee dans des solutions de portefeuille mobile
Livre blanc | Rapport HP 2012 sur les cyber-risques
12 Il existe actuellement des eacutediteurs agrave linstar de DeviceFidelity qui proposent des composants tiers qui reproduisent la prise en charge de la communication en champ proche (NFC) pour les appareils iPhone
Figure 22Preacutevalence des dix principales vulneacuterabiliteacutes (en pourcentage)
Accegraves non autoriseacute 18
Scripts intersites 15
Divulgation dinformations sensibles 12
Traitementnon seacutecuriseacute des sessions 11
Vulneacuterabiliteacutes du traitement des cookies 9
Meacutethode de cryptage inadapteacutee 9
Pratiques de connexion meacutediocres 8
Saisie semi-automatique sur des formulaires agrave donneacutees sensibles 6
Informations didentificationen texte clair 6
Messages derreur de mauvaise qualiteacute 6
20
Le deacutefi du premier mode de mise en œuvre est double le premier est que pour la plupart des eacutemetteurs de cartes de creacutedit linstallation de la puce NFC est obligatoire le deuxiegraveme est que par deacutefinition la puce NFC est toujours activeacutee Par exemple si la carte de creacutedit dun utilisateur est dans le champ dun lecteur NFS actif comme celui que lon rencontre dans un terminal de point de vente la carte de creacutedit transmet automatiquement le numeacutero de carte de creacutedit de lutilisateur au lecteur NFS de reacuteception A preacutesent imaginez le sceacutenario pour les appareils mobiles les plus modernes eacutequipeacutes de puces NFS inteacutegreacutees Dans le monde dAndroid il existe des applications conccedilues pour activer la puce NFC de lappareil mobile pour reproduire le comportement du lecteur NFS dun terminal de point de vente A laide dun appareil mobile ou dune application de ce genre un attaquant peut potentiellement activer la puce NFC de son appareil Android croiser des gens dans un endroit peupleacute et tenter danalyser leurs cartes de creacutedit pour recueillir leur numeacutero de compte permanent (PAN)
Les solutions de portefeuille mobile NFC sont souvent vulneacuterables agrave ce mecircme type dattaque si la solution concerneacutee ne deacutesactive pas ou ne retire pas la puce NFC une fois lexeacutecution dune transaction termineacutee Heureusement cette vulneacuterabiliteacute peut facilement ecirctre reacutesolue par des deacuteveloppeurs de solutions de portefeuille mobile sils retirent la puce NFC apregraves usage
Cas 2Plusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (par exemple des donneacutees de carte de creacutedit ou des numeacuteros de comptes) sont transmises via un canal NFC
bull Ecoute tentative dintercepter la communication des donneacutees de transmission NFC (par exemple proxy NFC)
bull Manipulation des donneacutees tentative de manipuler la communication des donneacutees de transmission NFC (par exemple pour identifier des reacutesultats erroneacutes)
bull Attaques par interception tentative dexploitation des modes actifpassif de lappareil pour envoyer et recevoir la communication des donneacutees de transmission NFC
bull Vol tentative dacceacuteder sans autorisation agrave lapplication de paiement mobile (comme si lappareil a eacuteteacute voleacute ou perdu) et examen des fichiers stockeacutes sur lappareil agrave la recherche dinformations sensibles
Cas 3Au cœur mecircme de la fonction NFC se trouve un composant appeleacute eacuteleacutement seacutecuriseacute Deux types de mise en œuvre de cet eacuteleacutement sont possibles (1) les eacuteleacutements incorporeacutes dans lappareil et (2) les eacuteleacutements chargeacutes dans une carte SIM Dans les cas ougrave leacuteleacutement seacutecuriseacute est chargeacute dans une carte SIM il est possible que la carte SIM soit retireacutee et eacutechangeacutee sous les yeux dun utilisateur creacutedule Cette situation aboutit agrave des sceacutenarios dattaque semblables aux suivants
bull Echange de carte SIM avec un autre appareil (du mecircme type) pour tenter dacceacuteder au contenu de leacuteleacutement seacutecuriseacute Dans certains cas lutilisation dun appareil de type diffeacuterent peut offrir un accegraves suppleacutementaire aux informations de leacuteleacutement seacutecuriseacute sil nest pas mis en œuvre de maniegravere seacutecuriseacutee Par exemple il existe un risque de contournement de lapplication de paiement ou de la protection du mot de passe au niveau du teacuteleacutephone en cas deacutechange de carte SIM dans un teacuteleacutephone eacutequivalent avec lapplication de paiement et sans mot de passe
bull Identification des donneacutees contenant des informations sensibles dans leacuteleacutement seacutecuriseacute situeacute dans la carte SIM apregraves une opeacuteration de restauration sur un autre appareil Il peut sagir aussi dattaques visant agrave cloner ou copier la carte SIM au moyen dun mateacuteriel externe
Notez que la difficulteacute daccegraves agrave leacuteleacutement seacutecuriseacute offre une certaine garantie sur lenvironnement de seacutecuriteacute de leacuteleacutement seacutecuriseacute sur lappareil cible
Cas 4Dans certains cas il est possible que limpleacutementation de lapplet VMPA dans leacuteleacutement seacutecuriseacute nait pas tenu compte de tous les eacuteleacutements de seacutecuriteacute Il peut sagir par exemple dune signature et dun controcircle daccegraves insuffisants de lapplet VMPA qui permettent agrave une application quelconque de deacutemarrer et dy soumettre des requecirctes Cette situation peut offrir agrave une application non autoriseacutee la possibiliteacute dappeler lapplet VMPA via la commande APDU (JSR 177) Une requecircte bien formuleacutee peut potentiellement permettre dactiver la radio NFC et de transmettre des informations de carte de creacutedit
Livre blanc | Rapport HP 2012 sur les cyber-risques
21
Bien que des informations et une analyse exactes peuvent ecirctre obtenues agrave partir dun appareil dinvestigation (si un accegraves agrave ce type de mateacuteriel est disponible) il nexiste pour lheure aucun outil autorisant laccegraves agrave des informations de leacuteleacutement seacutecuriseacute Leacuteleacutement seacutecuriseacute comme son nom lindique fournit des meacutecanismes de seacutecuriteacute preacutecis (par exemple controcircle daccegraves cryptage et reacutepartition) qui empecircchent lextraction dinformations sensibles eacuteventuelles Cest pourquoi un accegraves dinvestigation explicite agrave leacuteleacutement seacutecuriseacute nest actuellement pas possible mecircme avec un outil dinvestigation distribueacute par les leaders du marcheacute
RecommandationsIl existe des mesures que les organisations peuvent prendre pour reacuteduire les risques que posent les failles de seacutecuriteacute des applications mobiles Avant tout les applications doivent ecirctre manuellement controcircleacutees et eacutevalueacutees avant le lancement des produits afin de deacuteterminer la preacutesence de vulneacuterabiliteacutes dinjection ou de vulneacuterabiliteacutes de fuite dinformation Le code doit ecirctre analyseacute via une analyse statique au moment de le deacutevelopper pour y rechercher des failles Comme pour toutes les applications il est moins coucircteux de geacuterer des failles de seacutecuriteacute lors de la phase de deacuteveloppement quau moment de leur diffusion
Les normes de transmission seacutecuriseacutee des donneacutees doivent ecirctre incluses dans le cahier des charges de toutes les applications surtout si ces derniegraveres sont eacutelaboreacutees par des deacuteveloppeurs tiers Il en va de mecircme pour le stockage seacutecuriseacute des donneacutees et le journal des applications Des exigences raisonnables en matiegravere daffichage des communications entre applications et dautorisations dans ces derniegraveres doivent ecirctre rigoureusement deacutefinies Tous ces aspects doivent ecirctre geacutereacutes lors de la phase de deacutefinition des exigences et testeacutes lors du deacuteveloppement Au moment dexeacutecuter les tests de seacutecuriteacute et lanalyse sur les applications mobiles les services Web cocircteacute serveur et les API avec lesquels les clients mobiles communiquent doivent ecirctre pris dans leur contexte et analyseacutes pour y deacuteceler des vulneacuterabiliteacutes Des failles agrave haut risque peuvent passer agrave la trappe si ces deux eacuteleacutements sont testeacutes et compareacutes hors de leur contexte
Conclusions
Lobjectif de ce rapport est de fournir aux organisations toutes les informations de seacutecuriteacute qui les aideront agrave mieux comprendre comment deacuteployer les ressources limiteacutees dont elles disposent pour minimiser au maximum leurs risques en matiegravere de seacutecuriteacute A cet effet les tendances et les enseignements agrave tirer de lanneacutee 2012 sont nombreux et doivent ecirctre pris en compte pour la ou mecircme les anneacutees qui viennent
Militarisation des vulneacuterabiliteacutes Les attaquants ne cesseront jamais de militariser les vulneacuterabiliteacutes pour mener agrave bien leurs activiteacutes malveillantes Ceux qui eacutelaborent les kits dexploitation continueront de se focaliser sur des vulneacuterabiliteacutes dans les logiciels les plus reacutepandus ciblant le plus souvent des navigateurs et des plug-ins de navigateur tels que Oracle Java et Adobereg Flash De mecircme le nombre dattaques meneacutees publiquement agrave lencontre de technologies et dentreprises speacutecifiques continuera daugmenter Des organisations criminelles des Etats-nations et des hacktivistes se serviront toujours des cyber-attaques comme moyen duniformiser les regravegles du jeu contre des adversaires riches ou puissants mecircme si les reacuteelles motivations derriegravere ces attaques resteront souvent difficiles agrave deacuteterminer
Vulneacuterabiliteacutes des technologies mobilesLadoption croissante des technologies mobiles et leur utilisation au sein de lentreprise engendreront toujours des risques consideacuterables Nombre de gens lont deacutejagrave constateacute les programmes malveillants deacuteployeacutes sur les marcheacutes qui opposent Android et Apple poursuivent leur croissance Laggravation de ce problegraveme est essentiellement lieacutee au fait que les entreprises ne disposent pas du mecircme type de controcircle sur ces appareils que sur des PC Au moment ougrave le BYOD (Bring your own device) devient la norme et que ladoption des appareils mobiles prend de lampleur on peut sattendre agrave une hausse proportionnelle du nombre de failles chez les applications mobiles tendance qui devrait se maintenir dans un avenir preacutevisible
Livre blanc | Rapport HP 2012 sur les cyber-risques
22
DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables
Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications
Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables
Pourensavoirplusconsultezlapage Web hpcomgoSIRM
Livre blanc | Rapport HP 2012 sur les cyber-risques
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013
8
Dapregraves les donneacutees de lOSVDB 76 vulneacuterabiliteacutes seulement ont eacuteteacute deacutetecteacutees dans les systegravemes SCADA entre 2008 et 2010 En revanche apregraves la deacutecouverte en 2010 du ver Stuxnet dans une usine denrichissement duranium iranienne lattention sest focaliseacutee sur la seacutecuriteacute des systegravemes SCADA En 2011 164 vulneacuterabiliteacutes ont eacuteteacute recenseacutees dans les systegravemes SCADA et ce nombre a atteint 191 en 2012 soit une augmentation de 768 par rapport aux chiffres de 2008 (voir la Figure 7)
Figure 7 Vulneacuterabiliteacutes des systegravemes SCADA deacutecouvertes et eacutevalueacutees par lOSVDB entre 2008 et 2012
0
50
100
150
200
250
2008 2009 2010 2011 2012
ProgrammeZero Day Initiative coupdœilsur 2012Gracircce agrave la position de leader du ZDI en qualiteacute de programme dacquisition des vulneacuterabiliteacutes les chercheurs de leacutequipe ont maintes fois eu loccasion danalyser certaines des vulneacuterabiliteacutes les plus inteacuteressantes et les plus deacutebattues qui sont survenues au cours des douze derniers mois Les cas dignes dinteacuterecirct suivants observeacutes en 2012 illustrent le croisement des marcheacutes blanc et noir
Au deacutebut de lanneacutee 2012 une vulneacuterabiliteacute des services Bureau agrave distance Microsoftreg (ZDI-12-044 MS12-020 et CVE-2012-0002) a fait lobjet de toutes les attentions
bull Le ZDI a signaleacute cette faille speacutecifique agrave Microsoft en aoucirct 2011
bull Aucune attaque exteacuterieure connue ne fut signaleacutee mais consciente de son pouvoir dattraction aupregraves des attaquants la socieacuteteacute Microsoft sattendait deacutejagrave agrave des exploitations imminentes pour mars 2012
bull Il eacutetait possible dacceacuteder agrave cette faille sur le reacuteseau avant toute authentification requise Elle se manifestait deacutejagrave lors de la gestion des erreurs au moment du chargement des eacuteleacutements dans un tableau
Un mois plus tard Samba publia un correctif tregraves attendu fondeacute sur une faille identifieacutee par un chercheur du ZDI (TPTI-12-04 CVE-2012-1182)
bull Le ZDI signala cette faille agrave Samba en septembre 2011
bull Aucune attaque exteacuterieure connue ne fut signaleacutee mais la vulneacuterabiliteacute incrimineacutee comptait parmi les vulneacuterabiliteacutes les plus graves pour un programme et Samba traita sans attendre le problegraveme
bull Cette faille nexigeait aucune connexion authentifieacutee et aboutissait agrave une meacutemoire corrompue quun attaquant pouvait librement exploiter pour exeacutecuter du code agrave distance
La fin de lanneacutee 2012 fut une peacuteriode dactiviteacute intense pour les attaques de type zero-day qui toucha autant Oracle (CVE-2012-0422 CVE-2012-3174) que Microsoft (MS13-008 CVE-2012-4792) Le ZDI eacutetait aux premiegraveres loges et signala une vulneacuterabiliteacute importante de Java lieacutee agrave une faille zero-day
bull Le ZDI signala cette faille Java agrave Oracle en deacutecembre 2012
bull Cette faille eacutetait exploiteacutee au grand jour
bull Elle permettait agrave une applet malveillante dexeacutecuter un code fourni par un attaquant et de le faire agrave distance dans le contexte de lutilisateur actuel
Ces cas ne sont pas les seuls cas geacutereacutes par le ZDI en 2012 mais ils montrent bien le croisement des marcheacutes noir et blanc dans cette chasse aux vulneacuterabiliteacutes Une chose est sucircre nos chercheurs sont engageacutes dans une course contre la montre visant agrave identifier et divulguer de maniegravere responsable les vulneacuterabiliteacutes des technologies logicielles les plus reacutepandues
Livre blanc | Rapport HP 2012 sur les cyber-risques
9
Vulneacuterabiliteacutesdesapplications Web
Pour dresser un tableau plus complet des vulneacuterabiliteacutes actuelles leacutequipe HP Fortify on Demand sest reacuteunie et a analyseacute les reacutesultats de milliers deacutevaluations pour savoir agrave quoi ressemble la seacutecuriteacute des applications Web de linteacuterieur Pour cela elle a proceacutedeacute agrave des examens de code et des tests de peacuteneacutetration Un examen minutieux des reacutesultats des analyses statiques (recherche de vulneacuterabiliteacutes dans le code source sans exeacutecution de ce dernier) et dynamiques (tests de fonctionnement du logiciel en qualiteacute dattaquant sans accegraves au code mecircme) constitue une base solide pour eacutetablir un reacuteel eacutetat des lieux en matiegravere de risques pour les applications Web
Les jeux deacutechantillons utiliseacutes pour cette analyse comprenaient 200 applications choisies au hasard pour lanalyse dynamique et 800 applications pour lanalyse statique La Figure 8 montre les cinq principales vulneacuterabiliteacutes deacutecouvertes dans le cadre de lanalyse dynamique en 2012
Figure 8 Cinq principales vulneacuterabiliteacutes deacutecouvertes lors de lanalyse dynamique en 2012 via HP Fortify on Demand
45
26 25
13
9
0
5
10
15
20
25
30
35
40
45
50
Scripts intersites ProtectionTransport
Layer insuffisante
Mauvaiseconfiguration
de seacutecuriteacute
Gestion delauthentification
et des sessiondeacutefaillante
Failles dinjection
Les reacutesultats dynamiques obtenus agrave partir de ce jeu deacutechantillons ainsi que dautres reacutesultats consigneacutes dans ce rapport montrent que les attaques par script intersite constituent toujours une menace importante lors de toute tentative de seacutecurisation des applications Web Si lon tient compte de la premiegravere place quoccupent les attaques par script intersite parmi les types de vulneacuterabiliteacute acquis par le ZDI lanneacutee derniegravere et de lampleur reacuteelle de ces attaques confirmeacutee par des tests reacutepeacuteteacutes les organisations peuvent agrave juste titre les consideacuterer comme une preacuteoccupation majeure en matiegravere de seacutecuriteacute
La Figure 9 deacutecrit le mode opeacuteratoire dune attaque par script intersite classique et comment lexploiter pour deacuterober des informations didentification dauthentification sur des sites strateacutegiques
Livre blanc | Rapport HP 2012 sur les cyber-risques
10
Figure 9 Anatomie dune attaque par script intersite reacutefleacutechie
Site bancaire
Utilisateur creacutedule
Attaquantmalveillant
1 Un attaquant deacutecouvre une faille XSS dans une application Web
3 Lattaquant distribue le lien XSS malveillant via dingeacutenierie sociale agrave des utilisateurs creacutedules
2 Lattaquant creacutee une URL dattaque pour voler des informations sensibles et la deacuteguise afin quelle paraisse leacutegitime
4 Lorsque la victime se connecte JavaScript qui est inteacutegreacute au lien XSS malveillant sexeacutecute et transmet les informations de connexion de la victime agrave lattaquant
La Figure 10 montre les cinq principales vulneacuterabiliteacutes deacutecouvertes dans le cadre de lanalyse statique en 2012 et inclut le pourcentage relatif dapplications toucheacutees par chaque cateacutegorie de vulneacuterabiliteacute
Figure 10 Cinq principales vulneacuterabiliteacutes deacutecouvertes lors de lanalyse statique en 2012 via HP Fortify on Demand
92 88 86
75
61
0
10
20
30
40
50
60
70
80
90
100
Fuites dinformationset gestion des
erreurs inapproprieacutee
Stockagedes donneacutees
cryptographiquesnon seacutecuriseacute
Failles dinjection Reacutefeacuterencedobjet directenon seacutecuriseacutee
Gestion delauthentification et des
session deacutefaillante
Les reacutesultats de lanalyse statique reacutevegravelent que les fuites dinformation les problegravemes de stockage des donneacutees cryptographiques et les failles dinjection sont les vulneacuterabiliteacutes les plus freacutequentes Un eacuteleacutement non citeacute dans cette liste des cinq principales vulneacuterabiliteacutes est que pour 51 des applications il eacutetait question dune attaque par script intersite reacutefleacutechie (voir la Figure 9 ci-avant) Sil ne figure pas dans la liste il reste neacuteanmoins un eacuteleacutement important si on lajoute aux autres reacutesultats de ce rapport
Les reacutesultats de ces jeux deacutechantillons confirment nettement que les applications Web souffrent encore aujourdhui de nombreuses faiblesses pourtant jugeacutees critiques par les diverses normes industrielles en vigueur Les cinq principales cateacutegories de vulneacuterabiliteacute qui dominent les reacutesultats sont souvent celles qui exposent les applications Web agrave des risques importants notamment le vol dinformations lescalade de privilegraveges etc Ces deux jeux deacutechantillons nous amegravenent agrave la conclusion que les organisations ne parviennent toujours pas agrave appliquer des mesures coheacuterentes pour faire face agrave des vulneacuterabiliteacutes omnipreacutesentes comme les scripts intersites et les fuites dinformation
Livre blanc | Rapport HP 2012 sur les cyber-risques
11
Un autre eacuteleacutement agrave retenir est que la vulneacuterabiliteacute la plus employeacutee par des attaquants en relation avec dautres vulneacuterabiliteacutes connues est la fuite dinformation Un eacuteleacutement dinformation preacutecis peut sembler sans inteacuterecirct mais peut pourtant ecirctre le composant cleacute qui permettra agrave un attaquant dimposer une technique pour mener une attaque plus deacutevastatrice encore En somme pour preacuteparer et reacuteussir une attaque des techniques minutieuses de collecte des informations et de reconnaissance sont indispensables
Risquesdesapplications Web eacutetudedecas
ProfildelasocieacuteteacuteGrande entreprise multinationale (plus de 100 000 employeacutes) avec un chiffre daffaires de plus de 82 milliards de dollars pour lexercice fiscal 2012
Cette entreprise dispose dun programme de seacutecuriteacute actif et opeacuterationnel Les reacutesultats montrent les efforts qui sont neacutecessaires pour geacuterer entiegraverement les risques lieacutes agrave la seacutecuriteacute des applications Les reacutesultats qui suivent proviennent de plus de 1 300 eacutevaluations dynamiques uniques meneacutees sur les divers sites de lentreprise Dans legravere de la seacutecuriteacute des applications modernes une vulneacuterabiliteacute est souvent une de trop
Reacutesultats
bull 541 des eacutevaluations ont reacuteveacuteleacute des cookies persistants LAgence europeacuteenne chargeacutee de la seacutecuriteacute des reacuteseaux et de linformation (ENISA) emploie le terme cookies doux-amers pour parler de ces cookies Les cookies persistants augmentent consideacuterablement la probabiliteacute dattaques par relecture en raison de la dureacutee de validiteacute prolongeacutee des cookies La divulgation dinformations sur des ordinateurs publics partageacutes peut eacutegalement produire des cookies persistants Parce que les cookies servent entre autres agrave observer le comportement des utilisateurs il est probable que les avantages potentiels quils preacutesentent pour lentreprise aient quelque peu relayeacute les questions de seacutecuriteacute au second plan
bull Un peu moins de la moitieacute (4832 ) des sites eacutetaient vulneacuterables face agrave une certaine forme dattaque par script intersite
bull Presque un cinquiegraveme (1957 ) des sites contenaient un formulaire de connexion non crypteacute agrave scheacutema mixte ougrave les informations dune page HTTP eacutetaient publieacutees dans une page HTTPS ou inversement
bull 1277 des eacutevaluations eacutetaient vulneacuterables agrave une certaine forme dinjection SQL Le plus intrigant cest que 1097 des eacutevaluations confirmaient les vulneacuterabiliteacutes dinjection SQL agrave laveugle Si lon tient compte du caractegravere particuliegraverement dangereux des injections SQL agrave laveugle et du fait que ces vulneacuterabiliteacutes sont souvent employeacutees pour compromettre un systegraveme ce pourcentage pose de graves problegravemes
bull Un autre cinquiegraveme (197 ) des sites eacutetaient vulneacuterables aux connexions transmises via une connexion non crypteacutee ce qui signifie que le formulaire nutilisait pas le protocole SSL
bull 526 des sites eacutetaient exposeacutes agrave une vulneacuterabiliteacute de lectureinclusion de fichier local Sil eacutetait jugeacute sensible le contenu du fichier pouvait ecirctre utiliseacute pour prendre le controcircle du systegraveme
Des attaques deacutevastatricesOutre des statistiques les organismes chargeacutes de collecter des informations de seacutecuriteacute ont eacutegalement besoin dobservations et dideacutees Dans cette optique la section qui suit propose une liste sommaire des attaques deacutevastatrices que les responsables des tests de peacuteneacutetration chez HP Fortify on Demand ont deacutecouvertes en 2012 Chaque compte a eacuteteacute deacutecouvert moyennant autorisation au cours dopeacuterations approuveacutees meneacutees agrave lencontre de sites de production avec des difficulteacutes techniques allant des plus simples aux plus complexes Le deacutenominateur commun est que toutes les attaques avaient des conseacutequences extrecircmement graves si elles eacutetaient deacutecouvertes par un attaquant malveillant Pour des raisons eacutevidentes les noms des clients nont pas eacuteteacute inclus mais les secteurs eux-mecircmes sont inseacutereacutes dans la liste pour illustrer le danger potentiel et la pertinence des attaques Si ces exemples revecirctent un caractegravere anecdotique par deacutefinition ils profitent de lexpeacuterience et des avis de nos responsables de tests de peacuteneacutetration dune maniegravere que les simples statistiques ne permettent pas Lagrave encore la seacutecuriteacute est plus quune affaire de produits Cest un processus
Attaques par injection et attaques par validation dentreacutee incorrecte Secteurs dactiviteacute peacutetrochimie industrie alimentaire eacutenergie et logicielsTeacuteleacutechargementsdefichiersnonseacutecuriseacutesetconfigurationincorrectedelaseacutecuriteacute Un programme client lourd permettait agrave nimporte quel utilisateur de charger (au moyen de sa fonction de chargement intrinsegraveque) des programmes malveillants sur un serveur Web muni daucune protection contre ce type de programme Environ 30 000 utilisateurs dans le monde entier se servaient de ce programme les risques eacutetaient donc particuliegraverement grands Les fonctions de teacuteleacutechargement de fichiers doivent impeacuterativement faire preuve de meacutefiance agrave leacutegard des types de fichiers acceptables La Figure 11 deacutecrit les conseacutequences de ce sceacutenario
Livre blanc | Rapport HP 2012 sur les cyber-risques
12
Figure 11 Lautorisation de teacuteleacutechargements de fichiers peut avoir des conseacutequences seacutevegraveres
Teacuteleacutechargementsde fichiers
non valideacutes
Aucuneprotectionpar logiciel
anti-programmemalveillant
30 000utilisateurs
sont infecteacutes parle logiciel
malveillant
Injection SQLagravelaveugle les fonctionnaliteacutes daide agrave la recherche (une seacuterie de cases agrave cocher conccedilues pour aider les utilisateurs agrave restreindre leurs critegraveres de recherche) sans validation dentreacutee ont abouti agrave laffichage de 35 bases de donneacutees dID dutilisateur de systegraveme de base de donneacutees et de hachages de mot de passe y compris le compte dadministrateur systegraveme Linjection SQL agrave laveugle peut ecirctre difficile agrave deacuteceler parce quelle geacutenegravere rarement des messages derreur et manifeste un comportement applicatif anormal Les requecirctes parameacutetrables eacutegalement appeleacutees instructions preacutepareacutees empecircchent avec efficaciteacute les attaques par injection SQL si elles ont correctement mises en place5 La Figure 12 deacutecrit cette seacutequence
Instructions SQLentexteclair lors des tests effectueacutes sur une application cliente lourde il a eacuteteacute deacutecouvert que le client exeacutecutait des instructions SQL directement sur le serveur SQL principal avec des autorisations de niveau administrateur sur HTTP Une escalade des privilegraveges utilisateur et la modification des mots de passe furent possibles en soumettant le protocole agrave une ingeacutenierie agrave rebours et en le manipulant (voir la Figure 13)
Inclusiondefichierlocal des techniques de traversement de reacutepertoires (Directory Traversal) et dinclusion de fichier local ont eacuteteacute employeacutees pour afficher le contenu du fichier SAM (Gestionnaire de comptes de seacutecuriteacute) de sauvegarde du serveur Web qui permettait de deacutecoder les mots de passe Au bout de dix minutes il eacutetait possible pour un administrateur local dacceacuteder au systegraveme et de tout compromettre Les routines de validation dentreacutee quelles soient inheacuterentes agrave lapplication ou interviennent au niveau de configuration du serveur Web auraient eacutelimineacute ce vecteur
AttaquesvisantagraveexploiterunemauvaiseconfigurationdeseacutecuriteacuteSecteurs dactiviteacute peacutetrochimie et secteur bancaire internationalImpossibiliteacutederestreindrelaccegravesauxreacutepertoiressensibles dans ce cas le reacutepertoire deacutecouvert eacutetait ldquohttpswwwexamplecompasswordsrdquo Naturellement aucun dossier ldquopasswordsrdquo tout du moins public ne devrait exister Le dossier eacutetait accessible via des navigateurs Web sans aucune authentification et comprenait une liste de reacutepertoires avec des fichiers texte aux noms divers tels que ldquopasswordsprojectrdquo ou mecircme ldquopasswordssystemsrdquo Un simple clic sur un fichier provoquait louverture dun document texte muni dune liste dutilisateurs et de mots de passe au format suivant userpassword Une des listes contenait mecircme ldquosysadminpassword adminpassword etchelliprdquo (voir la Figure 14) Ceci illustre la neacutecessiteacute et limportance de la validation danalyse post-automatique puisque cette vulneacuterabiliteacute qui pose de faibles risques en apparence pouvait aiseacutement passer inaperccedilu aux yeux du client Qui plus est le problegraveme aurait pu ecirctre eacuteviteacute si laccegraves au reacutepertoire avait eacuteteacute restreint comme il le fallait
Leprotocole WebDAVactiveacuteautorisaitlesopeacuterationsdeacutecritureagravedistance Le mode dactivation du protocole WebDAV sur un serveur Web en particulier permettait agrave des utilisateurs dapplications distants de communiquer avec lhocircte et deacutecrire des fichiers dans des reacutepertoires arbitraires Lexploitation de cette vulneacuterabiliteacute permettait de teacuteleacutecharger une porte deacuterobeacutee personnaliseacutee puis de lexeacutecuter en parcourant le chemin daccegraves agrave lURL du fichier reacutecemment transfeacutereacute Une fois exeacutecuteacutee elle offrait la possibiliteacute de controcircler entiegraverement le serveur Web En preacutevoyant de plus amples tests la personne chargeacutee de ces tests pouvait librement poursuivre une attaque contre dautres hocirctes sur le reacuteseau interne de lentreprise processus appeleacute glissement (pivoting) La suppression de laccegraves WebDAV et de meacutethodes HTTP exteacuterieures aurait pu eacuteviter cette attaque
Injection SQLetcommandesdevalidationdentreacuteefaibles Un filtre SQL filtrait tout agrave lexception de lopeacuterateur ldquoORrdquo Cela signifie essentiellement quapregraves insertion de lopeacuterateur ldquoORrdquo dans une instruction SQL chaque commande serait exeacutecuteacutee sur le systegraveme Le parameacutetrage des requecirctes empecircchera les attaques par injection SQL La Figure 15 deacutecrit le deacuteroulement seacutequentiel dune attaque par injection SQL
Livre blanc | Rapport HP 2012 sur les cyber-risques
5 httpswwwowasporgindexphpSQL_Injection_Prevention_Cheat_Sheet
Figure 12 Injection SQL agrave laveugle
Injection SQLagrave laveugle
Voldinformationsutilisateur
Accegraves agraveladministrationsystegraveme
Figure 13 Instructions SQL en texte clair
Protocoledingeacutenierie clientserveur agrave rebours
Exeacutecution SQL
Reacuteinitialisation dumot de passe avec
des privilegravegesplus eacuteleveacutes
Figure 14 Restriction daccegraves impossible
Accegraves au reacutepertoire non restreint
passwrdsprojectuserpassword sysadminmot de passe
passwordssystems fichier
httpswwwexamplecompasswords reacutepertoire
13
Figure 15 Anatomie dune attaque par injection SQL
Site bancaireBase de donneacutees
de la banque
1=1
Attaquant malveillant
1 Lattaquant envoie des informations suppleacutementaires telles quun guillemet ou 1=1 avec des informations de connexion ou inclure des variablespour modifier linstruction SQL originale
3 Une fois que le scheacutema de base de donneacutees a eacuteteacute deacutefini lattaquant peut extraire les donneacutees contenues dans la base de donneacutees notamment les noms dutilisateur les mots de passes les informations de carte de creacutedit etc
2 Avec lapproche par essais et erreurs lattaquant peut construire des arguments SQL pouvant ecirctre utiliseacutes pour reacutecupeacuterer des donneacutees telles que des noms de tableaux ou des noms delignes etc
Mauvaiseconfiguration SAP Linteacutegraliteacute de la base de donneacutees des cartes de creacutedit eacutetait accessible et eacutetait transfeacutereacutee dans un fichier Les commandes configureacutees dans la structure SAP mise en place eacutetaient de qualiteacute meacutediocre et permettaient agrave des repreacutesentants du service clientegravele dexeacutecuter des transactions agrave caractegravere sensible y compris le navigateur de donneacutees HR (SE16) Cette fonction eacutetait exploiteacutee pour parcourir et charger le contenu tout entier de la table des donneacutees des cartes de creacutedit des clients Accessibles de cette maniegravere toutes les donneacutees pouvaient aiseacutement ecirctre exporteacutees agrave laide de comptes SAP avec des privilegraveges moindres
AttaquesparauthentificationparsessionlogiqueetautresattaquesSecteurs dactiviteacute compagnies aeacuteriennes secteur bancaire international et eacutenergieListedebilletsdavionviadesservices Webdecreacuteationdecodes QRmobiles Les testeurs eacutetaient capables de reconstituer agrave rebours une partie de la fonction des services Web pour creacuteer des numeacuteros de billets De faux codes QR de billets davion eacutetaient ainsi geacuteneacutereacutes pour des vols aeacuteriens Il est tout est fait possible que lexploitation de cette fonction ait permis aux attaquants de voler gratuitement En labsence de controcircles preacuteventifs efficaces ils pouvaient senregistrer librement par le biais de leurs appareils mobiles Le recours agrave une fonction de controcircle aleacuteatoire standard des numeacuteros de billets aurait pu eacutegalement eacuteviter ce problegraveme
Figure 16 Creacuteation de mots de passe dynamiques agrave cryptage facilement reacuteversible
AttaqueSQL
Servicedauthen-tification
Web
Capturedu trafic chiffreacute
Deacutesactivationdu chiffrement
du mot depasse
Randomisationdes mots de
passeinsuffisante
Accegravesadministrateur
agrave la basede donneacutees
Deacutesactivation du chiffrement -mot de passe devinable
Accegraves complet agrave labase de donneacutees avec des
autorisations dadministrateur
Livre blanc | Rapport HP 2012 sur les cyber-risques
14
Creacuteationdemotsdepassedynamiquesagravecryptagefacilementreacuteversible lapplication cliente lourde testeacutee communiquait avec un service Web qui se chargeait dabord dauthentifier lutilisateur qui tentait de se connecter Ensuite lapplication demandait le mot de passe au serveur de base de donneacutees principal Au deacutepart le mot de passe eacutetait crypteacute pour la transmission mais simultaneacutement lors dune autre attaque SQL un indicateur de la base de donneacutees a eacuteteacute renverseacute deacutesactivant et annulant ainsi les effets du cryptage Il sest aveacutereacute que le systegraveme mettait en place des mots de passe dynamiques qui changeaient freacutequemment cependant apregraves regroupement des nombreux mots de passe un scheacutema eacutevident est apparu Le mot de passe suivait une chronologie et eacutetait donc facile agrave deviner Un accegraves direct agrave la base de donneacutees avec des autorisations administratives fut confirmeacute et compromit entiegraverement le systegraveme (voir la Figure 16)
Leservice Webautorisaitdesrequecirctes SQLdirectes une application autorisait des connexions agrave sa base de donneacutees principale via un interpreacuteteur Web accessible sur Internet sans authentification Avec des connaissances limiteacutees en SQL un attaquant pouvait aiseacutement extraire toutes les donneacutees enregistreacutees dans la base de donneacutees cliente y compris les deacutetails complets des comptes des utilisateurs noms dutilisateurs mots de passe adresses de messagerie et autres informations didentification personnelle
En partageant les reacutesultats de ces tests de peacuteneacutetration en conditions reacuteelles notre but est dattirer lattention sur la creacuteativiteacute sans bornes et la deacutetermination sans fin des attaquants malveillants Les testeurs de peacuteneacutetration cherchent agrave reproduire ces techniques pour tenter deacutevaluer avec efficaciteacute chaque commande de seacutecuriteacute et sassurer que les donneacutees sensibles et les fonctions applicatives sont proteacutegeacutees Comme le prouvent ces reacutesultats les tests de seacutecuriteacute automatiseacutes seuls ne mesurent pas inteacutegralement la politique globale dun environnement en matiegravere de seacutecuriteacute et doivent ecirctre compleacuteteacutes par une analyse manuelle
Dans la section suivante les chercheurs HP en seacutecuriteacute de logiciels cherchent agrave mettre agrave jour une vulneacuterabiliteacute cruciale souvent utiliseacutee conjointement avec les nombreuses attaques et techniques mentionneacutees plus haut et pour lesquelles une strateacutegie de preacutevention efficace reste globalement agrave mettre en place
En-tecircteX-Frame-Options eacutechecdelancementPour illustrer la nature toujours changeante de la seacutecuriteacute des applications Web les speacutecialistes du groupe HP Software Security Research ont examineacute une vulneacuterabiliteacute deacutejagrave reconnue et officiellement appeleacute script sur plusieurs cadres ou XFS XFS est un outil indispensable pour tout attaquant qui tente deacutelaborer une attaque de hameccedilonnage (phishing) ou dingeacutenierie sociale dans le but de charger un site Web vulneacuterable dans une balise iFrame HTML sur une page malveillante controcircleacutee par un attaquant Ce dernier peut alors extraire des eacuteveacutenements (des seacutequences de touches par exemple) appeleacutes par un utilisateur quelconque sur le site Web cibleacute
Les vulneacuterabiliteacutes XFS ouvrent eacutegalement la voie aux attaques de type clickjacking6 qui trompent les utilisateurs en les incitant agrave cliquer sur des eacuteleacutements preacutecis sur le site Web cibleacute chargeacute agrave linteacuterieur dune balise iFrame invisible Souvent ces reacutesultats aboutissent sur des actions non voulues voire privileacutegieacutees Depuis des anneacutees les chercheurs mettent en garde contre linefficaciteacute des protections par code frame-busting baseacute sur des scripts dans la preacutevention des menaces du XFS Pourtant les deacuteveloppeurs et les administrateurs de serveur qui les assistent ont toujours uniquement recours au meacutecanisme JavaScript (Figure 17) pour deacutetecter des attaques XFS
Les diverses meacutethodes de preacutevention contre XFS se sont maintes fois montreacutees incomplegravetes ou inefficaces Le plus reacutepandu de ces modes de preacutevention est la logique de frame-busting (destruction) de JavaScript ou plus preacuteciseacutement un script cocircteacute client qui ressemble agrave celui preacutesenteacute dans la Figure 175
Figure 17 Logique classique de frame-busting JavaScript
ltscriptgt
if (top=self) toplocationhref = selflocationhref
ltscriptgt
Livre blanc | Rapport HP 2012 sur les cyber-risques
6 cvedetailscomcveCVE-2002-1217
15
Outre les nombreuses variantes de cette technique quil est facile de deacutenicher en ligne des contre-mesures datteacutenuation ont eacutegalement eacuteteacute mises en place pour lutter aussi contre ces variantes avec des regravegles grosso modo eacutequivalentes agrave celles du jeu de la taupe
Comme le montre la Figure 18 la premiegravere vulneacuterabiliteacute XFS documenteacutee a eacuteteacute deacutecouverte il y a plus de 10 ans7 Depuis le clickjacking est devenu une vulneacuterabiliteacute reacutepandue et malgreacute cela moins de un pour cent de nos eacutechantillons incluait loutil de preacutevention le plus connu agrave savoir len-tecircte X-Frame-Options
Figure 18 Bref historique des eacuteveacutenements majeurs lieacutes agrave la deacutetection de failles de type XFS (script sur plusieurs cadres)
29062002Bug iFrame Jesse Rudermana
28102002Premier CVE XFS connub
16112005Echec des techniques de Framec
21052008Premiegravere mention publique de lattribut iFrame sandboxd
12092008Le terme clickjacking est inventeacutee
26012009Premier navigateur prenant en charge des options X-Framef
17062010Busting Frame Bustinga Study of ClickjackingVulnerabilities on Popular Sitesg
27012012Facebook poursuit uneentreprise de clickjackingh
11072012Dernier conseilXFS connui
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
a httpsbugzillamozillaorgshow_bugcgiid=154957 b httpwwwcvedetailscomcveCVE-2002-1217 c httpcryptostanfordeduframebust d httphtml5orgtoolsweb-apps-trackerfrom=1642ampto=1643 e httpwwwsectheorycomclickjackinghtm f httpblogsmsdncombiearchive20090126internet-explorer-8-release-candidate-now-availableaspx g httpcdnlytlpublicationsbusting-frame-busting-a-study-of-clickjacking-vulnerabilities-on-popular-sitespdf h httpwwwguardiancouktechnology2012jan27facebook-sues-clickjacking-firm-adscend i httposvdborgshowosvdb83762
Lhistoire du XFS (Cross-Frame Scripting ou scripts sur plusieurs cadres) remonte agrave la publication dun rapport relativement banal sur un comportement observeacute par Jesse Ruderman en 20028 et devenu aujourdhui un eacuteleacutement moteur dun autre pheacutenomegravene communeacutement appeleacute clickjacking Un eacuteleacutement cleacute de la reacutegression identifieacutee en matiegravere de seacutecuriteacute eacutetait la deacutecision dajouter lattribut sandbox agrave leacutebauche de la speacutecification HTML5 pour la balise iFrame au milieu de lanneacutee 2008
Les chercheurs ont deacutemontreacute que plusieurs contre-mesures datteacutenuation eacutetaient possibles avec des bugs des navigateurs ou des astuces JavaScript Le dernier eacuteleacutement ajouteacute agrave cette liste comme le montre la Figure 19 est lutilisation dune fonction de seacutecuriteacute introduite dans la speacutecification HTML5 sous la forme dun attribut sandbox iFrame que les attaquants peuvent exploiter pour deacutesactiver les protections de frame-busting de JavaScript
Figure 19 Attribut sandbox iFrame
ltiframe sandbox=rdquoallow-scriptsrdquo src=rdquohttpexamplecomrdquogtltiframegt
Lobjet de lattribut sandbox est daccorder lautorisation dexeacutecuter des scripts (allow-scripts) dans le contenu cibleacute A titre accessoire toutes les logiques de frame-busting employeacutees par examplecom sont effectivement deacutesactiveacutees en lui refusant lautorisation allow-top-navigation dans sa speacutecification sandbox
Gracircce agrave lattribut sandbox cette technique permet agrave un attaquant de deacutejouer de maniegravere efficace toutes les tentatives de frame-busting que megravenent les deacuteveloppeurs pour se proteacuteger de tout encadrement de site et toute opeacuteration de clickjacking par des tiers Les eacutediteurs de navigateurs ont introduit et valideacute une technique de preacutevention baseacutee sur des strateacutegies bien plus forte gracircce agrave len-tecircte X-Frame-Options Les deacuteveloppeurs peuvent se servir de cet en-tecircte pour dicter au navigateur les actions adeacutequates agrave entreprendre si leur site est inclus dans un iFrame Malheureusement ladoption de cette fonction parmi les deacuteveloppeurs est tregraves lente et offre aux attaquants un vaste terrain de sites potentiellement exploitables agrave mesure quils deacutecouvrent de nouvelles techniques pour contourner les scripts de frame-busting Ceci rend plus indispensable encore ladoption et la mise en œuvre de len-tecircte X-Frame-Options puisque ce dernier constitue la solution de facto agrave ce problegraveme et reste en vigueur mecircme lorsque le nouvel attribut sandbox HTML5 est utiliseacute Voilagrave donc ce qui motive notre projet de recherche et ce qui est agrave lorigine de notre question de deacutepart Combien de domaines incluent des en-tecirctes X-Frame-Options et combien le font correctement
Livre blanc | Rapport HP 2012 sur les cyber-risques
7 cvedetailscomcveCVE-2002-1217 8 httpsbugzillamozillaorgshow_bug
cgiid=154957
16
Collection de jeux deacutechantillons Dans le cadre de cette eacutetude le groupe HP Fortify Software Security Research a meneacute des recherches pour eacutevaluer agrave quel point les faibles pratiques de preacutevention des attaques XFS restent aujourdhui adopteacutees et font autoriteacute Nos reacutesultats soulignent eacutegalement la reacuteticence et le rythme dadoption tregraves lent dautres meacutethodes plus seacutecuriseacutees recommandeacutees par des speacutecialistes des navigateurs et des experts en seacutecuriteacute
Alexa9 fut utiliseacute pour renseigner une collection de 100 000 sites Web (les plus connus) et geacuteneacuterer une liste distribueacutee dans de nombreux secteurs diffeacuterents Une fois la liste de deacutepart creacuteeacutee avec ses 100 000 URL les demandes de niveau supeacuterieur furent assembleacutees en concateacutenant ldquohttprdquo dans lURL obtenue Par exemple
ldquohttprdquo + exemplecom = httpexemplecom
Ensuite la nouvelle URL composeacutee fut demandeacutee et la reacuteponse obtenue examineacutee de maniegravere passive agrave la recherche des eacuteleacutements suivants
bull La preacutesence dun en-tecircte X-Frame-Options et de ses valeurs respectives
bull La preacutesence dun champ de mot de passe dans la reacuteponse de la demande de niveau supeacuterieur Un champ de mot de passe est censeacute indiquer un niveau de sensibiliteacute qui doit ecirctre proteacutegeacute par lapplication
bull Si la preacutesence de len-tecircte neacutetait pas respecteacutee lURL cible eacutetait soumise agrave des tests suppleacutementaires afin de distinguer si une tentative de deacutejouer les attaques XFS avait eu lieu Le recours agrave la preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade a eacuteteacute enregistreacute pour une analyse ulteacuterieure
Reacutesultats90 des eacutechantillons analyseacutes nont jamais rien tenteacute pour se proteacuteger des attaques XFS De tous les domaines doteacutes dune protection active contre les attaques XFS 62 ont recours agrave des meacutecanismes de preacutevention faibles fondeacutes sur les scripts Sur les 100 000 domaines testeacutes 19 848 disposaient de champs de mot de passe dans la demande de niveau supeacuterieur avec seulement 101 domaines preacutecisant un en-tecircte X-Frame-Options Celasignifieque01 deseacutechantillonssontproteacutegeacutesDe plus plus de 99 des eacutechantillons oubliaient de speacutecifier un en-tecircte X-Frame-Options tandis que 19 dentre eux avaient une raison dinclure len-tecircte mais ne lont pas fait
Les reacutesultats montrent que soit les deacuteveloppeurs ne sont pas suffisamment informeacutes des risques que posent les vulneacuterabiliteacutes XFS soit ils ne souhaitent consacrer aucun effort agrave la protection de leurs visiteurs Si 2 307 eacutechantillons deacutevoilaient des protections contre les attaques XFS seulement 38 ont opteacute pour lutilisation de len-tecircte X-Frame-Options preacuteconiseacute 1 432 eacutechantillons ont montreacute quils employaient toujours des techniques de preacutevention et datteacutenuation fondeacutees sur JavaScript ou les feuilles de style en cascade qui se sont aveacutereacutees insuffisantes (voir la Figure 20)
Les 875 domaines fondeacutes sur len-tecircte X-Frame-Options affichaient la distribution de valeurs suivante
1 702 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur SAMEORIGIN
2 151 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur DENY
3 13 des 875 domaines eacutetaient deacutefinis avec lattribut Allow-from
4 8 des 875 valeurs fournies eacutetaient conformes agrave leacutebauche de lIETF10
Aucun des 13 domaines utilisant lattribut Allow-from ne preacutecisait un caractegravere geacuteneacuterique () reacuteduisant les risques lieacutes agrave une politique de libre accegraves La Figure 21 preacutesente ces valeurs sous forme de pourcentages
Livre blanc | Rapport HP 2012 sur les cyber-risques
9 httpsbugzillamozillaorgshow_bugcgiid=154957
10 httptoolsietforghtmldraft-ietf-websec-x-frame-options-01
Figure 20Preacutevention des risques lieacutes aux scripts sur plusieurs cadres
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade 62
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade
Options X-Frame 38
Options X-Frame
Figure 21Reacutepartition des valeurs den-tecircte X-Frame-Options fournies
REFUS 17 Allow-from
2 Autres (valeurs non en conformiteacute)1
MEcircME ORIGINE 80
17
Encadrementintersites conclusionIl est eacutevident que toutes les ressources nont pas besoin decirctre proteacutegeacutees contre les attaques XFS Cependant il demeure des situations ougrave la mise en place dune protection adeacutequate est justifieacutee et indispensable Une mesure employeacutee pour identifier ces cas au cours de cette eacutetude eacutetait la preacutesence dun champ de saisie de mot de passe dans un formulaire Les pages dauthentification sont les plus exposeacutees agrave une attaque de type clickjacking En se focalisant sur les pages munies de champs pour la saisie des mots de passe lanalyse tente deacutetablir un lien entre la sensibiliteacute dune ressource et les efforts investis pour la proteacuteger Une des statistiques les plus surprenantes dans lanalyse est que seulement 103 des 100 000 domaines proteacutegeaient comme il se doit les pages avec des champs de mots de passe confidentiels soit un taux exorbitant de 010 qui suggegravere que la puissance et lefficaciteacute de len-tecircte ont fait lobjet dune mauvaise promotion nont pas obtenu ladheacutesion des administrateurs des serveurs ou nont pas seacuteduit les deacuteveloppeurs
Il convient de souligner que si un peu plus de 80 des reacuteponses ne contenaient aucun champ de mot de passe cela ne veut pas dire pour autant quil ne faut pas proteacuteger le contenu Autrement dit leacutechantillon nincluait aucun champ de mot de passe dans la demande de niveau supeacuterieur Il est donc tregraves probable que beaucoup dautres sites sexposent agrave des risques en avanccedilant plus loin dans larborescence du site La mesure la plus importante agrave noter est le pourcentage remarquable de sites sans en-tecircte X-Frame-Options soit 99
Apregraves une analyse approfondie des reacutesultats des recherches speacutecialiseacutees consacreacutees aux attaques XFS la section qui suit se concentre agrave nouveau sur ce qui semble ecirctre le sujet de conversation le plus populaire en 2012 en matiegravere de seacutecuriteacute la seacutecuriteacute des applications mobiles
Seacutecuriteacutedesapplicationsmobiles
Dix secondes dans une file dattente nimporte ougrave suffisent pour se rendre compte que lutilisation dappareils mobiles a litteacuteralement exploseacute En fait pour la premiegravere fois 2012 est lanneacutee pendant laquelle le nombre de smartphones vendus a deacutepasseacute le nombre dordinateurs portables et dordinateurs de bureau agrave la fois11 Cette augmentation a eacuteteacute suivie aussi dune hausse proportionnelle des risques surtout au moment ougrave les entreprises essaient de mettre agrave profit les avantages quoffre la mobiliteacute Comme nous lavons vu plus haut lOSVDB a signaleacute une hausse de 68 du nombre de vulneacuterabiliteacutes signaleacutees pour les technologies mobiles depuis 2011 soit une augmentation de 787 sur les cinq derniegraveres anneacutees Lors de nos tests nous sommes toujours revenus au mecircme constat Si vous posseacutedez des donneacutees des attaquants chercheront agrave sen emparer
Pour eacutevaluer leacutetat actuel de la seacutecuriteacute des applications mobiles leacutequipe HP Fortify on Demand a rassembleacute les reacutesultats de plus de 70 applications mobiles agrave la recherche de failles de seacutecuriteacute Ce jeu deacutechantillons concernait plus de 50 organisations uniques et de nombreux secteurs au niveau local et international Il peut donc ecirctre consideacutereacute comme une repreacutesentation relativement preacutecise dune application mobile moyenne Les reacutesultats montrent que les vulneacuterabiliteacutes qui compromettent la seacutecuriteacute des applications mobiles sont les mecircmes que pour les applications classiques Ils montrent eacutegalement quun problegraveme surtout se distingue des autres Dans le paysage informatique actuel la fuite dinformation est un problegraveme particuliegraverement reacutepandu et neacutefaste La demande croissante dinformations des travailleurs mobiles allieacutee aux services de cloud de plus en plus omnipreacutesents et agrave une hausse des appareils grand public non geacutereacutes sur le reacuteseau dentreprise repreacutesente un deacutefi notable pour de nombreuses organisations
Fuite de donneacutees sensibles sur des canaux non seacutecuriseacutesLa fuite de donneacutees est un problegraveme de longue date pour les applications Web Si elle peut paraicirctre un problegraveme dampleur modeacutereacutee elle implique souvent une information en apparence inoffensive qui permet agrave un attaquant de renforcer sa strateacutegie dattaque pour mener une attaque plus dangereuse encore La mecircme chose vaut pour les applications mobiles Plus des trois quarts (77 ) des applications mobiles dans notre eacutetude eacutetaient vulneacuterables et en proie agrave des fuites dinformations Nous avons deacutecouvert que les donneacutees personnelles dun utilisateur eacutetaient souvent transmises via des protocoles reacuteseau non crypteacutes comme le protocole HTTP Il sagissait pour la plupart dinformations simples comme des noms des adresses et des numeacuteros de teacuteleacutephone Cependant dans notre jeu deacutechantillons ces donneacutees comprenaient eacutegalement lemplacement actuel de lutilisateur ainsi que lidentifiant unique de lappareil (eacutegalement appeleacute UDID)
Livre blanc | Rapport HP 2012 sur les cyber-risques
11 voiceswashingtonpostcomposttech201011smartphone_sales_to_pass_compuhtml
18
LUDID est primordial pour un appareil car il peut servir agrave des attaques extrecircmement cibleacutees contre des utilisateurs en particulier Si les donneacutees de geacuteolocalisation lidentifiant unique de lappareil et les donneacutees personnelles eacutetaient intercepteacutees sur une application vulneacuterable ce que cela implique dans la reacutealiteacute est eacutetonnant Un attaquant pourrait localiser une cible dans le monde reacuteel et les possibiliteacutes qui souvriraient alors agrave lui seraient illimiteacutees Cest la porte ouverte agrave un sceacutenario effroyable que la plupart des gens ne soupccedilonnent pas Bien entendu lexploitation dapplications simples et banales peut eacutegalement avoir lieu Imaginez le sceacutenario suivant Si lapplication transmet lUDID le nom complet ladresse et ainsi de suite agrave un service Web vulneacuterable et que ce dernier est la cible potentielle dune attaque par injection SQL on conccediloit aiseacutement que chaque bit de donneacutees sur cet appareil mobile soit accessible Il est eacutetonnant de voir jusquougrave une fuite dinformation peut mener un attaquant si les circonstances jouent en sa faveur et que tout alors est du domaine du probable voire du possible
Les donneacutees transmises sur des canaux non seacutecuriseacutes ne se limitaient pas aux donneacutees personnelles Les donneacutees applicatives elles non plus neacutetaient pas proteacutegeacutees Nous avons deacutecouvert que des informations de connexion des informations didentification utilisateur des ID de session des jetons et des donneacutees dentreprise sensibles eacutetaient transmises via des protocoles reacuteseau non crypteacutes agrave linstar du protocole HTTP Imaginez les conseacutequences pour une application bancaire vulneacuterable Si des informations didentification des identificateurs de session des informations didentification personnelle ou dautres donneacutees strateacutegiques sont transmises vers un serveur principal la transmission se doit decirctre seacutecuriseacutee sans quoi les donneacutees peuvent ecirctre intercepteacutees par un attaquant au moyen doutils ou dapplications de capture de paquets reacuteseau courants (par exemple DroidSheep)
Les recherches ont montreacute que 375 des applications pouvaient ecirctre la cible dune vulneacuterabiliteacute impliquant une forme quelconque dautorisation notamment des mots de passe en texte clair des mots de passe codeacutes en dur et des mots de passe inteacutegreacutes agrave la reacuteponse Ce pourcentage bien plus eacuteleveacute que pour les applications dites traditionnelles prouve eacutegalement que les deacuteveloppeurs dapplications mobiles doivent travailler davantage pour proteacuteger leurs donneacutees
Dautres vulneacuterabiliteacutes deacutetecteacutees en nombres importants incluaient les attaques de type stack-smashing Plus de la moitieacute des vulneacuterabiliteacutes (5545 ) noffraient aucune protection adeacutequate contre ce type dattaque Si cet oubli nentraicircne pas lexeacutecution du code il peut quand mecircme geacuteneacuterer une panne injustifieacutee de lapplication vulneacuterable
Qui plus est 135 des applications eacutetaient vulneacuterables agrave des attaques XSS Ceci fut une reacuteelle surprise puisque tous les autres ensembles dapplications que nous avons testeacutes mobiles et traditionnels reacuteveacutelaient des nombres de vulneacuterabiliteacutes XSS plus eacuteleveacutes Un examen plus attentif de ces nombres a montreacute que les applications vulneacuterables eacutetaient des applications destineacutees autant agrave la gestion de la finance que des bases de donneacutees En dautres termes le faible pourcentage ne reacuteduisait pas limpact potentiel
Les accegraves non autoriseacutes concernent quasiment la moitieacute des applications mobilesNous avons chercheacute dautres donneacutees en examinant les reacutesultats obtenus par notre partenaire Security Compass lors de ses tests sur dautres applications A de nombreux eacutegards ils confirment les chiffres eacutevoqueacutes preacuteceacutedemment
48 des applications eacutetaient la proie de vulneacuterabiliteacutes daccegraves non autoriseacute Elles valident les vulneacuterabiliteacutes dauthentification (375 ) que nous avons eacutevoqueacutees dans notre eacutechantillon plus haut Les chiffres montrent que les deacuteveloppeurs dapplications mobiles doivent autant se concentrer sur la preacutevention des accegraves non autoriseacutes sur les applications mobiles que sur les moyens de faciliter laccegraves pour les utilisateurs leacutegitimes
37 des applications posaient des problegravemes de divulgation dinformations sensibles 26 avaient recours agrave des pratiques de connexion meacutediocres et 19 affichaient des messages derreur de mauvaise qualiteacute qui reacuteveacutelaient des informations susceptibles decirctre exploiteacutees par des attaquants Ceci corrobore nos donneacutees preacuteceacutedentes car nous avons vu agrave quel point les fuites dinformations eacutetaient importantes Lors du codage des applications mobiles les deacuteveloppeurs ne tiennent pas compte de ce quimplique la seacutecuriteacute pour le stockage la transmission et laccegraves des donneacutees
33 des applications eacutetaient vulneacuterables agrave des attaques XSS Des tests reacutepeacutetitifs montrent que les attaques par script intersite (XSS) sont autant une menace pour les applications mobiles que pour les applications stationnaires Ces reacutesultats sont en phase avec ce que nous avons constateacute lors des tests des applications traditionnelles
Livre blanc | Rapport HP 2012 sur les cyber-risques
19
26 des applications employaient une meacutethode de cryptage inadapteacutee Le cryptage sur des ordinateurs dentreprise est aujourdhui une pratique standard pour la plupart des entreprises du classement Fortune 500 Il y a dix ans la presse regorgeait dhistoires de donneacutees deacuterobeacutees sur des ordinateurs perdus Les risques dans ce domaine se sont reacuteduits dune part gracircce aux mesures leacutegislatives mises en places et dautre part parce que les entreprises ont eu loccasion de lapprendre agrave leurs deacutepens Pourtant ces mecircmes pratiques standard ne sont pas appliqueacutees aux appareils mobiles et agrave legravere du BYOD (Bring your own device) cela peut saveacuterer dangereux
Les dix principales vulneacuterabiliteacutes des applications mobiles Le partenaire dHP Security Compass a eacutegalement analyseacute les vulneacuterabiliteacutes des applications mobiles et les a eacutetiqueteacutees par type (voir la Figure 22) Ainsi donc agrave quoi les applications moyennes sont-elles le plus vulneacuterables par ordre de preacutevalence des vulneacuterabiliteacutes A quels types dattaques par incident les applications mobiles sont-elles le plus vulneacuterables
Sur les dix principales vulneacuterabiliteacutes constateacutees en matiegravere dapplications mobiles XSS affichait le deuxiegraveme taux le plus eacuteleveacute et repreacutesentait 15 de toutes les vulneacuterabiliteacutes deacutecouvertes dans ce jeu deacutechantillons Les chiffres confirment eacutegalement que lorsquelles sont consigneacutees par ordre doccurrence les vulneacuterabiliteacutes de fuite dinformation et daccegraves non autoriseacuteauthentification indiquent aux deacuteveloppeurs dapplications mobiles comment ils peuvent mieux seacutecuriser leurs applications en concentrant davantage leurs efforts sur ces domaines
Rechercheentechnologiemobile lacommunicationenchampproche (NFC)pourlesapplicationsmobilesdepaiementNous avons constateacute que les vulneacuterabiliteacutes lieacutees aux applications mobiles eacutetaient en hausse constante mais il est indispensable eacutegalement danticiper et de connaicirctre les nouvelles vulneacuterabiliteacutes qui verront le jour Les nouvelles technologies introduisent en permanence des failles de seacutecuriteacute possibles La plate-forme mobile ne fait pas exception Lune de ces nouvelles technologies est la communication en champ proche (NFC) La communication en champ proche (NFC) deacutesigne une meacutethode de communication de donneacutees sans contact entre des appareils proches les uns des autres Elle a deacutejagrave eacuteteacute adopteacutee en Europe et en Asie et fait depuis peu des adeptes en Ameacuterique du Nord Le Forum NFC (consortium regroupant plusieurs membres tels que Sony Nokia et Philips) applique des normes strictes pour les fabricants dappareils compatibles NFC Les eacutediteurs dapplications disposent ainsi dune architecture seacutecuriseacutee et dune infrastructure compatible qui leur permettent dexploiter cette technologie pour des applications de paiement mobiles et le partage de donneacutees (par exemple leacutechange de devises entre homologues)
Il existe actuellement plusieurs smartphones compatibles NFC Cest le cas du Googletrade Nexus 5 du Samsung Galaxy S II et des BlackBerry Bold 9900 et 9930 Plusieurs socieacuteteacutes exploitent aujourdhui cette technologie
bull Google Wallet conteneur seacutecuriseacute pour les informations de carte de creacutedit qui facilite les transactions NFC
bull MasterCard PayPass service de paiement sans contact (actuellement pris en charge dans Google Wallet)
bull Visa payWave service de paiement sans contact
bull PayPal meacutethode bump (application Bump) pour le transfert dargent ou la reacutealisation de paiements entre utilisateurs
bull Apple iPhone prise en charge de la NFC attendue dans une prochaine version (non confirmeacutee)12
Problegravemes de seacutecuriteacutePlusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (donneacutees de carte de creacutedit ou numeacuteros de comptes) sont transmises via un canal NFC sur un appareil mobile Voici des exemples de cas reacuteels constateacutes reacutecemment dans le domaine de la seacutecuriteacute
Cas 1La technologie NFC est employeacutee dans le cadre de solutions de paiement grand public avec deux modes de mise en œuvre distincts
bull Puce NFC dans des cartes de creacutedit grand public telles que MasterCard PayPass et Visa payWave
bull NFC utiliseacutee dans des solutions de portefeuille mobile
Livre blanc | Rapport HP 2012 sur les cyber-risques
12 Il existe actuellement des eacutediteurs agrave linstar de DeviceFidelity qui proposent des composants tiers qui reproduisent la prise en charge de la communication en champ proche (NFC) pour les appareils iPhone
Figure 22Preacutevalence des dix principales vulneacuterabiliteacutes (en pourcentage)
Accegraves non autoriseacute 18
Scripts intersites 15
Divulgation dinformations sensibles 12
Traitementnon seacutecuriseacute des sessions 11
Vulneacuterabiliteacutes du traitement des cookies 9
Meacutethode de cryptage inadapteacutee 9
Pratiques de connexion meacutediocres 8
Saisie semi-automatique sur des formulaires agrave donneacutees sensibles 6
Informations didentificationen texte clair 6
Messages derreur de mauvaise qualiteacute 6
20
Le deacutefi du premier mode de mise en œuvre est double le premier est que pour la plupart des eacutemetteurs de cartes de creacutedit linstallation de la puce NFC est obligatoire le deuxiegraveme est que par deacutefinition la puce NFC est toujours activeacutee Par exemple si la carte de creacutedit dun utilisateur est dans le champ dun lecteur NFS actif comme celui que lon rencontre dans un terminal de point de vente la carte de creacutedit transmet automatiquement le numeacutero de carte de creacutedit de lutilisateur au lecteur NFS de reacuteception A preacutesent imaginez le sceacutenario pour les appareils mobiles les plus modernes eacutequipeacutes de puces NFS inteacutegreacutees Dans le monde dAndroid il existe des applications conccedilues pour activer la puce NFC de lappareil mobile pour reproduire le comportement du lecteur NFS dun terminal de point de vente A laide dun appareil mobile ou dune application de ce genre un attaquant peut potentiellement activer la puce NFC de son appareil Android croiser des gens dans un endroit peupleacute et tenter danalyser leurs cartes de creacutedit pour recueillir leur numeacutero de compte permanent (PAN)
Les solutions de portefeuille mobile NFC sont souvent vulneacuterables agrave ce mecircme type dattaque si la solution concerneacutee ne deacutesactive pas ou ne retire pas la puce NFC une fois lexeacutecution dune transaction termineacutee Heureusement cette vulneacuterabiliteacute peut facilement ecirctre reacutesolue par des deacuteveloppeurs de solutions de portefeuille mobile sils retirent la puce NFC apregraves usage
Cas 2Plusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (par exemple des donneacutees de carte de creacutedit ou des numeacuteros de comptes) sont transmises via un canal NFC
bull Ecoute tentative dintercepter la communication des donneacutees de transmission NFC (par exemple proxy NFC)
bull Manipulation des donneacutees tentative de manipuler la communication des donneacutees de transmission NFC (par exemple pour identifier des reacutesultats erroneacutes)
bull Attaques par interception tentative dexploitation des modes actifpassif de lappareil pour envoyer et recevoir la communication des donneacutees de transmission NFC
bull Vol tentative dacceacuteder sans autorisation agrave lapplication de paiement mobile (comme si lappareil a eacuteteacute voleacute ou perdu) et examen des fichiers stockeacutes sur lappareil agrave la recherche dinformations sensibles
Cas 3Au cœur mecircme de la fonction NFC se trouve un composant appeleacute eacuteleacutement seacutecuriseacute Deux types de mise en œuvre de cet eacuteleacutement sont possibles (1) les eacuteleacutements incorporeacutes dans lappareil et (2) les eacuteleacutements chargeacutes dans une carte SIM Dans les cas ougrave leacuteleacutement seacutecuriseacute est chargeacute dans une carte SIM il est possible que la carte SIM soit retireacutee et eacutechangeacutee sous les yeux dun utilisateur creacutedule Cette situation aboutit agrave des sceacutenarios dattaque semblables aux suivants
bull Echange de carte SIM avec un autre appareil (du mecircme type) pour tenter dacceacuteder au contenu de leacuteleacutement seacutecuriseacute Dans certains cas lutilisation dun appareil de type diffeacuterent peut offrir un accegraves suppleacutementaire aux informations de leacuteleacutement seacutecuriseacute sil nest pas mis en œuvre de maniegravere seacutecuriseacutee Par exemple il existe un risque de contournement de lapplication de paiement ou de la protection du mot de passe au niveau du teacuteleacutephone en cas deacutechange de carte SIM dans un teacuteleacutephone eacutequivalent avec lapplication de paiement et sans mot de passe
bull Identification des donneacutees contenant des informations sensibles dans leacuteleacutement seacutecuriseacute situeacute dans la carte SIM apregraves une opeacuteration de restauration sur un autre appareil Il peut sagir aussi dattaques visant agrave cloner ou copier la carte SIM au moyen dun mateacuteriel externe
Notez que la difficulteacute daccegraves agrave leacuteleacutement seacutecuriseacute offre une certaine garantie sur lenvironnement de seacutecuriteacute de leacuteleacutement seacutecuriseacute sur lappareil cible
Cas 4Dans certains cas il est possible que limpleacutementation de lapplet VMPA dans leacuteleacutement seacutecuriseacute nait pas tenu compte de tous les eacuteleacutements de seacutecuriteacute Il peut sagir par exemple dune signature et dun controcircle daccegraves insuffisants de lapplet VMPA qui permettent agrave une application quelconque de deacutemarrer et dy soumettre des requecirctes Cette situation peut offrir agrave une application non autoriseacutee la possibiliteacute dappeler lapplet VMPA via la commande APDU (JSR 177) Une requecircte bien formuleacutee peut potentiellement permettre dactiver la radio NFC et de transmettre des informations de carte de creacutedit
Livre blanc | Rapport HP 2012 sur les cyber-risques
21
Bien que des informations et une analyse exactes peuvent ecirctre obtenues agrave partir dun appareil dinvestigation (si un accegraves agrave ce type de mateacuteriel est disponible) il nexiste pour lheure aucun outil autorisant laccegraves agrave des informations de leacuteleacutement seacutecuriseacute Leacuteleacutement seacutecuriseacute comme son nom lindique fournit des meacutecanismes de seacutecuriteacute preacutecis (par exemple controcircle daccegraves cryptage et reacutepartition) qui empecircchent lextraction dinformations sensibles eacuteventuelles Cest pourquoi un accegraves dinvestigation explicite agrave leacuteleacutement seacutecuriseacute nest actuellement pas possible mecircme avec un outil dinvestigation distribueacute par les leaders du marcheacute
RecommandationsIl existe des mesures que les organisations peuvent prendre pour reacuteduire les risques que posent les failles de seacutecuriteacute des applications mobiles Avant tout les applications doivent ecirctre manuellement controcircleacutees et eacutevalueacutees avant le lancement des produits afin de deacuteterminer la preacutesence de vulneacuterabiliteacutes dinjection ou de vulneacuterabiliteacutes de fuite dinformation Le code doit ecirctre analyseacute via une analyse statique au moment de le deacutevelopper pour y rechercher des failles Comme pour toutes les applications il est moins coucircteux de geacuterer des failles de seacutecuriteacute lors de la phase de deacuteveloppement quau moment de leur diffusion
Les normes de transmission seacutecuriseacutee des donneacutees doivent ecirctre incluses dans le cahier des charges de toutes les applications surtout si ces derniegraveres sont eacutelaboreacutees par des deacuteveloppeurs tiers Il en va de mecircme pour le stockage seacutecuriseacute des donneacutees et le journal des applications Des exigences raisonnables en matiegravere daffichage des communications entre applications et dautorisations dans ces derniegraveres doivent ecirctre rigoureusement deacutefinies Tous ces aspects doivent ecirctre geacutereacutes lors de la phase de deacutefinition des exigences et testeacutes lors du deacuteveloppement Au moment dexeacutecuter les tests de seacutecuriteacute et lanalyse sur les applications mobiles les services Web cocircteacute serveur et les API avec lesquels les clients mobiles communiquent doivent ecirctre pris dans leur contexte et analyseacutes pour y deacuteceler des vulneacuterabiliteacutes Des failles agrave haut risque peuvent passer agrave la trappe si ces deux eacuteleacutements sont testeacutes et compareacutes hors de leur contexte
Conclusions
Lobjectif de ce rapport est de fournir aux organisations toutes les informations de seacutecuriteacute qui les aideront agrave mieux comprendre comment deacuteployer les ressources limiteacutees dont elles disposent pour minimiser au maximum leurs risques en matiegravere de seacutecuriteacute A cet effet les tendances et les enseignements agrave tirer de lanneacutee 2012 sont nombreux et doivent ecirctre pris en compte pour la ou mecircme les anneacutees qui viennent
Militarisation des vulneacuterabiliteacutes Les attaquants ne cesseront jamais de militariser les vulneacuterabiliteacutes pour mener agrave bien leurs activiteacutes malveillantes Ceux qui eacutelaborent les kits dexploitation continueront de se focaliser sur des vulneacuterabiliteacutes dans les logiciels les plus reacutepandus ciblant le plus souvent des navigateurs et des plug-ins de navigateur tels que Oracle Java et Adobereg Flash De mecircme le nombre dattaques meneacutees publiquement agrave lencontre de technologies et dentreprises speacutecifiques continuera daugmenter Des organisations criminelles des Etats-nations et des hacktivistes se serviront toujours des cyber-attaques comme moyen duniformiser les regravegles du jeu contre des adversaires riches ou puissants mecircme si les reacuteelles motivations derriegravere ces attaques resteront souvent difficiles agrave deacuteterminer
Vulneacuterabiliteacutes des technologies mobilesLadoption croissante des technologies mobiles et leur utilisation au sein de lentreprise engendreront toujours des risques consideacuterables Nombre de gens lont deacutejagrave constateacute les programmes malveillants deacuteployeacutes sur les marcheacutes qui opposent Android et Apple poursuivent leur croissance Laggravation de ce problegraveme est essentiellement lieacutee au fait que les entreprises ne disposent pas du mecircme type de controcircle sur ces appareils que sur des PC Au moment ougrave le BYOD (Bring your own device) devient la norme et que ladoption des appareils mobiles prend de lampleur on peut sattendre agrave une hausse proportionnelle du nombre de failles chez les applications mobiles tendance qui devrait se maintenir dans un avenir preacutevisible
Livre blanc | Rapport HP 2012 sur les cyber-risques
22
DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables
Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications
Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables
Pourensavoirplusconsultezlapage Web hpcomgoSIRM
Livre blanc | Rapport HP 2012 sur les cyber-risques
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013
9
Vulneacuterabiliteacutesdesapplications Web
Pour dresser un tableau plus complet des vulneacuterabiliteacutes actuelles leacutequipe HP Fortify on Demand sest reacuteunie et a analyseacute les reacutesultats de milliers deacutevaluations pour savoir agrave quoi ressemble la seacutecuriteacute des applications Web de linteacuterieur Pour cela elle a proceacutedeacute agrave des examens de code et des tests de peacuteneacutetration Un examen minutieux des reacutesultats des analyses statiques (recherche de vulneacuterabiliteacutes dans le code source sans exeacutecution de ce dernier) et dynamiques (tests de fonctionnement du logiciel en qualiteacute dattaquant sans accegraves au code mecircme) constitue une base solide pour eacutetablir un reacuteel eacutetat des lieux en matiegravere de risques pour les applications Web
Les jeux deacutechantillons utiliseacutes pour cette analyse comprenaient 200 applications choisies au hasard pour lanalyse dynamique et 800 applications pour lanalyse statique La Figure 8 montre les cinq principales vulneacuterabiliteacutes deacutecouvertes dans le cadre de lanalyse dynamique en 2012
Figure 8 Cinq principales vulneacuterabiliteacutes deacutecouvertes lors de lanalyse dynamique en 2012 via HP Fortify on Demand
45
26 25
13
9
0
5
10
15
20
25
30
35
40
45
50
Scripts intersites ProtectionTransport
Layer insuffisante
Mauvaiseconfiguration
de seacutecuriteacute
Gestion delauthentification
et des sessiondeacutefaillante
Failles dinjection
Les reacutesultats dynamiques obtenus agrave partir de ce jeu deacutechantillons ainsi que dautres reacutesultats consigneacutes dans ce rapport montrent que les attaques par script intersite constituent toujours une menace importante lors de toute tentative de seacutecurisation des applications Web Si lon tient compte de la premiegravere place quoccupent les attaques par script intersite parmi les types de vulneacuterabiliteacute acquis par le ZDI lanneacutee derniegravere et de lampleur reacuteelle de ces attaques confirmeacutee par des tests reacutepeacuteteacutes les organisations peuvent agrave juste titre les consideacuterer comme une preacuteoccupation majeure en matiegravere de seacutecuriteacute
La Figure 9 deacutecrit le mode opeacuteratoire dune attaque par script intersite classique et comment lexploiter pour deacuterober des informations didentification dauthentification sur des sites strateacutegiques
Livre blanc | Rapport HP 2012 sur les cyber-risques
10
Figure 9 Anatomie dune attaque par script intersite reacutefleacutechie
Site bancaire
Utilisateur creacutedule
Attaquantmalveillant
1 Un attaquant deacutecouvre une faille XSS dans une application Web
3 Lattaquant distribue le lien XSS malveillant via dingeacutenierie sociale agrave des utilisateurs creacutedules
2 Lattaquant creacutee une URL dattaque pour voler des informations sensibles et la deacuteguise afin quelle paraisse leacutegitime
4 Lorsque la victime se connecte JavaScript qui est inteacutegreacute au lien XSS malveillant sexeacutecute et transmet les informations de connexion de la victime agrave lattaquant
La Figure 10 montre les cinq principales vulneacuterabiliteacutes deacutecouvertes dans le cadre de lanalyse statique en 2012 et inclut le pourcentage relatif dapplications toucheacutees par chaque cateacutegorie de vulneacuterabiliteacute
Figure 10 Cinq principales vulneacuterabiliteacutes deacutecouvertes lors de lanalyse statique en 2012 via HP Fortify on Demand
92 88 86
75
61
0
10
20
30
40
50
60
70
80
90
100
Fuites dinformationset gestion des
erreurs inapproprieacutee
Stockagedes donneacutees
cryptographiquesnon seacutecuriseacute
Failles dinjection Reacutefeacuterencedobjet directenon seacutecuriseacutee
Gestion delauthentification et des
session deacutefaillante
Les reacutesultats de lanalyse statique reacutevegravelent que les fuites dinformation les problegravemes de stockage des donneacutees cryptographiques et les failles dinjection sont les vulneacuterabiliteacutes les plus freacutequentes Un eacuteleacutement non citeacute dans cette liste des cinq principales vulneacuterabiliteacutes est que pour 51 des applications il eacutetait question dune attaque par script intersite reacutefleacutechie (voir la Figure 9 ci-avant) Sil ne figure pas dans la liste il reste neacuteanmoins un eacuteleacutement important si on lajoute aux autres reacutesultats de ce rapport
Les reacutesultats de ces jeux deacutechantillons confirment nettement que les applications Web souffrent encore aujourdhui de nombreuses faiblesses pourtant jugeacutees critiques par les diverses normes industrielles en vigueur Les cinq principales cateacutegories de vulneacuterabiliteacute qui dominent les reacutesultats sont souvent celles qui exposent les applications Web agrave des risques importants notamment le vol dinformations lescalade de privilegraveges etc Ces deux jeux deacutechantillons nous amegravenent agrave la conclusion que les organisations ne parviennent toujours pas agrave appliquer des mesures coheacuterentes pour faire face agrave des vulneacuterabiliteacutes omnipreacutesentes comme les scripts intersites et les fuites dinformation
Livre blanc | Rapport HP 2012 sur les cyber-risques
11
Un autre eacuteleacutement agrave retenir est que la vulneacuterabiliteacute la plus employeacutee par des attaquants en relation avec dautres vulneacuterabiliteacutes connues est la fuite dinformation Un eacuteleacutement dinformation preacutecis peut sembler sans inteacuterecirct mais peut pourtant ecirctre le composant cleacute qui permettra agrave un attaquant dimposer une technique pour mener une attaque plus deacutevastatrice encore En somme pour preacuteparer et reacuteussir une attaque des techniques minutieuses de collecte des informations et de reconnaissance sont indispensables
Risquesdesapplications Web eacutetudedecas
ProfildelasocieacuteteacuteGrande entreprise multinationale (plus de 100 000 employeacutes) avec un chiffre daffaires de plus de 82 milliards de dollars pour lexercice fiscal 2012
Cette entreprise dispose dun programme de seacutecuriteacute actif et opeacuterationnel Les reacutesultats montrent les efforts qui sont neacutecessaires pour geacuterer entiegraverement les risques lieacutes agrave la seacutecuriteacute des applications Les reacutesultats qui suivent proviennent de plus de 1 300 eacutevaluations dynamiques uniques meneacutees sur les divers sites de lentreprise Dans legravere de la seacutecuriteacute des applications modernes une vulneacuterabiliteacute est souvent une de trop
Reacutesultats
bull 541 des eacutevaluations ont reacuteveacuteleacute des cookies persistants LAgence europeacuteenne chargeacutee de la seacutecuriteacute des reacuteseaux et de linformation (ENISA) emploie le terme cookies doux-amers pour parler de ces cookies Les cookies persistants augmentent consideacuterablement la probabiliteacute dattaques par relecture en raison de la dureacutee de validiteacute prolongeacutee des cookies La divulgation dinformations sur des ordinateurs publics partageacutes peut eacutegalement produire des cookies persistants Parce que les cookies servent entre autres agrave observer le comportement des utilisateurs il est probable que les avantages potentiels quils preacutesentent pour lentreprise aient quelque peu relayeacute les questions de seacutecuriteacute au second plan
bull Un peu moins de la moitieacute (4832 ) des sites eacutetaient vulneacuterables face agrave une certaine forme dattaque par script intersite
bull Presque un cinquiegraveme (1957 ) des sites contenaient un formulaire de connexion non crypteacute agrave scheacutema mixte ougrave les informations dune page HTTP eacutetaient publieacutees dans une page HTTPS ou inversement
bull 1277 des eacutevaluations eacutetaient vulneacuterables agrave une certaine forme dinjection SQL Le plus intrigant cest que 1097 des eacutevaluations confirmaient les vulneacuterabiliteacutes dinjection SQL agrave laveugle Si lon tient compte du caractegravere particuliegraverement dangereux des injections SQL agrave laveugle et du fait que ces vulneacuterabiliteacutes sont souvent employeacutees pour compromettre un systegraveme ce pourcentage pose de graves problegravemes
bull Un autre cinquiegraveme (197 ) des sites eacutetaient vulneacuterables aux connexions transmises via une connexion non crypteacutee ce qui signifie que le formulaire nutilisait pas le protocole SSL
bull 526 des sites eacutetaient exposeacutes agrave une vulneacuterabiliteacute de lectureinclusion de fichier local Sil eacutetait jugeacute sensible le contenu du fichier pouvait ecirctre utiliseacute pour prendre le controcircle du systegraveme
Des attaques deacutevastatricesOutre des statistiques les organismes chargeacutes de collecter des informations de seacutecuriteacute ont eacutegalement besoin dobservations et dideacutees Dans cette optique la section qui suit propose une liste sommaire des attaques deacutevastatrices que les responsables des tests de peacuteneacutetration chez HP Fortify on Demand ont deacutecouvertes en 2012 Chaque compte a eacuteteacute deacutecouvert moyennant autorisation au cours dopeacuterations approuveacutees meneacutees agrave lencontre de sites de production avec des difficulteacutes techniques allant des plus simples aux plus complexes Le deacutenominateur commun est que toutes les attaques avaient des conseacutequences extrecircmement graves si elles eacutetaient deacutecouvertes par un attaquant malveillant Pour des raisons eacutevidentes les noms des clients nont pas eacuteteacute inclus mais les secteurs eux-mecircmes sont inseacutereacutes dans la liste pour illustrer le danger potentiel et la pertinence des attaques Si ces exemples revecirctent un caractegravere anecdotique par deacutefinition ils profitent de lexpeacuterience et des avis de nos responsables de tests de peacuteneacutetration dune maniegravere que les simples statistiques ne permettent pas Lagrave encore la seacutecuriteacute est plus quune affaire de produits Cest un processus
Attaques par injection et attaques par validation dentreacutee incorrecte Secteurs dactiviteacute peacutetrochimie industrie alimentaire eacutenergie et logicielsTeacuteleacutechargementsdefichiersnonseacutecuriseacutesetconfigurationincorrectedelaseacutecuriteacute Un programme client lourd permettait agrave nimporte quel utilisateur de charger (au moyen de sa fonction de chargement intrinsegraveque) des programmes malveillants sur un serveur Web muni daucune protection contre ce type de programme Environ 30 000 utilisateurs dans le monde entier se servaient de ce programme les risques eacutetaient donc particuliegraverement grands Les fonctions de teacuteleacutechargement de fichiers doivent impeacuterativement faire preuve de meacutefiance agrave leacutegard des types de fichiers acceptables La Figure 11 deacutecrit les conseacutequences de ce sceacutenario
Livre blanc | Rapport HP 2012 sur les cyber-risques
12
Figure 11 Lautorisation de teacuteleacutechargements de fichiers peut avoir des conseacutequences seacutevegraveres
Teacuteleacutechargementsde fichiers
non valideacutes
Aucuneprotectionpar logiciel
anti-programmemalveillant
30 000utilisateurs
sont infecteacutes parle logiciel
malveillant
Injection SQLagravelaveugle les fonctionnaliteacutes daide agrave la recherche (une seacuterie de cases agrave cocher conccedilues pour aider les utilisateurs agrave restreindre leurs critegraveres de recherche) sans validation dentreacutee ont abouti agrave laffichage de 35 bases de donneacutees dID dutilisateur de systegraveme de base de donneacutees et de hachages de mot de passe y compris le compte dadministrateur systegraveme Linjection SQL agrave laveugle peut ecirctre difficile agrave deacuteceler parce quelle geacutenegravere rarement des messages derreur et manifeste un comportement applicatif anormal Les requecirctes parameacutetrables eacutegalement appeleacutees instructions preacutepareacutees empecircchent avec efficaciteacute les attaques par injection SQL si elles ont correctement mises en place5 La Figure 12 deacutecrit cette seacutequence
Instructions SQLentexteclair lors des tests effectueacutes sur une application cliente lourde il a eacuteteacute deacutecouvert que le client exeacutecutait des instructions SQL directement sur le serveur SQL principal avec des autorisations de niveau administrateur sur HTTP Une escalade des privilegraveges utilisateur et la modification des mots de passe furent possibles en soumettant le protocole agrave une ingeacutenierie agrave rebours et en le manipulant (voir la Figure 13)
Inclusiondefichierlocal des techniques de traversement de reacutepertoires (Directory Traversal) et dinclusion de fichier local ont eacuteteacute employeacutees pour afficher le contenu du fichier SAM (Gestionnaire de comptes de seacutecuriteacute) de sauvegarde du serveur Web qui permettait de deacutecoder les mots de passe Au bout de dix minutes il eacutetait possible pour un administrateur local dacceacuteder au systegraveme et de tout compromettre Les routines de validation dentreacutee quelles soient inheacuterentes agrave lapplication ou interviennent au niveau de configuration du serveur Web auraient eacutelimineacute ce vecteur
AttaquesvisantagraveexploiterunemauvaiseconfigurationdeseacutecuriteacuteSecteurs dactiviteacute peacutetrochimie et secteur bancaire internationalImpossibiliteacutederestreindrelaccegravesauxreacutepertoiressensibles dans ce cas le reacutepertoire deacutecouvert eacutetait ldquohttpswwwexamplecompasswordsrdquo Naturellement aucun dossier ldquopasswordsrdquo tout du moins public ne devrait exister Le dossier eacutetait accessible via des navigateurs Web sans aucune authentification et comprenait une liste de reacutepertoires avec des fichiers texte aux noms divers tels que ldquopasswordsprojectrdquo ou mecircme ldquopasswordssystemsrdquo Un simple clic sur un fichier provoquait louverture dun document texte muni dune liste dutilisateurs et de mots de passe au format suivant userpassword Une des listes contenait mecircme ldquosysadminpassword adminpassword etchelliprdquo (voir la Figure 14) Ceci illustre la neacutecessiteacute et limportance de la validation danalyse post-automatique puisque cette vulneacuterabiliteacute qui pose de faibles risques en apparence pouvait aiseacutement passer inaperccedilu aux yeux du client Qui plus est le problegraveme aurait pu ecirctre eacuteviteacute si laccegraves au reacutepertoire avait eacuteteacute restreint comme il le fallait
Leprotocole WebDAVactiveacuteautorisaitlesopeacuterationsdeacutecritureagravedistance Le mode dactivation du protocole WebDAV sur un serveur Web en particulier permettait agrave des utilisateurs dapplications distants de communiquer avec lhocircte et deacutecrire des fichiers dans des reacutepertoires arbitraires Lexploitation de cette vulneacuterabiliteacute permettait de teacuteleacutecharger une porte deacuterobeacutee personnaliseacutee puis de lexeacutecuter en parcourant le chemin daccegraves agrave lURL du fichier reacutecemment transfeacutereacute Une fois exeacutecuteacutee elle offrait la possibiliteacute de controcircler entiegraverement le serveur Web En preacutevoyant de plus amples tests la personne chargeacutee de ces tests pouvait librement poursuivre une attaque contre dautres hocirctes sur le reacuteseau interne de lentreprise processus appeleacute glissement (pivoting) La suppression de laccegraves WebDAV et de meacutethodes HTTP exteacuterieures aurait pu eacuteviter cette attaque
Injection SQLetcommandesdevalidationdentreacuteefaibles Un filtre SQL filtrait tout agrave lexception de lopeacuterateur ldquoORrdquo Cela signifie essentiellement quapregraves insertion de lopeacuterateur ldquoORrdquo dans une instruction SQL chaque commande serait exeacutecuteacutee sur le systegraveme Le parameacutetrage des requecirctes empecircchera les attaques par injection SQL La Figure 15 deacutecrit le deacuteroulement seacutequentiel dune attaque par injection SQL
Livre blanc | Rapport HP 2012 sur les cyber-risques
5 httpswwwowasporgindexphpSQL_Injection_Prevention_Cheat_Sheet
Figure 12 Injection SQL agrave laveugle
Injection SQLagrave laveugle
Voldinformationsutilisateur
Accegraves agraveladministrationsystegraveme
Figure 13 Instructions SQL en texte clair
Protocoledingeacutenierie clientserveur agrave rebours
Exeacutecution SQL
Reacuteinitialisation dumot de passe avec
des privilegravegesplus eacuteleveacutes
Figure 14 Restriction daccegraves impossible
Accegraves au reacutepertoire non restreint
passwrdsprojectuserpassword sysadminmot de passe
passwordssystems fichier
httpswwwexamplecompasswords reacutepertoire
13
Figure 15 Anatomie dune attaque par injection SQL
Site bancaireBase de donneacutees
de la banque
1=1
Attaquant malveillant
1 Lattaquant envoie des informations suppleacutementaires telles quun guillemet ou 1=1 avec des informations de connexion ou inclure des variablespour modifier linstruction SQL originale
3 Une fois que le scheacutema de base de donneacutees a eacuteteacute deacutefini lattaquant peut extraire les donneacutees contenues dans la base de donneacutees notamment les noms dutilisateur les mots de passes les informations de carte de creacutedit etc
2 Avec lapproche par essais et erreurs lattaquant peut construire des arguments SQL pouvant ecirctre utiliseacutes pour reacutecupeacuterer des donneacutees telles que des noms de tableaux ou des noms delignes etc
Mauvaiseconfiguration SAP Linteacutegraliteacute de la base de donneacutees des cartes de creacutedit eacutetait accessible et eacutetait transfeacutereacutee dans un fichier Les commandes configureacutees dans la structure SAP mise en place eacutetaient de qualiteacute meacutediocre et permettaient agrave des repreacutesentants du service clientegravele dexeacutecuter des transactions agrave caractegravere sensible y compris le navigateur de donneacutees HR (SE16) Cette fonction eacutetait exploiteacutee pour parcourir et charger le contenu tout entier de la table des donneacutees des cartes de creacutedit des clients Accessibles de cette maniegravere toutes les donneacutees pouvaient aiseacutement ecirctre exporteacutees agrave laide de comptes SAP avec des privilegraveges moindres
AttaquesparauthentificationparsessionlogiqueetautresattaquesSecteurs dactiviteacute compagnies aeacuteriennes secteur bancaire international et eacutenergieListedebilletsdavionviadesservices Webdecreacuteationdecodes QRmobiles Les testeurs eacutetaient capables de reconstituer agrave rebours une partie de la fonction des services Web pour creacuteer des numeacuteros de billets De faux codes QR de billets davion eacutetaient ainsi geacuteneacutereacutes pour des vols aeacuteriens Il est tout est fait possible que lexploitation de cette fonction ait permis aux attaquants de voler gratuitement En labsence de controcircles preacuteventifs efficaces ils pouvaient senregistrer librement par le biais de leurs appareils mobiles Le recours agrave une fonction de controcircle aleacuteatoire standard des numeacuteros de billets aurait pu eacutegalement eacuteviter ce problegraveme
Figure 16 Creacuteation de mots de passe dynamiques agrave cryptage facilement reacuteversible
AttaqueSQL
Servicedauthen-tification
Web
Capturedu trafic chiffreacute
Deacutesactivationdu chiffrement
du mot depasse
Randomisationdes mots de
passeinsuffisante
Accegravesadministrateur
agrave la basede donneacutees
Deacutesactivation du chiffrement -mot de passe devinable
Accegraves complet agrave labase de donneacutees avec des
autorisations dadministrateur
Livre blanc | Rapport HP 2012 sur les cyber-risques
14
Creacuteationdemotsdepassedynamiquesagravecryptagefacilementreacuteversible lapplication cliente lourde testeacutee communiquait avec un service Web qui se chargeait dabord dauthentifier lutilisateur qui tentait de se connecter Ensuite lapplication demandait le mot de passe au serveur de base de donneacutees principal Au deacutepart le mot de passe eacutetait crypteacute pour la transmission mais simultaneacutement lors dune autre attaque SQL un indicateur de la base de donneacutees a eacuteteacute renverseacute deacutesactivant et annulant ainsi les effets du cryptage Il sest aveacutereacute que le systegraveme mettait en place des mots de passe dynamiques qui changeaient freacutequemment cependant apregraves regroupement des nombreux mots de passe un scheacutema eacutevident est apparu Le mot de passe suivait une chronologie et eacutetait donc facile agrave deviner Un accegraves direct agrave la base de donneacutees avec des autorisations administratives fut confirmeacute et compromit entiegraverement le systegraveme (voir la Figure 16)
Leservice Webautorisaitdesrequecirctes SQLdirectes une application autorisait des connexions agrave sa base de donneacutees principale via un interpreacuteteur Web accessible sur Internet sans authentification Avec des connaissances limiteacutees en SQL un attaquant pouvait aiseacutement extraire toutes les donneacutees enregistreacutees dans la base de donneacutees cliente y compris les deacutetails complets des comptes des utilisateurs noms dutilisateurs mots de passe adresses de messagerie et autres informations didentification personnelle
En partageant les reacutesultats de ces tests de peacuteneacutetration en conditions reacuteelles notre but est dattirer lattention sur la creacuteativiteacute sans bornes et la deacutetermination sans fin des attaquants malveillants Les testeurs de peacuteneacutetration cherchent agrave reproduire ces techniques pour tenter deacutevaluer avec efficaciteacute chaque commande de seacutecuriteacute et sassurer que les donneacutees sensibles et les fonctions applicatives sont proteacutegeacutees Comme le prouvent ces reacutesultats les tests de seacutecuriteacute automatiseacutes seuls ne mesurent pas inteacutegralement la politique globale dun environnement en matiegravere de seacutecuriteacute et doivent ecirctre compleacuteteacutes par une analyse manuelle
Dans la section suivante les chercheurs HP en seacutecuriteacute de logiciels cherchent agrave mettre agrave jour une vulneacuterabiliteacute cruciale souvent utiliseacutee conjointement avec les nombreuses attaques et techniques mentionneacutees plus haut et pour lesquelles une strateacutegie de preacutevention efficace reste globalement agrave mettre en place
En-tecircteX-Frame-Options eacutechecdelancementPour illustrer la nature toujours changeante de la seacutecuriteacute des applications Web les speacutecialistes du groupe HP Software Security Research ont examineacute une vulneacuterabiliteacute deacutejagrave reconnue et officiellement appeleacute script sur plusieurs cadres ou XFS XFS est un outil indispensable pour tout attaquant qui tente deacutelaborer une attaque de hameccedilonnage (phishing) ou dingeacutenierie sociale dans le but de charger un site Web vulneacuterable dans une balise iFrame HTML sur une page malveillante controcircleacutee par un attaquant Ce dernier peut alors extraire des eacuteveacutenements (des seacutequences de touches par exemple) appeleacutes par un utilisateur quelconque sur le site Web cibleacute
Les vulneacuterabiliteacutes XFS ouvrent eacutegalement la voie aux attaques de type clickjacking6 qui trompent les utilisateurs en les incitant agrave cliquer sur des eacuteleacutements preacutecis sur le site Web cibleacute chargeacute agrave linteacuterieur dune balise iFrame invisible Souvent ces reacutesultats aboutissent sur des actions non voulues voire privileacutegieacutees Depuis des anneacutees les chercheurs mettent en garde contre linefficaciteacute des protections par code frame-busting baseacute sur des scripts dans la preacutevention des menaces du XFS Pourtant les deacuteveloppeurs et les administrateurs de serveur qui les assistent ont toujours uniquement recours au meacutecanisme JavaScript (Figure 17) pour deacutetecter des attaques XFS
Les diverses meacutethodes de preacutevention contre XFS se sont maintes fois montreacutees incomplegravetes ou inefficaces Le plus reacutepandu de ces modes de preacutevention est la logique de frame-busting (destruction) de JavaScript ou plus preacuteciseacutement un script cocircteacute client qui ressemble agrave celui preacutesenteacute dans la Figure 175
Figure 17 Logique classique de frame-busting JavaScript
ltscriptgt
if (top=self) toplocationhref = selflocationhref
ltscriptgt
Livre blanc | Rapport HP 2012 sur les cyber-risques
6 cvedetailscomcveCVE-2002-1217
15
Outre les nombreuses variantes de cette technique quil est facile de deacutenicher en ligne des contre-mesures datteacutenuation ont eacutegalement eacuteteacute mises en place pour lutter aussi contre ces variantes avec des regravegles grosso modo eacutequivalentes agrave celles du jeu de la taupe
Comme le montre la Figure 18 la premiegravere vulneacuterabiliteacute XFS documenteacutee a eacuteteacute deacutecouverte il y a plus de 10 ans7 Depuis le clickjacking est devenu une vulneacuterabiliteacute reacutepandue et malgreacute cela moins de un pour cent de nos eacutechantillons incluait loutil de preacutevention le plus connu agrave savoir len-tecircte X-Frame-Options
Figure 18 Bref historique des eacuteveacutenements majeurs lieacutes agrave la deacutetection de failles de type XFS (script sur plusieurs cadres)
29062002Bug iFrame Jesse Rudermana
28102002Premier CVE XFS connub
16112005Echec des techniques de Framec
21052008Premiegravere mention publique de lattribut iFrame sandboxd
12092008Le terme clickjacking est inventeacutee
26012009Premier navigateur prenant en charge des options X-Framef
17062010Busting Frame Bustinga Study of ClickjackingVulnerabilities on Popular Sitesg
27012012Facebook poursuit uneentreprise de clickjackingh
11072012Dernier conseilXFS connui
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
a httpsbugzillamozillaorgshow_bugcgiid=154957 b httpwwwcvedetailscomcveCVE-2002-1217 c httpcryptostanfordeduframebust d httphtml5orgtoolsweb-apps-trackerfrom=1642ampto=1643 e httpwwwsectheorycomclickjackinghtm f httpblogsmsdncombiearchive20090126internet-explorer-8-release-candidate-now-availableaspx g httpcdnlytlpublicationsbusting-frame-busting-a-study-of-clickjacking-vulnerabilities-on-popular-sitespdf h httpwwwguardiancouktechnology2012jan27facebook-sues-clickjacking-firm-adscend i httposvdborgshowosvdb83762
Lhistoire du XFS (Cross-Frame Scripting ou scripts sur plusieurs cadres) remonte agrave la publication dun rapport relativement banal sur un comportement observeacute par Jesse Ruderman en 20028 et devenu aujourdhui un eacuteleacutement moteur dun autre pheacutenomegravene communeacutement appeleacute clickjacking Un eacuteleacutement cleacute de la reacutegression identifieacutee en matiegravere de seacutecuriteacute eacutetait la deacutecision dajouter lattribut sandbox agrave leacutebauche de la speacutecification HTML5 pour la balise iFrame au milieu de lanneacutee 2008
Les chercheurs ont deacutemontreacute que plusieurs contre-mesures datteacutenuation eacutetaient possibles avec des bugs des navigateurs ou des astuces JavaScript Le dernier eacuteleacutement ajouteacute agrave cette liste comme le montre la Figure 19 est lutilisation dune fonction de seacutecuriteacute introduite dans la speacutecification HTML5 sous la forme dun attribut sandbox iFrame que les attaquants peuvent exploiter pour deacutesactiver les protections de frame-busting de JavaScript
Figure 19 Attribut sandbox iFrame
ltiframe sandbox=rdquoallow-scriptsrdquo src=rdquohttpexamplecomrdquogtltiframegt
Lobjet de lattribut sandbox est daccorder lautorisation dexeacutecuter des scripts (allow-scripts) dans le contenu cibleacute A titre accessoire toutes les logiques de frame-busting employeacutees par examplecom sont effectivement deacutesactiveacutees en lui refusant lautorisation allow-top-navigation dans sa speacutecification sandbox
Gracircce agrave lattribut sandbox cette technique permet agrave un attaquant de deacutejouer de maniegravere efficace toutes les tentatives de frame-busting que megravenent les deacuteveloppeurs pour se proteacuteger de tout encadrement de site et toute opeacuteration de clickjacking par des tiers Les eacutediteurs de navigateurs ont introduit et valideacute une technique de preacutevention baseacutee sur des strateacutegies bien plus forte gracircce agrave len-tecircte X-Frame-Options Les deacuteveloppeurs peuvent se servir de cet en-tecircte pour dicter au navigateur les actions adeacutequates agrave entreprendre si leur site est inclus dans un iFrame Malheureusement ladoption de cette fonction parmi les deacuteveloppeurs est tregraves lente et offre aux attaquants un vaste terrain de sites potentiellement exploitables agrave mesure quils deacutecouvrent de nouvelles techniques pour contourner les scripts de frame-busting Ceci rend plus indispensable encore ladoption et la mise en œuvre de len-tecircte X-Frame-Options puisque ce dernier constitue la solution de facto agrave ce problegraveme et reste en vigueur mecircme lorsque le nouvel attribut sandbox HTML5 est utiliseacute Voilagrave donc ce qui motive notre projet de recherche et ce qui est agrave lorigine de notre question de deacutepart Combien de domaines incluent des en-tecirctes X-Frame-Options et combien le font correctement
Livre blanc | Rapport HP 2012 sur les cyber-risques
7 cvedetailscomcveCVE-2002-1217 8 httpsbugzillamozillaorgshow_bug
cgiid=154957
16
Collection de jeux deacutechantillons Dans le cadre de cette eacutetude le groupe HP Fortify Software Security Research a meneacute des recherches pour eacutevaluer agrave quel point les faibles pratiques de preacutevention des attaques XFS restent aujourdhui adopteacutees et font autoriteacute Nos reacutesultats soulignent eacutegalement la reacuteticence et le rythme dadoption tregraves lent dautres meacutethodes plus seacutecuriseacutees recommandeacutees par des speacutecialistes des navigateurs et des experts en seacutecuriteacute
Alexa9 fut utiliseacute pour renseigner une collection de 100 000 sites Web (les plus connus) et geacuteneacuterer une liste distribueacutee dans de nombreux secteurs diffeacuterents Une fois la liste de deacutepart creacuteeacutee avec ses 100 000 URL les demandes de niveau supeacuterieur furent assembleacutees en concateacutenant ldquohttprdquo dans lURL obtenue Par exemple
ldquohttprdquo + exemplecom = httpexemplecom
Ensuite la nouvelle URL composeacutee fut demandeacutee et la reacuteponse obtenue examineacutee de maniegravere passive agrave la recherche des eacuteleacutements suivants
bull La preacutesence dun en-tecircte X-Frame-Options et de ses valeurs respectives
bull La preacutesence dun champ de mot de passe dans la reacuteponse de la demande de niveau supeacuterieur Un champ de mot de passe est censeacute indiquer un niveau de sensibiliteacute qui doit ecirctre proteacutegeacute par lapplication
bull Si la preacutesence de len-tecircte neacutetait pas respecteacutee lURL cible eacutetait soumise agrave des tests suppleacutementaires afin de distinguer si une tentative de deacutejouer les attaques XFS avait eu lieu Le recours agrave la preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade a eacuteteacute enregistreacute pour une analyse ulteacuterieure
Reacutesultats90 des eacutechantillons analyseacutes nont jamais rien tenteacute pour se proteacuteger des attaques XFS De tous les domaines doteacutes dune protection active contre les attaques XFS 62 ont recours agrave des meacutecanismes de preacutevention faibles fondeacutes sur les scripts Sur les 100 000 domaines testeacutes 19 848 disposaient de champs de mot de passe dans la demande de niveau supeacuterieur avec seulement 101 domaines preacutecisant un en-tecircte X-Frame-Options Celasignifieque01 deseacutechantillonssontproteacutegeacutesDe plus plus de 99 des eacutechantillons oubliaient de speacutecifier un en-tecircte X-Frame-Options tandis que 19 dentre eux avaient une raison dinclure len-tecircte mais ne lont pas fait
Les reacutesultats montrent que soit les deacuteveloppeurs ne sont pas suffisamment informeacutes des risques que posent les vulneacuterabiliteacutes XFS soit ils ne souhaitent consacrer aucun effort agrave la protection de leurs visiteurs Si 2 307 eacutechantillons deacutevoilaient des protections contre les attaques XFS seulement 38 ont opteacute pour lutilisation de len-tecircte X-Frame-Options preacuteconiseacute 1 432 eacutechantillons ont montreacute quils employaient toujours des techniques de preacutevention et datteacutenuation fondeacutees sur JavaScript ou les feuilles de style en cascade qui se sont aveacutereacutees insuffisantes (voir la Figure 20)
Les 875 domaines fondeacutes sur len-tecircte X-Frame-Options affichaient la distribution de valeurs suivante
1 702 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur SAMEORIGIN
2 151 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur DENY
3 13 des 875 domaines eacutetaient deacutefinis avec lattribut Allow-from
4 8 des 875 valeurs fournies eacutetaient conformes agrave leacutebauche de lIETF10
Aucun des 13 domaines utilisant lattribut Allow-from ne preacutecisait un caractegravere geacuteneacuterique () reacuteduisant les risques lieacutes agrave une politique de libre accegraves La Figure 21 preacutesente ces valeurs sous forme de pourcentages
Livre blanc | Rapport HP 2012 sur les cyber-risques
9 httpsbugzillamozillaorgshow_bugcgiid=154957
10 httptoolsietforghtmldraft-ietf-websec-x-frame-options-01
Figure 20Preacutevention des risques lieacutes aux scripts sur plusieurs cadres
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade 62
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade
Options X-Frame 38
Options X-Frame
Figure 21Reacutepartition des valeurs den-tecircte X-Frame-Options fournies
REFUS 17 Allow-from
2 Autres (valeurs non en conformiteacute)1
MEcircME ORIGINE 80
17
Encadrementintersites conclusionIl est eacutevident que toutes les ressources nont pas besoin decirctre proteacutegeacutees contre les attaques XFS Cependant il demeure des situations ougrave la mise en place dune protection adeacutequate est justifieacutee et indispensable Une mesure employeacutee pour identifier ces cas au cours de cette eacutetude eacutetait la preacutesence dun champ de saisie de mot de passe dans un formulaire Les pages dauthentification sont les plus exposeacutees agrave une attaque de type clickjacking En se focalisant sur les pages munies de champs pour la saisie des mots de passe lanalyse tente deacutetablir un lien entre la sensibiliteacute dune ressource et les efforts investis pour la proteacuteger Une des statistiques les plus surprenantes dans lanalyse est que seulement 103 des 100 000 domaines proteacutegeaient comme il se doit les pages avec des champs de mots de passe confidentiels soit un taux exorbitant de 010 qui suggegravere que la puissance et lefficaciteacute de len-tecircte ont fait lobjet dune mauvaise promotion nont pas obtenu ladheacutesion des administrateurs des serveurs ou nont pas seacuteduit les deacuteveloppeurs
Il convient de souligner que si un peu plus de 80 des reacuteponses ne contenaient aucun champ de mot de passe cela ne veut pas dire pour autant quil ne faut pas proteacuteger le contenu Autrement dit leacutechantillon nincluait aucun champ de mot de passe dans la demande de niveau supeacuterieur Il est donc tregraves probable que beaucoup dautres sites sexposent agrave des risques en avanccedilant plus loin dans larborescence du site La mesure la plus importante agrave noter est le pourcentage remarquable de sites sans en-tecircte X-Frame-Options soit 99
Apregraves une analyse approfondie des reacutesultats des recherches speacutecialiseacutees consacreacutees aux attaques XFS la section qui suit se concentre agrave nouveau sur ce qui semble ecirctre le sujet de conversation le plus populaire en 2012 en matiegravere de seacutecuriteacute la seacutecuriteacute des applications mobiles
Seacutecuriteacutedesapplicationsmobiles
Dix secondes dans une file dattente nimporte ougrave suffisent pour se rendre compte que lutilisation dappareils mobiles a litteacuteralement exploseacute En fait pour la premiegravere fois 2012 est lanneacutee pendant laquelle le nombre de smartphones vendus a deacutepasseacute le nombre dordinateurs portables et dordinateurs de bureau agrave la fois11 Cette augmentation a eacuteteacute suivie aussi dune hausse proportionnelle des risques surtout au moment ougrave les entreprises essaient de mettre agrave profit les avantages quoffre la mobiliteacute Comme nous lavons vu plus haut lOSVDB a signaleacute une hausse de 68 du nombre de vulneacuterabiliteacutes signaleacutees pour les technologies mobiles depuis 2011 soit une augmentation de 787 sur les cinq derniegraveres anneacutees Lors de nos tests nous sommes toujours revenus au mecircme constat Si vous posseacutedez des donneacutees des attaquants chercheront agrave sen emparer
Pour eacutevaluer leacutetat actuel de la seacutecuriteacute des applications mobiles leacutequipe HP Fortify on Demand a rassembleacute les reacutesultats de plus de 70 applications mobiles agrave la recherche de failles de seacutecuriteacute Ce jeu deacutechantillons concernait plus de 50 organisations uniques et de nombreux secteurs au niveau local et international Il peut donc ecirctre consideacutereacute comme une repreacutesentation relativement preacutecise dune application mobile moyenne Les reacutesultats montrent que les vulneacuterabiliteacutes qui compromettent la seacutecuriteacute des applications mobiles sont les mecircmes que pour les applications classiques Ils montrent eacutegalement quun problegraveme surtout se distingue des autres Dans le paysage informatique actuel la fuite dinformation est un problegraveme particuliegraverement reacutepandu et neacutefaste La demande croissante dinformations des travailleurs mobiles allieacutee aux services de cloud de plus en plus omnipreacutesents et agrave une hausse des appareils grand public non geacutereacutes sur le reacuteseau dentreprise repreacutesente un deacutefi notable pour de nombreuses organisations
Fuite de donneacutees sensibles sur des canaux non seacutecuriseacutesLa fuite de donneacutees est un problegraveme de longue date pour les applications Web Si elle peut paraicirctre un problegraveme dampleur modeacutereacutee elle implique souvent une information en apparence inoffensive qui permet agrave un attaquant de renforcer sa strateacutegie dattaque pour mener une attaque plus dangereuse encore La mecircme chose vaut pour les applications mobiles Plus des trois quarts (77 ) des applications mobiles dans notre eacutetude eacutetaient vulneacuterables et en proie agrave des fuites dinformations Nous avons deacutecouvert que les donneacutees personnelles dun utilisateur eacutetaient souvent transmises via des protocoles reacuteseau non crypteacutes comme le protocole HTTP Il sagissait pour la plupart dinformations simples comme des noms des adresses et des numeacuteros de teacuteleacutephone Cependant dans notre jeu deacutechantillons ces donneacutees comprenaient eacutegalement lemplacement actuel de lutilisateur ainsi que lidentifiant unique de lappareil (eacutegalement appeleacute UDID)
Livre blanc | Rapport HP 2012 sur les cyber-risques
11 voiceswashingtonpostcomposttech201011smartphone_sales_to_pass_compuhtml
18
LUDID est primordial pour un appareil car il peut servir agrave des attaques extrecircmement cibleacutees contre des utilisateurs en particulier Si les donneacutees de geacuteolocalisation lidentifiant unique de lappareil et les donneacutees personnelles eacutetaient intercepteacutees sur une application vulneacuterable ce que cela implique dans la reacutealiteacute est eacutetonnant Un attaquant pourrait localiser une cible dans le monde reacuteel et les possibiliteacutes qui souvriraient alors agrave lui seraient illimiteacutees Cest la porte ouverte agrave un sceacutenario effroyable que la plupart des gens ne soupccedilonnent pas Bien entendu lexploitation dapplications simples et banales peut eacutegalement avoir lieu Imaginez le sceacutenario suivant Si lapplication transmet lUDID le nom complet ladresse et ainsi de suite agrave un service Web vulneacuterable et que ce dernier est la cible potentielle dune attaque par injection SQL on conccediloit aiseacutement que chaque bit de donneacutees sur cet appareil mobile soit accessible Il est eacutetonnant de voir jusquougrave une fuite dinformation peut mener un attaquant si les circonstances jouent en sa faveur et que tout alors est du domaine du probable voire du possible
Les donneacutees transmises sur des canaux non seacutecuriseacutes ne se limitaient pas aux donneacutees personnelles Les donneacutees applicatives elles non plus neacutetaient pas proteacutegeacutees Nous avons deacutecouvert que des informations de connexion des informations didentification utilisateur des ID de session des jetons et des donneacutees dentreprise sensibles eacutetaient transmises via des protocoles reacuteseau non crypteacutes agrave linstar du protocole HTTP Imaginez les conseacutequences pour une application bancaire vulneacuterable Si des informations didentification des identificateurs de session des informations didentification personnelle ou dautres donneacutees strateacutegiques sont transmises vers un serveur principal la transmission se doit decirctre seacutecuriseacutee sans quoi les donneacutees peuvent ecirctre intercepteacutees par un attaquant au moyen doutils ou dapplications de capture de paquets reacuteseau courants (par exemple DroidSheep)
Les recherches ont montreacute que 375 des applications pouvaient ecirctre la cible dune vulneacuterabiliteacute impliquant une forme quelconque dautorisation notamment des mots de passe en texte clair des mots de passe codeacutes en dur et des mots de passe inteacutegreacutes agrave la reacuteponse Ce pourcentage bien plus eacuteleveacute que pour les applications dites traditionnelles prouve eacutegalement que les deacuteveloppeurs dapplications mobiles doivent travailler davantage pour proteacuteger leurs donneacutees
Dautres vulneacuterabiliteacutes deacutetecteacutees en nombres importants incluaient les attaques de type stack-smashing Plus de la moitieacute des vulneacuterabiliteacutes (5545 ) noffraient aucune protection adeacutequate contre ce type dattaque Si cet oubli nentraicircne pas lexeacutecution du code il peut quand mecircme geacuteneacuterer une panne injustifieacutee de lapplication vulneacuterable
Qui plus est 135 des applications eacutetaient vulneacuterables agrave des attaques XSS Ceci fut une reacuteelle surprise puisque tous les autres ensembles dapplications que nous avons testeacutes mobiles et traditionnels reacuteveacutelaient des nombres de vulneacuterabiliteacutes XSS plus eacuteleveacutes Un examen plus attentif de ces nombres a montreacute que les applications vulneacuterables eacutetaient des applications destineacutees autant agrave la gestion de la finance que des bases de donneacutees En dautres termes le faible pourcentage ne reacuteduisait pas limpact potentiel
Les accegraves non autoriseacutes concernent quasiment la moitieacute des applications mobilesNous avons chercheacute dautres donneacutees en examinant les reacutesultats obtenus par notre partenaire Security Compass lors de ses tests sur dautres applications A de nombreux eacutegards ils confirment les chiffres eacutevoqueacutes preacuteceacutedemment
48 des applications eacutetaient la proie de vulneacuterabiliteacutes daccegraves non autoriseacute Elles valident les vulneacuterabiliteacutes dauthentification (375 ) que nous avons eacutevoqueacutees dans notre eacutechantillon plus haut Les chiffres montrent que les deacuteveloppeurs dapplications mobiles doivent autant se concentrer sur la preacutevention des accegraves non autoriseacutes sur les applications mobiles que sur les moyens de faciliter laccegraves pour les utilisateurs leacutegitimes
37 des applications posaient des problegravemes de divulgation dinformations sensibles 26 avaient recours agrave des pratiques de connexion meacutediocres et 19 affichaient des messages derreur de mauvaise qualiteacute qui reacuteveacutelaient des informations susceptibles decirctre exploiteacutees par des attaquants Ceci corrobore nos donneacutees preacuteceacutedentes car nous avons vu agrave quel point les fuites dinformations eacutetaient importantes Lors du codage des applications mobiles les deacuteveloppeurs ne tiennent pas compte de ce quimplique la seacutecuriteacute pour le stockage la transmission et laccegraves des donneacutees
33 des applications eacutetaient vulneacuterables agrave des attaques XSS Des tests reacutepeacutetitifs montrent que les attaques par script intersite (XSS) sont autant une menace pour les applications mobiles que pour les applications stationnaires Ces reacutesultats sont en phase avec ce que nous avons constateacute lors des tests des applications traditionnelles
Livre blanc | Rapport HP 2012 sur les cyber-risques
19
26 des applications employaient une meacutethode de cryptage inadapteacutee Le cryptage sur des ordinateurs dentreprise est aujourdhui une pratique standard pour la plupart des entreprises du classement Fortune 500 Il y a dix ans la presse regorgeait dhistoires de donneacutees deacuterobeacutees sur des ordinateurs perdus Les risques dans ce domaine se sont reacuteduits dune part gracircce aux mesures leacutegislatives mises en places et dautre part parce que les entreprises ont eu loccasion de lapprendre agrave leurs deacutepens Pourtant ces mecircmes pratiques standard ne sont pas appliqueacutees aux appareils mobiles et agrave legravere du BYOD (Bring your own device) cela peut saveacuterer dangereux
Les dix principales vulneacuterabiliteacutes des applications mobiles Le partenaire dHP Security Compass a eacutegalement analyseacute les vulneacuterabiliteacutes des applications mobiles et les a eacutetiqueteacutees par type (voir la Figure 22) Ainsi donc agrave quoi les applications moyennes sont-elles le plus vulneacuterables par ordre de preacutevalence des vulneacuterabiliteacutes A quels types dattaques par incident les applications mobiles sont-elles le plus vulneacuterables
Sur les dix principales vulneacuterabiliteacutes constateacutees en matiegravere dapplications mobiles XSS affichait le deuxiegraveme taux le plus eacuteleveacute et repreacutesentait 15 de toutes les vulneacuterabiliteacutes deacutecouvertes dans ce jeu deacutechantillons Les chiffres confirment eacutegalement que lorsquelles sont consigneacutees par ordre doccurrence les vulneacuterabiliteacutes de fuite dinformation et daccegraves non autoriseacuteauthentification indiquent aux deacuteveloppeurs dapplications mobiles comment ils peuvent mieux seacutecuriser leurs applications en concentrant davantage leurs efforts sur ces domaines
Rechercheentechnologiemobile lacommunicationenchampproche (NFC)pourlesapplicationsmobilesdepaiementNous avons constateacute que les vulneacuterabiliteacutes lieacutees aux applications mobiles eacutetaient en hausse constante mais il est indispensable eacutegalement danticiper et de connaicirctre les nouvelles vulneacuterabiliteacutes qui verront le jour Les nouvelles technologies introduisent en permanence des failles de seacutecuriteacute possibles La plate-forme mobile ne fait pas exception Lune de ces nouvelles technologies est la communication en champ proche (NFC) La communication en champ proche (NFC) deacutesigne une meacutethode de communication de donneacutees sans contact entre des appareils proches les uns des autres Elle a deacutejagrave eacuteteacute adopteacutee en Europe et en Asie et fait depuis peu des adeptes en Ameacuterique du Nord Le Forum NFC (consortium regroupant plusieurs membres tels que Sony Nokia et Philips) applique des normes strictes pour les fabricants dappareils compatibles NFC Les eacutediteurs dapplications disposent ainsi dune architecture seacutecuriseacutee et dune infrastructure compatible qui leur permettent dexploiter cette technologie pour des applications de paiement mobiles et le partage de donneacutees (par exemple leacutechange de devises entre homologues)
Il existe actuellement plusieurs smartphones compatibles NFC Cest le cas du Googletrade Nexus 5 du Samsung Galaxy S II et des BlackBerry Bold 9900 et 9930 Plusieurs socieacuteteacutes exploitent aujourdhui cette technologie
bull Google Wallet conteneur seacutecuriseacute pour les informations de carte de creacutedit qui facilite les transactions NFC
bull MasterCard PayPass service de paiement sans contact (actuellement pris en charge dans Google Wallet)
bull Visa payWave service de paiement sans contact
bull PayPal meacutethode bump (application Bump) pour le transfert dargent ou la reacutealisation de paiements entre utilisateurs
bull Apple iPhone prise en charge de la NFC attendue dans une prochaine version (non confirmeacutee)12
Problegravemes de seacutecuriteacutePlusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (donneacutees de carte de creacutedit ou numeacuteros de comptes) sont transmises via un canal NFC sur un appareil mobile Voici des exemples de cas reacuteels constateacutes reacutecemment dans le domaine de la seacutecuriteacute
Cas 1La technologie NFC est employeacutee dans le cadre de solutions de paiement grand public avec deux modes de mise en œuvre distincts
bull Puce NFC dans des cartes de creacutedit grand public telles que MasterCard PayPass et Visa payWave
bull NFC utiliseacutee dans des solutions de portefeuille mobile
Livre blanc | Rapport HP 2012 sur les cyber-risques
12 Il existe actuellement des eacutediteurs agrave linstar de DeviceFidelity qui proposent des composants tiers qui reproduisent la prise en charge de la communication en champ proche (NFC) pour les appareils iPhone
Figure 22Preacutevalence des dix principales vulneacuterabiliteacutes (en pourcentage)
Accegraves non autoriseacute 18
Scripts intersites 15
Divulgation dinformations sensibles 12
Traitementnon seacutecuriseacute des sessions 11
Vulneacuterabiliteacutes du traitement des cookies 9
Meacutethode de cryptage inadapteacutee 9
Pratiques de connexion meacutediocres 8
Saisie semi-automatique sur des formulaires agrave donneacutees sensibles 6
Informations didentificationen texte clair 6
Messages derreur de mauvaise qualiteacute 6
20
Le deacutefi du premier mode de mise en œuvre est double le premier est que pour la plupart des eacutemetteurs de cartes de creacutedit linstallation de la puce NFC est obligatoire le deuxiegraveme est que par deacutefinition la puce NFC est toujours activeacutee Par exemple si la carte de creacutedit dun utilisateur est dans le champ dun lecteur NFS actif comme celui que lon rencontre dans un terminal de point de vente la carte de creacutedit transmet automatiquement le numeacutero de carte de creacutedit de lutilisateur au lecteur NFS de reacuteception A preacutesent imaginez le sceacutenario pour les appareils mobiles les plus modernes eacutequipeacutes de puces NFS inteacutegreacutees Dans le monde dAndroid il existe des applications conccedilues pour activer la puce NFC de lappareil mobile pour reproduire le comportement du lecteur NFS dun terminal de point de vente A laide dun appareil mobile ou dune application de ce genre un attaquant peut potentiellement activer la puce NFC de son appareil Android croiser des gens dans un endroit peupleacute et tenter danalyser leurs cartes de creacutedit pour recueillir leur numeacutero de compte permanent (PAN)
Les solutions de portefeuille mobile NFC sont souvent vulneacuterables agrave ce mecircme type dattaque si la solution concerneacutee ne deacutesactive pas ou ne retire pas la puce NFC une fois lexeacutecution dune transaction termineacutee Heureusement cette vulneacuterabiliteacute peut facilement ecirctre reacutesolue par des deacuteveloppeurs de solutions de portefeuille mobile sils retirent la puce NFC apregraves usage
Cas 2Plusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (par exemple des donneacutees de carte de creacutedit ou des numeacuteros de comptes) sont transmises via un canal NFC
bull Ecoute tentative dintercepter la communication des donneacutees de transmission NFC (par exemple proxy NFC)
bull Manipulation des donneacutees tentative de manipuler la communication des donneacutees de transmission NFC (par exemple pour identifier des reacutesultats erroneacutes)
bull Attaques par interception tentative dexploitation des modes actifpassif de lappareil pour envoyer et recevoir la communication des donneacutees de transmission NFC
bull Vol tentative dacceacuteder sans autorisation agrave lapplication de paiement mobile (comme si lappareil a eacuteteacute voleacute ou perdu) et examen des fichiers stockeacutes sur lappareil agrave la recherche dinformations sensibles
Cas 3Au cœur mecircme de la fonction NFC se trouve un composant appeleacute eacuteleacutement seacutecuriseacute Deux types de mise en œuvre de cet eacuteleacutement sont possibles (1) les eacuteleacutements incorporeacutes dans lappareil et (2) les eacuteleacutements chargeacutes dans une carte SIM Dans les cas ougrave leacuteleacutement seacutecuriseacute est chargeacute dans une carte SIM il est possible que la carte SIM soit retireacutee et eacutechangeacutee sous les yeux dun utilisateur creacutedule Cette situation aboutit agrave des sceacutenarios dattaque semblables aux suivants
bull Echange de carte SIM avec un autre appareil (du mecircme type) pour tenter dacceacuteder au contenu de leacuteleacutement seacutecuriseacute Dans certains cas lutilisation dun appareil de type diffeacuterent peut offrir un accegraves suppleacutementaire aux informations de leacuteleacutement seacutecuriseacute sil nest pas mis en œuvre de maniegravere seacutecuriseacutee Par exemple il existe un risque de contournement de lapplication de paiement ou de la protection du mot de passe au niveau du teacuteleacutephone en cas deacutechange de carte SIM dans un teacuteleacutephone eacutequivalent avec lapplication de paiement et sans mot de passe
bull Identification des donneacutees contenant des informations sensibles dans leacuteleacutement seacutecuriseacute situeacute dans la carte SIM apregraves une opeacuteration de restauration sur un autre appareil Il peut sagir aussi dattaques visant agrave cloner ou copier la carte SIM au moyen dun mateacuteriel externe
Notez que la difficulteacute daccegraves agrave leacuteleacutement seacutecuriseacute offre une certaine garantie sur lenvironnement de seacutecuriteacute de leacuteleacutement seacutecuriseacute sur lappareil cible
Cas 4Dans certains cas il est possible que limpleacutementation de lapplet VMPA dans leacuteleacutement seacutecuriseacute nait pas tenu compte de tous les eacuteleacutements de seacutecuriteacute Il peut sagir par exemple dune signature et dun controcircle daccegraves insuffisants de lapplet VMPA qui permettent agrave une application quelconque de deacutemarrer et dy soumettre des requecirctes Cette situation peut offrir agrave une application non autoriseacutee la possibiliteacute dappeler lapplet VMPA via la commande APDU (JSR 177) Une requecircte bien formuleacutee peut potentiellement permettre dactiver la radio NFC et de transmettre des informations de carte de creacutedit
Livre blanc | Rapport HP 2012 sur les cyber-risques
21
Bien que des informations et une analyse exactes peuvent ecirctre obtenues agrave partir dun appareil dinvestigation (si un accegraves agrave ce type de mateacuteriel est disponible) il nexiste pour lheure aucun outil autorisant laccegraves agrave des informations de leacuteleacutement seacutecuriseacute Leacuteleacutement seacutecuriseacute comme son nom lindique fournit des meacutecanismes de seacutecuriteacute preacutecis (par exemple controcircle daccegraves cryptage et reacutepartition) qui empecircchent lextraction dinformations sensibles eacuteventuelles Cest pourquoi un accegraves dinvestigation explicite agrave leacuteleacutement seacutecuriseacute nest actuellement pas possible mecircme avec un outil dinvestigation distribueacute par les leaders du marcheacute
RecommandationsIl existe des mesures que les organisations peuvent prendre pour reacuteduire les risques que posent les failles de seacutecuriteacute des applications mobiles Avant tout les applications doivent ecirctre manuellement controcircleacutees et eacutevalueacutees avant le lancement des produits afin de deacuteterminer la preacutesence de vulneacuterabiliteacutes dinjection ou de vulneacuterabiliteacutes de fuite dinformation Le code doit ecirctre analyseacute via une analyse statique au moment de le deacutevelopper pour y rechercher des failles Comme pour toutes les applications il est moins coucircteux de geacuterer des failles de seacutecuriteacute lors de la phase de deacuteveloppement quau moment de leur diffusion
Les normes de transmission seacutecuriseacutee des donneacutees doivent ecirctre incluses dans le cahier des charges de toutes les applications surtout si ces derniegraveres sont eacutelaboreacutees par des deacuteveloppeurs tiers Il en va de mecircme pour le stockage seacutecuriseacute des donneacutees et le journal des applications Des exigences raisonnables en matiegravere daffichage des communications entre applications et dautorisations dans ces derniegraveres doivent ecirctre rigoureusement deacutefinies Tous ces aspects doivent ecirctre geacutereacutes lors de la phase de deacutefinition des exigences et testeacutes lors du deacuteveloppement Au moment dexeacutecuter les tests de seacutecuriteacute et lanalyse sur les applications mobiles les services Web cocircteacute serveur et les API avec lesquels les clients mobiles communiquent doivent ecirctre pris dans leur contexte et analyseacutes pour y deacuteceler des vulneacuterabiliteacutes Des failles agrave haut risque peuvent passer agrave la trappe si ces deux eacuteleacutements sont testeacutes et compareacutes hors de leur contexte
Conclusions
Lobjectif de ce rapport est de fournir aux organisations toutes les informations de seacutecuriteacute qui les aideront agrave mieux comprendre comment deacuteployer les ressources limiteacutees dont elles disposent pour minimiser au maximum leurs risques en matiegravere de seacutecuriteacute A cet effet les tendances et les enseignements agrave tirer de lanneacutee 2012 sont nombreux et doivent ecirctre pris en compte pour la ou mecircme les anneacutees qui viennent
Militarisation des vulneacuterabiliteacutes Les attaquants ne cesseront jamais de militariser les vulneacuterabiliteacutes pour mener agrave bien leurs activiteacutes malveillantes Ceux qui eacutelaborent les kits dexploitation continueront de se focaliser sur des vulneacuterabiliteacutes dans les logiciels les plus reacutepandus ciblant le plus souvent des navigateurs et des plug-ins de navigateur tels que Oracle Java et Adobereg Flash De mecircme le nombre dattaques meneacutees publiquement agrave lencontre de technologies et dentreprises speacutecifiques continuera daugmenter Des organisations criminelles des Etats-nations et des hacktivistes se serviront toujours des cyber-attaques comme moyen duniformiser les regravegles du jeu contre des adversaires riches ou puissants mecircme si les reacuteelles motivations derriegravere ces attaques resteront souvent difficiles agrave deacuteterminer
Vulneacuterabiliteacutes des technologies mobilesLadoption croissante des technologies mobiles et leur utilisation au sein de lentreprise engendreront toujours des risques consideacuterables Nombre de gens lont deacutejagrave constateacute les programmes malveillants deacuteployeacutes sur les marcheacutes qui opposent Android et Apple poursuivent leur croissance Laggravation de ce problegraveme est essentiellement lieacutee au fait que les entreprises ne disposent pas du mecircme type de controcircle sur ces appareils que sur des PC Au moment ougrave le BYOD (Bring your own device) devient la norme et que ladoption des appareils mobiles prend de lampleur on peut sattendre agrave une hausse proportionnelle du nombre de failles chez les applications mobiles tendance qui devrait se maintenir dans un avenir preacutevisible
Livre blanc | Rapport HP 2012 sur les cyber-risques
22
DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables
Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications
Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables
Pourensavoirplusconsultezlapage Web hpcomgoSIRM
Livre blanc | Rapport HP 2012 sur les cyber-risques
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013
10
Figure 9 Anatomie dune attaque par script intersite reacutefleacutechie
Site bancaire
Utilisateur creacutedule
Attaquantmalveillant
1 Un attaquant deacutecouvre une faille XSS dans une application Web
3 Lattaquant distribue le lien XSS malveillant via dingeacutenierie sociale agrave des utilisateurs creacutedules
2 Lattaquant creacutee une URL dattaque pour voler des informations sensibles et la deacuteguise afin quelle paraisse leacutegitime
4 Lorsque la victime se connecte JavaScript qui est inteacutegreacute au lien XSS malveillant sexeacutecute et transmet les informations de connexion de la victime agrave lattaquant
La Figure 10 montre les cinq principales vulneacuterabiliteacutes deacutecouvertes dans le cadre de lanalyse statique en 2012 et inclut le pourcentage relatif dapplications toucheacutees par chaque cateacutegorie de vulneacuterabiliteacute
Figure 10 Cinq principales vulneacuterabiliteacutes deacutecouvertes lors de lanalyse statique en 2012 via HP Fortify on Demand
92 88 86
75
61
0
10
20
30
40
50
60
70
80
90
100
Fuites dinformationset gestion des
erreurs inapproprieacutee
Stockagedes donneacutees
cryptographiquesnon seacutecuriseacute
Failles dinjection Reacutefeacuterencedobjet directenon seacutecuriseacutee
Gestion delauthentification et des
session deacutefaillante
Les reacutesultats de lanalyse statique reacutevegravelent que les fuites dinformation les problegravemes de stockage des donneacutees cryptographiques et les failles dinjection sont les vulneacuterabiliteacutes les plus freacutequentes Un eacuteleacutement non citeacute dans cette liste des cinq principales vulneacuterabiliteacutes est que pour 51 des applications il eacutetait question dune attaque par script intersite reacutefleacutechie (voir la Figure 9 ci-avant) Sil ne figure pas dans la liste il reste neacuteanmoins un eacuteleacutement important si on lajoute aux autres reacutesultats de ce rapport
Les reacutesultats de ces jeux deacutechantillons confirment nettement que les applications Web souffrent encore aujourdhui de nombreuses faiblesses pourtant jugeacutees critiques par les diverses normes industrielles en vigueur Les cinq principales cateacutegories de vulneacuterabiliteacute qui dominent les reacutesultats sont souvent celles qui exposent les applications Web agrave des risques importants notamment le vol dinformations lescalade de privilegraveges etc Ces deux jeux deacutechantillons nous amegravenent agrave la conclusion que les organisations ne parviennent toujours pas agrave appliquer des mesures coheacuterentes pour faire face agrave des vulneacuterabiliteacutes omnipreacutesentes comme les scripts intersites et les fuites dinformation
Livre blanc | Rapport HP 2012 sur les cyber-risques
11
Un autre eacuteleacutement agrave retenir est que la vulneacuterabiliteacute la plus employeacutee par des attaquants en relation avec dautres vulneacuterabiliteacutes connues est la fuite dinformation Un eacuteleacutement dinformation preacutecis peut sembler sans inteacuterecirct mais peut pourtant ecirctre le composant cleacute qui permettra agrave un attaquant dimposer une technique pour mener une attaque plus deacutevastatrice encore En somme pour preacuteparer et reacuteussir une attaque des techniques minutieuses de collecte des informations et de reconnaissance sont indispensables
Risquesdesapplications Web eacutetudedecas
ProfildelasocieacuteteacuteGrande entreprise multinationale (plus de 100 000 employeacutes) avec un chiffre daffaires de plus de 82 milliards de dollars pour lexercice fiscal 2012
Cette entreprise dispose dun programme de seacutecuriteacute actif et opeacuterationnel Les reacutesultats montrent les efforts qui sont neacutecessaires pour geacuterer entiegraverement les risques lieacutes agrave la seacutecuriteacute des applications Les reacutesultats qui suivent proviennent de plus de 1 300 eacutevaluations dynamiques uniques meneacutees sur les divers sites de lentreprise Dans legravere de la seacutecuriteacute des applications modernes une vulneacuterabiliteacute est souvent une de trop
Reacutesultats
bull 541 des eacutevaluations ont reacuteveacuteleacute des cookies persistants LAgence europeacuteenne chargeacutee de la seacutecuriteacute des reacuteseaux et de linformation (ENISA) emploie le terme cookies doux-amers pour parler de ces cookies Les cookies persistants augmentent consideacuterablement la probabiliteacute dattaques par relecture en raison de la dureacutee de validiteacute prolongeacutee des cookies La divulgation dinformations sur des ordinateurs publics partageacutes peut eacutegalement produire des cookies persistants Parce que les cookies servent entre autres agrave observer le comportement des utilisateurs il est probable que les avantages potentiels quils preacutesentent pour lentreprise aient quelque peu relayeacute les questions de seacutecuriteacute au second plan
bull Un peu moins de la moitieacute (4832 ) des sites eacutetaient vulneacuterables face agrave une certaine forme dattaque par script intersite
bull Presque un cinquiegraveme (1957 ) des sites contenaient un formulaire de connexion non crypteacute agrave scheacutema mixte ougrave les informations dune page HTTP eacutetaient publieacutees dans une page HTTPS ou inversement
bull 1277 des eacutevaluations eacutetaient vulneacuterables agrave une certaine forme dinjection SQL Le plus intrigant cest que 1097 des eacutevaluations confirmaient les vulneacuterabiliteacutes dinjection SQL agrave laveugle Si lon tient compte du caractegravere particuliegraverement dangereux des injections SQL agrave laveugle et du fait que ces vulneacuterabiliteacutes sont souvent employeacutees pour compromettre un systegraveme ce pourcentage pose de graves problegravemes
bull Un autre cinquiegraveme (197 ) des sites eacutetaient vulneacuterables aux connexions transmises via une connexion non crypteacutee ce qui signifie que le formulaire nutilisait pas le protocole SSL
bull 526 des sites eacutetaient exposeacutes agrave une vulneacuterabiliteacute de lectureinclusion de fichier local Sil eacutetait jugeacute sensible le contenu du fichier pouvait ecirctre utiliseacute pour prendre le controcircle du systegraveme
Des attaques deacutevastatricesOutre des statistiques les organismes chargeacutes de collecter des informations de seacutecuriteacute ont eacutegalement besoin dobservations et dideacutees Dans cette optique la section qui suit propose une liste sommaire des attaques deacutevastatrices que les responsables des tests de peacuteneacutetration chez HP Fortify on Demand ont deacutecouvertes en 2012 Chaque compte a eacuteteacute deacutecouvert moyennant autorisation au cours dopeacuterations approuveacutees meneacutees agrave lencontre de sites de production avec des difficulteacutes techniques allant des plus simples aux plus complexes Le deacutenominateur commun est que toutes les attaques avaient des conseacutequences extrecircmement graves si elles eacutetaient deacutecouvertes par un attaquant malveillant Pour des raisons eacutevidentes les noms des clients nont pas eacuteteacute inclus mais les secteurs eux-mecircmes sont inseacutereacutes dans la liste pour illustrer le danger potentiel et la pertinence des attaques Si ces exemples revecirctent un caractegravere anecdotique par deacutefinition ils profitent de lexpeacuterience et des avis de nos responsables de tests de peacuteneacutetration dune maniegravere que les simples statistiques ne permettent pas Lagrave encore la seacutecuriteacute est plus quune affaire de produits Cest un processus
Attaques par injection et attaques par validation dentreacutee incorrecte Secteurs dactiviteacute peacutetrochimie industrie alimentaire eacutenergie et logicielsTeacuteleacutechargementsdefichiersnonseacutecuriseacutesetconfigurationincorrectedelaseacutecuriteacute Un programme client lourd permettait agrave nimporte quel utilisateur de charger (au moyen de sa fonction de chargement intrinsegraveque) des programmes malveillants sur un serveur Web muni daucune protection contre ce type de programme Environ 30 000 utilisateurs dans le monde entier se servaient de ce programme les risques eacutetaient donc particuliegraverement grands Les fonctions de teacuteleacutechargement de fichiers doivent impeacuterativement faire preuve de meacutefiance agrave leacutegard des types de fichiers acceptables La Figure 11 deacutecrit les conseacutequences de ce sceacutenario
Livre blanc | Rapport HP 2012 sur les cyber-risques
12
Figure 11 Lautorisation de teacuteleacutechargements de fichiers peut avoir des conseacutequences seacutevegraveres
Teacuteleacutechargementsde fichiers
non valideacutes
Aucuneprotectionpar logiciel
anti-programmemalveillant
30 000utilisateurs
sont infecteacutes parle logiciel
malveillant
Injection SQLagravelaveugle les fonctionnaliteacutes daide agrave la recherche (une seacuterie de cases agrave cocher conccedilues pour aider les utilisateurs agrave restreindre leurs critegraveres de recherche) sans validation dentreacutee ont abouti agrave laffichage de 35 bases de donneacutees dID dutilisateur de systegraveme de base de donneacutees et de hachages de mot de passe y compris le compte dadministrateur systegraveme Linjection SQL agrave laveugle peut ecirctre difficile agrave deacuteceler parce quelle geacutenegravere rarement des messages derreur et manifeste un comportement applicatif anormal Les requecirctes parameacutetrables eacutegalement appeleacutees instructions preacutepareacutees empecircchent avec efficaciteacute les attaques par injection SQL si elles ont correctement mises en place5 La Figure 12 deacutecrit cette seacutequence
Instructions SQLentexteclair lors des tests effectueacutes sur une application cliente lourde il a eacuteteacute deacutecouvert que le client exeacutecutait des instructions SQL directement sur le serveur SQL principal avec des autorisations de niveau administrateur sur HTTP Une escalade des privilegraveges utilisateur et la modification des mots de passe furent possibles en soumettant le protocole agrave une ingeacutenierie agrave rebours et en le manipulant (voir la Figure 13)
Inclusiondefichierlocal des techniques de traversement de reacutepertoires (Directory Traversal) et dinclusion de fichier local ont eacuteteacute employeacutees pour afficher le contenu du fichier SAM (Gestionnaire de comptes de seacutecuriteacute) de sauvegarde du serveur Web qui permettait de deacutecoder les mots de passe Au bout de dix minutes il eacutetait possible pour un administrateur local dacceacuteder au systegraveme et de tout compromettre Les routines de validation dentreacutee quelles soient inheacuterentes agrave lapplication ou interviennent au niveau de configuration du serveur Web auraient eacutelimineacute ce vecteur
AttaquesvisantagraveexploiterunemauvaiseconfigurationdeseacutecuriteacuteSecteurs dactiviteacute peacutetrochimie et secteur bancaire internationalImpossibiliteacutederestreindrelaccegravesauxreacutepertoiressensibles dans ce cas le reacutepertoire deacutecouvert eacutetait ldquohttpswwwexamplecompasswordsrdquo Naturellement aucun dossier ldquopasswordsrdquo tout du moins public ne devrait exister Le dossier eacutetait accessible via des navigateurs Web sans aucune authentification et comprenait une liste de reacutepertoires avec des fichiers texte aux noms divers tels que ldquopasswordsprojectrdquo ou mecircme ldquopasswordssystemsrdquo Un simple clic sur un fichier provoquait louverture dun document texte muni dune liste dutilisateurs et de mots de passe au format suivant userpassword Une des listes contenait mecircme ldquosysadminpassword adminpassword etchelliprdquo (voir la Figure 14) Ceci illustre la neacutecessiteacute et limportance de la validation danalyse post-automatique puisque cette vulneacuterabiliteacute qui pose de faibles risques en apparence pouvait aiseacutement passer inaperccedilu aux yeux du client Qui plus est le problegraveme aurait pu ecirctre eacuteviteacute si laccegraves au reacutepertoire avait eacuteteacute restreint comme il le fallait
Leprotocole WebDAVactiveacuteautorisaitlesopeacuterationsdeacutecritureagravedistance Le mode dactivation du protocole WebDAV sur un serveur Web en particulier permettait agrave des utilisateurs dapplications distants de communiquer avec lhocircte et deacutecrire des fichiers dans des reacutepertoires arbitraires Lexploitation de cette vulneacuterabiliteacute permettait de teacuteleacutecharger une porte deacuterobeacutee personnaliseacutee puis de lexeacutecuter en parcourant le chemin daccegraves agrave lURL du fichier reacutecemment transfeacutereacute Une fois exeacutecuteacutee elle offrait la possibiliteacute de controcircler entiegraverement le serveur Web En preacutevoyant de plus amples tests la personne chargeacutee de ces tests pouvait librement poursuivre une attaque contre dautres hocirctes sur le reacuteseau interne de lentreprise processus appeleacute glissement (pivoting) La suppression de laccegraves WebDAV et de meacutethodes HTTP exteacuterieures aurait pu eacuteviter cette attaque
Injection SQLetcommandesdevalidationdentreacuteefaibles Un filtre SQL filtrait tout agrave lexception de lopeacuterateur ldquoORrdquo Cela signifie essentiellement quapregraves insertion de lopeacuterateur ldquoORrdquo dans une instruction SQL chaque commande serait exeacutecuteacutee sur le systegraveme Le parameacutetrage des requecirctes empecircchera les attaques par injection SQL La Figure 15 deacutecrit le deacuteroulement seacutequentiel dune attaque par injection SQL
Livre blanc | Rapport HP 2012 sur les cyber-risques
5 httpswwwowasporgindexphpSQL_Injection_Prevention_Cheat_Sheet
Figure 12 Injection SQL agrave laveugle
Injection SQLagrave laveugle
Voldinformationsutilisateur
Accegraves agraveladministrationsystegraveme
Figure 13 Instructions SQL en texte clair
Protocoledingeacutenierie clientserveur agrave rebours
Exeacutecution SQL
Reacuteinitialisation dumot de passe avec
des privilegravegesplus eacuteleveacutes
Figure 14 Restriction daccegraves impossible
Accegraves au reacutepertoire non restreint
passwrdsprojectuserpassword sysadminmot de passe
passwordssystems fichier
httpswwwexamplecompasswords reacutepertoire
13
Figure 15 Anatomie dune attaque par injection SQL
Site bancaireBase de donneacutees
de la banque
1=1
Attaquant malveillant
1 Lattaquant envoie des informations suppleacutementaires telles quun guillemet ou 1=1 avec des informations de connexion ou inclure des variablespour modifier linstruction SQL originale
3 Une fois que le scheacutema de base de donneacutees a eacuteteacute deacutefini lattaquant peut extraire les donneacutees contenues dans la base de donneacutees notamment les noms dutilisateur les mots de passes les informations de carte de creacutedit etc
2 Avec lapproche par essais et erreurs lattaquant peut construire des arguments SQL pouvant ecirctre utiliseacutes pour reacutecupeacuterer des donneacutees telles que des noms de tableaux ou des noms delignes etc
Mauvaiseconfiguration SAP Linteacutegraliteacute de la base de donneacutees des cartes de creacutedit eacutetait accessible et eacutetait transfeacutereacutee dans un fichier Les commandes configureacutees dans la structure SAP mise en place eacutetaient de qualiteacute meacutediocre et permettaient agrave des repreacutesentants du service clientegravele dexeacutecuter des transactions agrave caractegravere sensible y compris le navigateur de donneacutees HR (SE16) Cette fonction eacutetait exploiteacutee pour parcourir et charger le contenu tout entier de la table des donneacutees des cartes de creacutedit des clients Accessibles de cette maniegravere toutes les donneacutees pouvaient aiseacutement ecirctre exporteacutees agrave laide de comptes SAP avec des privilegraveges moindres
AttaquesparauthentificationparsessionlogiqueetautresattaquesSecteurs dactiviteacute compagnies aeacuteriennes secteur bancaire international et eacutenergieListedebilletsdavionviadesservices Webdecreacuteationdecodes QRmobiles Les testeurs eacutetaient capables de reconstituer agrave rebours une partie de la fonction des services Web pour creacuteer des numeacuteros de billets De faux codes QR de billets davion eacutetaient ainsi geacuteneacutereacutes pour des vols aeacuteriens Il est tout est fait possible que lexploitation de cette fonction ait permis aux attaquants de voler gratuitement En labsence de controcircles preacuteventifs efficaces ils pouvaient senregistrer librement par le biais de leurs appareils mobiles Le recours agrave une fonction de controcircle aleacuteatoire standard des numeacuteros de billets aurait pu eacutegalement eacuteviter ce problegraveme
Figure 16 Creacuteation de mots de passe dynamiques agrave cryptage facilement reacuteversible
AttaqueSQL
Servicedauthen-tification
Web
Capturedu trafic chiffreacute
Deacutesactivationdu chiffrement
du mot depasse
Randomisationdes mots de
passeinsuffisante
Accegravesadministrateur
agrave la basede donneacutees
Deacutesactivation du chiffrement -mot de passe devinable
Accegraves complet agrave labase de donneacutees avec des
autorisations dadministrateur
Livre blanc | Rapport HP 2012 sur les cyber-risques
14
Creacuteationdemotsdepassedynamiquesagravecryptagefacilementreacuteversible lapplication cliente lourde testeacutee communiquait avec un service Web qui se chargeait dabord dauthentifier lutilisateur qui tentait de se connecter Ensuite lapplication demandait le mot de passe au serveur de base de donneacutees principal Au deacutepart le mot de passe eacutetait crypteacute pour la transmission mais simultaneacutement lors dune autre attaque SQL un indicateur de la base de donneacutees a eacuteteacute renverseacute deacutesactivant et annulant ainsi les effets du cryptage Il sest aveacutereacute que le systegraveme mettait en place des mots de passe dynamiques qui changeaient freacutequemment cependant apregraves regroupement des nombreux mots de passe un scheacutema eacutevident est apparu Le mot de passe suivait une chronologie et eacutetait donc facile agrave deviner Un accegraves direct agrave la base de donneacutees avec des autorisations administratives fut confirmeacute et compromit entiegraverement le systegraveme (voir la Figure 16)
Leservice Webautorisaitdesrequecirctes SQLdirectes une application autorisait des connexions agrave sa base de donneacutees principale via un interpreacuteteur Web accessible sur Internet sans authentification Avec des connaissances limiteacutees en SQL un attaquant pouvait aiseacutement extraire toutes les donneacutees enregistreacutees dans la base de donneacutees cliente y compris les deacutetails complets des comptes des utilisateurs noms dutilisateurs mots de passe adresses de messagerie et autres informations didentification personnelle
En partageant les reacutesultats de ces tests de peacuteneacutetration en conditions reacuteelles notre but est dattirer lattention sur la creacuteativiteacute sans bornes et la deacutetermination sans fin des attaquants malveillants Les testeurs de peacuteneacutetration cherchent agrave reproduire ces techniques pour tenter deacutevaluer avec efficaciteacute chaque commande de seacutecuriteacute et sassurer que les donneacutees sensibles et les fonctions applicatives sont proteacutegeacutees Comme le prouvent ces reacutesultats les tests de seacutecuriteacute automatiseacutes seuls ne mesurent pas inteacutegralement la politique globale dun environnement en matiegravere de seacutecuriteacute et doivent ecirctre compleacuteteacutes par une analyse manuelle
Dans la section suivante les chercheurs HP en seacutecuriteacute de logiciels cherchent agrave mettre agrave jour une vulneacuterabiliteacute cruciale souvent utiliseacutee conjointement avec les nombreuses attaques et techniques mentionneacutees plus haut et pour lesquelles une strateacutegie de preacutevention efficace reste globalement agrave mettre en place
En-tecircteX-Frame-Options eacutechecdelancementPour illustrer la nature toujours changeante de la seacutecuriteacute des applications Web les speacutecialistes du groupe HP Software Security Research ont examineacute une vulneacuterabiliteacute deacutejagrave reconnue et officiellement appeleacute script sur plusieurs cadres ou XFS XFS est un outil indispensable pour tout attaquant qui tente deacutelaborer une attaque de hameccedilonnage (phishing) ou dingeacutenierie sociale dans le but de charger un site Web vulneacuterable dans une balise iFrame HTML sur une page malveillante controcircleacutee par un attaquant Ce dernier peut alors extraire des eacuteveacutenements (des seacutequences de touches par exemple) appeleacutes par un utilisateur quelconque sur le site Web cibleacute
Les vulneacuterabiliteacutes XFS ouvrent eacutegalement la voie aux attaques de type clickjacking6 qui trompent les utilisateurs en les incitant agrave cliquer sur des eacuteleacutements preacutecis sur le site Web cibleacute chargeacute agrave linteacuterieur dune balise iFrame invisible Souvent ces reacutesultats aboutissent sur des actions non voulues voire privileacutegieacutees Depuis des anneacutees les chercheurs mettent en garde contre linefficaciteacute des protections par code frame-busting baseacute sur des scripts dans la preacutevention des menaces du XFS Pourtant les deacuteveloppeurs et les administrateurs de serveur qui les assistent ont toujours uniquement recours au meacutecanisme JavaScript (Figure 17) pour deacutetecter des attaques XFS
Les diverses meacutethodes de preacutevention contre XFS se sont maintes fois montreacutees incomplegravetes ou inefficaces Le plus reacutepandu de ces modes de preacutevention est la logique de frame-busting (destruction) de JavaScript ou plus preacuteciseacutement un script cocircteacute client qui ressemble agrave celui preacutesenteacute dans la Figure 175
Figure 17 Logique classique de frame-busting JavaScript
ltscriptgt
if (top=self) toplocationhref = selflocationhref
ltscriptgt
Livre blanc | Rapport HP 2012 sur les cyber-risques
6 cvedetailscomcveCVE-2002-1217
15
Outre les nombreuses variantes de cette technique quil est facile de deacutenicher en ligne des contre-mesures datteacutenuation ont eacutegalement eacuteteacute mises en place pour lutter aussi contre ces variantes avec des regravegles grosso modo eacutequivalentes agrave celles du jeu de la taupe
Comme le montre la Figure 18 la premiegravere vulneacuterabiliteacute XFS documenteacutee a eacuteteacute deacutecouverte il y a plus de 10 ans7 Depuis le clickjacking est devenu une vulneacuterabiliteacute reacutepandue et malgreacute cela moins de un pour cent de nos eacutechantillons incluait loutil de preacutevention le plus connu agrave savoir len-tecircte X-Frame-Options
Figure 18 Bref historique des eacuteveacutenements majeurs lieacutes agrave la deacutetection de failles de type XFS (script sur plusieurs cadres)
29062002Bug iFrame Jesse Rudermana
28102002Premier CVE XFS connub
16112005Echec des techniques de Framec
21052008Premiegravere mention publique de lattribut iFrame sandboxd
12092008Le terme clickjacking est inventeacutee
26012009Premier navigateur prenant en charge des options X-Framef
17062010Busting Frame Bustinga Study of ClickjackingVulnerabilities on Popular Sitesg
27012012Facebook poursuit uneentreprise de clickjackingh
11072012Dernier conseilXFS connui
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
a httpsbugzillamozillaorgshow_bugcgiid=154957 b httpwwwcvedetailscomcveCVE-2002-1217 c httpcryptostanfordeduframebust d httphtml5orgtoolsweb-apps-trackerfrom=1642ampto=1643 e httpwwwsectheorycomclickjackinghtm f httpblogsmsdncombiearchive20090126internet-explorer-8-release-candidate-now-availableaspx g httpcdnlytlpublicationsbusting-frame-busting-a-study-of-clickjacking-vulnerabilities-on-popular-sitespdf h httpwwwguardiancouktechnology2012jan27facebook-sues-clickjacking-firm-adscend i httposvdborgshowosvdb83762
Lhistoire du XFS (Cross-Frame Scripting ou scripts sur plusieurs cadres) remonte agrave la publication dun rapport relativement banal sur un comportement observeacute par Jesse Ruderman en 20028 et devenu aujourdhui un eacuteleacutement moteur dun autre pheacutenomegravene communeacutement appeleacute clickjacking Un eacuteleacutement cleacute de la reacutegression identifieacutee en matiegravere de seacutecuriteacute eacutetait la deacutecision dajouter lattribut sandbox agrave leacutebauche de la speacutecification HTML5 pour la balise iFrame au milieu de lanneacutee 2008
Les chercheurs ont deacutemontreacute que plusieurs contre-mesures datteacutenuation eacutetaient possibles avec des bugs des navigateurs ou des astuces JavaScript Le dernier eacuteleacutement ajouteacute agrave cette liste comme le montre la Figure 19 est lutilisation dune fonction de seacutecuriteacute introduite dans la speacutecification HTML5 sous la forme dun attribut sandbox iFrame que les attaquants peuvent exploiter pour deacutesactiver les protections de frame-busting de JavaScript
Figure 19 Attribut sandbox iFrame
ltiframe sandbox=rdquoallow-scriptsrdquo src=rdquohttpexamplecomrdquogtltiframegt
Lobjet de lattribut sandbox est daccorder lautorisation dexeacutecuter des scripts (allow-scripts) dans le contenu cibleacute A titre accessoire toutes les logiques de frame-busting employeacutees par examplecom sont effectivement deacutesactiveacutees en lui refusant lautorisation allow-top-navigation dans sa speacutecification sandbox
Gracircce agrave lattribut sandbox cette technique permet agrave un attaquant de deacutejouer de maniegravere efficace toutes les tentatives de frame-busting que megravenent les deacuteveloppeurs pour se proteacuteger de tout encadrement de site et toute opeacuteration de clickjacking par des tiers Les eacutediteurs de navigateurs ont introduit et valideacute une technique de preacutevention baseacutee sur des strateacutegies bien plus forte gracircce agrave len-tecircte X-Frame-Options Les deacuteveloppeurs peuvent se servir de cet en-tecircte pour dicter au navigateur les actions adeacutequates agrave entreprendre si leur site est inclus dans un iFrame Malheureusement ladoption de cette fonction parmi les deacuteveloppeurs est tregraves lente et offre aux attaquants un vaste terrain de sites potentiellement exploitables agrave mesure quils deacutecouvrent de nouvelles techniques pour contourner les scripts de frame-busting Ceci rend plus indispensable encore ladoption et la mise en œuvre de len-tecircte X-Frame-Options puisque ce dernier constitue la solution de facto agrave ce problegraveme et reste en vigueur mecircme lorsque le nouvel attribut sandbox HTML5 est utiliseacute Voilagrave donc ce qui motive notre projet de recherche et ce qui est agrave lorigine de notre question de deacutepart Combien de domaines incluent des en-tecirctes X-Frame-Options et combien le font correctement
Livre blanc | Rapport HP 2012 sur les cyber-risques
7 cvedetailscomcveCVE-2002-1217 8 httpsbugzillamozillaorgshow_bug
cgiid=154957
16
Collection de jeux deacutechantillons Dans le cadre de cette eacutetude le groupe HP Fortify Software Security Research a meneacute des recherches pour eacutevaluer agrave quel point les faibles pratiques de preacutevention des attaques XFS restent aujourdhui adopteacutees et font autoriteacute Nos reacutesultats soulignent eacutegalement la reacuteticence et le rythme dadoption tregraves lent dautres meacutethodes plus seacutecuriseacutees recommandeacutees par des speacutecialistes des navigateurs et des experts en seacutecuriteacute
Alexa9 fut utiliseacute pour renseigner une collection de 100 000 sites Web (les plus connus) et geacuteneacuterer une liste distribueacutee dans de nombreux secteurs diffeacuterents Une fois la liste de deacutepart creacuteeacutee avec ses 100 000 URL les demandes de niveau supeacuterieur furent assembleacutees en concateacutenant ldquohttprdquo dans lURL obtenue Par exemple
ldquohttprdquo + exemplecom = httpexemplecom
Ensuite la nouvelle URL composeacutee fut demandeacutee et la reacuteponse obtenue examineacutee de maniegravere passive agrave la recherche des eacuteleacutements suivants
bull La preacutesence dun en-tecircte X-Frame-Options et de ses valeurs respectives
bull La preacutesence dun champ de mot de passe dans la reacuteponse de la demande de niveau supeacuterieur Un champ de mot de passe est censeacute indiquer un niveau de sensibiliteacute qui doit ecirctre proteacutegeacute par lapplication
bull Si la preacutesence de len-tecircte neacutetait pas respecteacutee lURL cible eacutetait soumise agrave des tests suppleacutementaires afin de distinguer si une tentative de deacutejouer les attaques XFS avait eu lieu Le recours agrave la preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade a eacuteteacute enregistreacute pour une analyse ulteacuterieure
Reacutesultats90 des eacutechantillons analyseacutes nont jamais rien tenteacute pour se proteacuteger des attaques XFS De tous les domaines doteacutes dune protection active contre les attaques XFS 62 ont recours agrave des meacutecanismes de preacutevention faibles fondeacutes sur les scripts Sur les 100 000 domaines testeacutes 19 848 disposaient de champs de mot de passe dans la demande de niveau supeacuterieur avec seulement 101 domaines preacutecisant un en-tecircte X-Frame-Options Celasignifieque01 deseacutechantillonssontproteacutegeacutesDe plus plus de 99 des eacutechantillons oubliaient de speacutecifier un en-tecircte X-Frame-Options tandis que 19 dentre eux avaient une raison dinclure len-tecircte mais ne lont pas fait
Les reacutesultats montrent que soit les deacuteveloppeurs ne sont pas suffisamment informeacutes des risques que posent les vulneacuterabiliteacutes XFS soit ils ne souhaitent consacrer aucun effort agrave la protection de leurs visiteurs Si 2 307 eacutechantillons deacutevoilaient des protections contre les attaques XFS seulement 38 ont opteacute pour lutilisation de len-tecircte X-Frame-Options preacuteconiseacute 1 432 eacutechantillons ont montreacute quils employaient toujours des techniques de preacutevention et datteacutenuation fondeacutees sur JavaScript ou les feuilles de style en cascade qui se sont aveacutereacutees insuffisantes (voir la Figure 20)
Les 875 domaines fondeacutes sur len-tecircte X-Frame-Options affichaient la distribution de valeurs suivante
1 702 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur SAMEORIGIN
2 151 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur DENY
3 13 des 875 domaines eacutetaient deacutefinis avec lattribut Allow-from
4 8 des 875 valeurs fournies eacutetaient conformes agrave leacutebauche de lIETF10
Aucun des 13 domaines utilisant lattribut Allow-from ne preacutecisait un caractegravere geacuteneacuterique () reacuteduisant les risques lieacutes agrave une politique de libre accegraves La Figure 21 preacutesente ces valeurs sous forme de pourcentages
Livre blanc | Rapport HP 2012 sur les cyber-risques
9 httpsbugzillamozillaorgshow_bugcgiid=154957
10 httptoolsietforghtmldraft-ietf-websec-x-frame-options-01
Figure 20Preacutevention des risques lieacutes aux scripts sur plusieurs cadres
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade 62
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade
Options X-Frame 38
Options X-Frame
Figure 21Reacutepartition des valeurs den-tecircte X-Frame-Options fournies
REFUS 17 Allow-from
2 Autres (valeurs non en conformiteacute)1
MEcircME ORIGINE 80
17
Encadrementintersites conclusionIl est eacutevident que toutes les ressources nont pas besoin decirctre proteacutegeacutees contre les attaques XFS Cependant il demeure des situations ougrave la mise en place dune protection adeacutequate est justifieacutee et indispensable Une mesure employeacutee pour identifier ces cas au cours de cette eacutetude eacutetait la preacutesence dun champ de saisie de mot de passe dans un formulaire Les pages dauthentification sont les plus exposeacutees agrave une attaque de type clickjacking En se focalisant sur les pages munies de champs pour la saisie des mots de passe lanalyse tente deacutetablir un lien entre la sensibiliteacute dune ressource et les efforts investis pour la proteacuteger Une des statistiques les plus surprenantes dans lanalyse est que seulement 103 des 100 000 domaines proteacutegeaient comme il se doit les pages avec des champs de mots de passe confidentiels soit un taux exorbitant de 010 qui suggegravere que la puissance et lefficaciteacute de len-tecircte ont fait lobjet dune mauvaise promotion nont pas obtenu ladheacutesion des administrateurs des serveurs ou nont pas seacuteduit les deacuteveloppeurs
Il convient de souligner que si un peu plus de 80 des reacuteponses ne contenaient aucun champ de mot de passe cela ne veut pas dire pour autant quil ne faut pas proteacuteger le contenu Autrement dit leacutechantillon nincluait aucun champ de mot de passe dans la demande de niveau supeacuterieur Il est donc tregraves probable que beaucoup dautres sites sexposent agrave des risques en avanccedilant plus loin dans larborescence du site La mesure la plus importante agrave noter est le pourcentage remarquable de sites sans en-tecircte X-Frame-Options soit 99
Apregraves une analyse approfondie des reacutesultats des recherches speacutecialiseacutees consacreacutees aux attaques XFS la section qui suit se concentre agrave nouveau sur ce qui semble ecirctre le sujet de conversation le plus populaire en 2012 en matiegravere de seacutecuriteacute la seacutecuriteacute des applications mobiles
Seacutecuriteacutedesapplicationsmobiles
Dix secondes dans une file dattente nimporte ougrave suffisent pour se rendre compte que lutilisation dappareils mobiles a litteacuteralement exploseacute En fait pour la premiegravere fois 2012 est lanneacutee pendant laquelle le nombre de smartphones vendus a deacutepasseacute le nombre dordinateurs portables et dordinateurs de bureau agrave la fois11 Cette augmentation a eacuteteacute suivie aussi dune hausse proportionnelle des risques surtout au moment ougrave les entreprises essaient de mettre agrave profit les avantages quoffre la mobiliteacute Comme nous lavons vu plus haut lOSVDB a signaleacute une hausse de 68 du nombre de vulneacuterabiliteacutes signaleacutees pour les technologies mobiles depuis 2011 soit une augmentation de 787 sur les cinq derniegraveres anneacutees Lors de nos tests nous sommes toujours revenus au mecircme constat Si vous posseacutedez des donneacutees des attaquants chercheront agrave sen emparer
Pour eacutevaluer leacutetat actuel de la seacutecuriteacute des applications mobiles leacutequipe HP Fortify on Demand a rassembleacute les reacutesultats de plus de 70 applications mobiles agrave la recherche de failles de seacutecuriteacute Ce jeu deacutechantillons concernait plus de 50 organisations uniques et de nombreux secteurs au niveau local et international Il peut donc ecirctre consideacutereacute comme une repreacutesentation relativement preacutecise dune application mobile moyenne Les reacutesultats montrent que les vulneacuterabiliteacutes qui compromettent la seacutecuriteacute des applications mobiles sont les mecircmes que pour les applications classiques Ils montrent eacutegalement quun problegraveme surtout se distingue des autres Dans le paysage informatique actuel la fuite dinformation est un problegraveme particuliegraverement reacutepandu et neacutefaste La demande croissante dinformations des travailleurs mobiles allieacutee aux services de cloud de plus en plus omnipreacutesents et agrave une hausse des appareils grand public non geacutereacutes sur le reacuteseau dentreprise repreacutesente un deacutefi notable pour de nombreuses organisations
Fuite de donneacutees sensibles sur des canaux non seacutecuriseacutesLa fuite de donneacutees est un problegraveme de longue date pour les applications Web Si elle peut paraicirctre un problegraveme dampleur modeacutereacutee elle implique souvent une information en apparence inoffensive qui permet agrave un attaquant de renforcer sa strateacutegie dattaque pour mener une attaque plus dangereuse encore La mecircme chose vaut pour les applications mobiles Plus des trois quarts (77 ) des applications mobiles dans notre eacutetude eacutetaient vulneacuterables et en proie agrave des fuites dinformations Nous avons deacutecouvert que les donneacutees personnelles dun utilisateur eacutetaient souvent transmises via des protocoles reacuteseau non crypteacutes comme le protocole HTTP Il sagissait pour la plupart dinformations simples comme des noms des adresses et des numeacuteros de teacuteleacutephone Cependant dans notre jeu deacutechantillons ces donneacutees comprenaient eacutegalement lemplacement actuel de lutilisateur ainsi que lidentifiant unique de lappareil (eacutegalement appeleacute UDID)
Livre blanc | Rapport HP 2012 sur les cyber-risques
11 voiceswashingtonpostcomposttech201011smartphone_sales_to_pass_compuhtml
18
LUDID est primordial pour un appareil car il peut servir agrave des attaques extrecircmement cibleacutees contre des utilisateurs en particulier Si les donneacutees de geacuteolocalisation lidentifiant unique de lappareil et les donneacutees personnelles eacutetaient intercepteacutees sur une application vulneacuterable ce que cela implique dans la reacutealiteacute est eacutetonnant Un attaquant pourrait localiser une cible dans le monde reacuteel et les possibiliteacutes qui souvriraient alors agrave lui seraient illimiteacutees Cest la porte ouverte agrave un sceacutenario effroyable que la plupart des gens ne soupccedilonnent pas Bien entendu lexploitation dapplications simples et banales peut eacutegalement avoir lieu Imaginez le sceacutenario suivant Si lapplication transmet lUDID le nom complet ladresse et ainsi de suite agrave un service Web vulneacuterable et que ce dernier est la cible potentielle dune attaque par injection SQL on conccediloit aiseacutement que chaque bit de donneacutees sur cet appareil mobile soit accessible Il est eacutetonnant de voir jusquougrave une fuite dinformation peut mener un attaquant si les circonstances jouent en sa faveur et que tout alors est du domaine du probable voire du possible
Les donneacutees transmises sur des canaux non seacutecuriseacutes ne se limitaient pas aux donneacutees personnelles Les donneacutees applicatives elles non plus neacutetaient pas proteacutegeacutees Nous avons deacutecouvert que des informations de connexion des informations didentification utilisateur des ID de session des jetons et des donneacutees dentreprise sensibles eacutetaient transmises via des protocoles reacuteseau non crypteacutes agrave linstar du protocole HTTP Imaginez les conseacutequences pour une application bancaire vulneacuterable Si des informations didentification des identificateurs de session des informations didentification personnelle ou dautres donneacutees strateacutegiques sont transmises vers un serveur principal la transmission se doit decirctre seacutecuriseacutee sans quoi les donneacutees peuvent ecirctre intercepteacutees par un attaquant au moyen doutils ou dapplications de capture de paquets reacuteseau courants (par exemple DroidSheep)
Les recherches ont montreacute que 375 des applications pouvaient ecirctre la cible dune vulneacuterabiliteacute impliquant une forme quelconque dautorisation notamment des mots de passe en texte clair des mots de passe codeacutes en dur et des mots de passe inteacutegreacutes agrave la reacuteponse Ce pourcentage bien plus eacuteleveacute que pour les applications dites traditionnelles prouve eacutegalement que les deacuteveloppeurs dapplications mobiles doivent travailler davantage pour proteacuteger leurs donneacutees
Dautres vulneacuterabiliteacutes deacutetecteacutees en nombres importants incluaient les attaques de type stack-smashing Plus de la moitieacute des vulneacuterabiliteacutes (5545 ) noffraient aucune protection adeacutequate contre ce type dattaque Si cet oubli nentraicircne pas lexeacutecution du code il peut quand mecircme geacuteneacuterer une panne injustifieacutee de lapplication vulneacuterable
Qui plus est 135 des applications eacutetaient vulneacuterables agrave des attaques XSS Ceci fut une reacuteelle surprise puisque tous les autres ensembles dapplications que nous avons testeacutes mobiles et traditionnels reacuteveacutelaient des nombres de vulneacuterabiliteacutes XSS plus eacuteleveacutes Un examen plus attentif de ces nombres a montreacute que les applications vulneacuterables eacutetaient des applications destineacutees autant agrave la gestion de la finance que des bases de donneacutees En dautres termes le faible pourcentage ne reacuteduisait pas limpact potentiel
Les accegraves non autoriseacutes concernent quasiment la moitieacute des applications mobilesNous avons chercheacute dautres donneacutees en examinant les reacutesultats obtenus par notre partenaire Security Compass lors de ses tests sur dautres applications A de nombreux eacutegards ils confirment les chiffres eacutevoqueacutes preacuteceacutedemment
48 des applications eacutetaient la proie de vulneacuterabiliteacutes daccegraves non autoriseacute Elles valident les vulneacuterabiliteacutes dauthentification (375 ) que nous avons eacutevoqueacutees dans notre eacutechantillon plus haut Les chiffres montrent que les deacuteveloppeurs dapplications mobiles doivent autant se concentrer sur la preacutevention des accegraves non autoriseacutes sur les applications mobiles que sur les moyens de faciliter laccegraves pour les utilisateurs leacutegitimes
37 des applications posaient des problegravemes de divulgation dinformations sensibles 26 avaient recours agrave des pratiques de connexion meacutediocres et 19 affichaient des messages derreur de mauvaise qualiteacute qui reacuteveacutelaient des informations susceptibles decirctre exploiteacutees par des attaquants Ceci corrobore nos donneacutees preacuteceacutedentes car nous avons vu agrave quel point les fuites dinformations eacutetaient importantes Lors du codage des applications mobiles les deacuteveloppeurs ne tiennent pas compte de ce quimplique la seacutecuriteacute pour le stockage la transmission et laccegraves des donneacutees
33 des applications eacutetaient vulneacuterables agrave des attaques XSS Des tests reacutepeacutetitifs montrent que les attaques par script intersite (XSS) sont autant une menace pour les applications mobiles que pour les applications stationnaires Ces reacutesultats sont en phase avec ce que nous avons constateacute lors des tests des applications traditionnelles
Livre blanc | Rapport HP 2012 sur les cyber-risques
19
26 des applications employaient une meacutethode de cryptage inadapteacutee Le cryptage sur des ordinateurs dentreprise est aujourdhui une pratique standard pour la plupart des entreprises du classement Fortune 500 Il y a dix ans la presse regorgeait dhistoires de donneacutees deacuterobeacutees sur des ordinateurs perdus Les risques dans ce domaine se sont reacuteduits dune part gracircce aux mesures leacutegislatives mises en places et dautre part parce que les entreprises ont eu loccasion de lapprendre agrave leurs deacutepens Pourtant ces mecircmes pratiques standard ne sont pas appliqueacutees aux appareils mobiles et agrave legravere du BYOD (Bring your own device) cela peut saveacuterer dangereux
Les dix principales vulneacuterabiliteacutes des applications mobiles Le partenaire dHP Security Compass a eacutegalement analyseacute les vulneacuterabiliteacutes des applications mobiles et les a eacutetiqueteacutees par type (voir la Figure 22) Ainsi donc agrave quoi les applications moyennes sont-elles le plus vulneacuterables par ordre de preacutevalence des vulneacuterabiliteacutes A quels types dattaques par incident les applications mobiles sont-elles le plus vulneacuterables
Sur les dix principales vulneacuterabiliteacutes constateacutees en matiegravere dapplications mobiles XSS affichait le deuxiegraveme taux le plus eacuteleveacute et repreacutesentait 15 de toutes les vulneacuterabiliteacutes deacutecouvertes dans ce jeu deacutechantillons Les chiffres confirment eacutegalement que lorsquelles sont consigneacutees par ordre doccurrence les vulneacuterabiliteacutes de fuite dinformation et daccegraves non autoriseacuteauthentification indiquent aux deacuteveloppeurs dapplications mobiles comment ils peuvent mieux seacutecuriser leurs applications en concentrant davantage leurs efforts sur ces domaines
Rechercheentechnologiemobile lacommunicationenchampproche (NFC)pourlesapplicationsmobilesdepaiementNous avons constateacute que les vulneacuterabiliteacutes lieacutees aux applications mobiles eacutetaient en hausse constante mais il est indispensable eacutegalement danticiper et de connaicirctre les nouvelles vulneacuterabiliteacutes qui verront le jour Les nouvelles technologies introduisent en permanence des failles de seacutecuriteacute possibles La plate-forme mobile ne fait pas exception Lune de ces nouvelles technologies est la communication en champ proche (NFC) La communication en champ proche (NFC) deacutesigne une meacutethode de communication de donneacutees sans contact entre des appareils proches les uns des autres Elle a deacutejagrave eacuteteacute adopteacutee en Europe et en Asie et fait depuis peu des adeptes en Ameacuterique du Nord Le Forum NFC (consortium regroupant plusieurs membres tels que Sony Nokia et Philips) applique des normes strictes pour les fabricants dappareils compatibles NFC Les eacutediteurs dapplications disposent ainsi dune architecture seacutecuriseacutee et dune infrastructure compatible qui leur permettent dexploiter cette technologie pour des applications de paiement mobiles et le partage de donneacutees (par exemple leacutechange de devises entre homologues)
Il existe actuellement plusieurs smartphones compatibles NFC Cest le cas du Googletrade Nexus 5 du Samsung Galaxy S II et des BlackBerry Bold 9900 et 9930 Plusieurs socieacuteteacutes exploitent aujourdhui cette technologie
bull Google Wallet conteneur seacutecuriseacute pour les informations de carte de creacutedit qui facilite les transactions NFC
bull MasterCard PayPass service de paiement sans contact (actuellement pris en charge dans Google Wallet)
bull Visa payWave service de paiement sans contact
bull PayPal meacutethode bump (application Bump) pour le transfert dargent ou la reacutealisation de paiements entre utilisateurs
bull Apple iPhone prise en charge de la NFC attendue dans une prochaine version (non confirmeacutee)12
Problegravemes de seacutecuriteacutePlusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (donneacutees de carte de creacutedit ou numeacuteros de comptes) sont transmises via un canal NFC sur un appareil mobile Voici des exemples de cas reacuteels constateacutes reacutecemment dans le domaine de la seacutecuriteacute
Cas 1La technologie NFC est employeacutee dans le cadre de solutions de paiement grand public avec deux modes de mise en œuvre distincts
bull Puce NFC dans des cartes de creacutedit grand public telles que MasterCard PayPass et Visa payWave
bull NFC utiliseacutee dans des solutions de portefeuille mobile
Livre blanc | Rapport HP 2012 sur les cyber-risques
12 Il existe actuellement des eacutediteurs agrave linstar de DeviceFidelity qui proposent des composants tiers qui reproduisent la prise en charge de la communication en champ proche (NFC) pour les appareils iPhone
Figure 22Preacutevalence des dix principales vulneacuterabiliteacutes (en pourcentage)
Accegraves non autoriseacute 18
Scripts intersites 15
Divulgation dinformations sensibles 12
Traitementnon seacutecuriseacute des sessions 11
Vulneacuterabiliteacutes du traitement des cookies 9
Meacutethode de cryptage inadapteacutee 9
Pratiques de connexion meacutediocres 8
Saisie semi-automatique sur des formulaires agrave donneacutees sensibles 6
Informations didentificationen texte clair 6
Messages derreur de mauvaise qualiteacute 6
20
Le deacutefi du premier mode de mise en œuvre est double le premier est que pour la plupart des eacutemetteurs de cartes de creacutedit linstallation de la puce NFC est obligatoire le deuxiegraveme est que par deacutefinition la puce NFC est toujours activeacutee Par exemple si la carte de creacutedit dun utilisateur est dans le champ dun lecteur NFS actif comme celui que lon rencontre dans un terminal de point de vente la carte de creacutedit transmet automatiquement le numeacutero de carte de creacutedit de lutilisateur au lecteur NFS de reacuteception A preacutesent imaginez le sceacutenario pour les appareils mobiles les plus modernes eacutequipeacutes de puces NFS inteacutegreacutees Dans le monde dAndroid il existe des applications conccedilues pour activer la puce NFC de lappareil mobile pour reproduire le comportement du lecteur NFS dun terminal de point de vente A laide dun appareil mobile ou dune application de ce genre un attaquant peut potentiellement activer la puce NFC de son appareil Android croiser des gens dans un endroit peupleacute et tenter danalyser leurs cartes de creacutedit pour recueillir leur numeacutero de compte permanent (PAN)
Les solutions de portefeuille mobile NFC sont souvent vulneacuterables agrave ce mecircme type dattaque si la solution concerneacutee ne deacutesactive pas ou ne retire pas la puce NFC une fois lexeacutecution dune transaction termineacutee Heureusement cette vulneacuterabiliteacute peut facilement ecirctre reacutesolue par des deacuteveloppeurs de solutions de portefeuille mobile sils retirent la puce NFC apregraves usage
Cas 2Plusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (par exemple des donneacutees de carte de creacutedit ou des numeacuteros de comptes) sont transmises via un canal NFC
bull Ecoute tentative dintercepter la communication des donneacutees de transmission NFC (par exemple proxy NFC)
bull Manipulation des donneacutees tentative de manipuler la communication des donneacutees de transmission NFC (par exemple pour identifier des reacutesultats erroneacutes)
bull Attaques par interception tentative dexploitation des modes actifpassif de lappareil pour envoyer et recevoir la communication des donneacutees de transmission NFC
bull Vol tentative dacceacuteder sans autorisation agrave lapplication de paiement mobile (comme si lappareil a eacuteteacute voleacute ou perdu) et examen des fichiers stockeacutes sur lappareil agrave la recherche dinformations sensibles
Cas 3Au cœur mecircme de la fonction NFC se trouve un composant appeleacute eacuteleacutement seacutecuriseacute Deux types de mise en œuvre de cet eacuteleacutement sont possibles (1) les eacuteleacutements incorporeacutes dans lappareil et (2) les eacuteleacutements chargeacutes dans une carte SIM Dans les cas ougrave leacuteleacutement seacutecuriseacute est chargeacute dans une carte SIM il est possible que la carte SIM soit retireacutee et eacutechangeacutee sous les yeux dun utilisateur creacutedule Cette situation aboutit agrave des sceacutenarios dattaque semblables aux suivants
bull Echange de carte SIM avec un autre appareil (du mecircme type) pour tenter dacceacuteder au contenu de leacuteleacutement seacutecuriseacute Dans certains cas lutilisation dun appareil de type diffeacuterent peut offrir un accegraves suppleacutementaire aux informations de leacuteleacutement seacutecuriseacute sil nest pas mis en œuvre de maniegravere seacutecuriseacutee Par exemple il existe un risque de contournement de lapplication de paiement ou de la protection du mot de passe au niveau du teacuteleacutephone en cas deacutechange de carte SIM dans un teacuteleacutephone eacutequivalent avec lapplication de paiement et sans mot de passe
bull Identification des donneacutees contenant des informations sensibles dans leacuteleacutement seacutecuriseacute situeacute dans la carte SIM apregraves une opeacuteration de restauration sur un autre appareil Il peut sagir aussi dattaques visant agrave cloner ou copier la carte SIM au moyen dun mateacuteriel externe
Notez que la difficulteacute daccegraves agrave leacuteleacutement seacutecuriseacute offre une certaine garantie sur lenvironnement de seacutecuriteacute de leacuteleacutement seacutecuriseacute sur lappareil cible
Cas 4Dans certains cas il est possible que limpleacutementation de lapplet VMPA dans leacuteleacutement seacutecuriseacute nait pas tenu compte de tous les eacuteleacutements de seacutecuriteacute Il peut sagir par exemple dune signature et dun controcircle daccegraves insuffisants de lapplet VMPA qui permettent agrave une application quelconque de deacutemarrer et dy soumettre des requecirctes Cette situation peut offrir agrave une application non autoriseacutee la possibiliteacute dappeler lapplet VMPA via la commande APDU (JSR 177) Une requecircte bien formuleacutee peut potentiellement permettre dactiver la radio NFC et de transmettre des informations de carte de creacutedit
Livre blanc | Rapport HP 2012 sur les cyber-risques
21
Bien que des informations et une analyse exactes peuvent ecirctre obtenues agrave partir dun appareil dinvestigation (si un accegraves agrave ce type de mateacuteriel est disponible) il nexiste pour lheure aucun outil autorisant laccegraves agrave des informations de leacuteleacutement seacutecuriseacute Leacuteleacutement seacutecuriseacute comme son nom lindique fournit des meacutecanismes de seacutecuriteacute preacutecis (par exemple controcircle daccegraves cryptage et reacutepartition) qui empecircchent lextraction dinformations sensibles eacuteventuelles Cest pourquoi un accegraves dinvestigation explicite agrave leacuteleacutement seacutecuriseacute nest actuellement pas possible mecircme avec un outil dinvestigation distribueacute par les leaders du marcheacute
RecommandationsIl existe des mesures que les organisations peuvent prendre pour reacuteduire les risques que posent les failles de seacutecuriteacute des applications mobiles Avant tout les applications doivent ecirctre manuellement controcircleacutees et eacutevalueacutees avant le lancement des produits afin de deacuteterminer la preacutesence de vulneacuterabiliteacutes dinjection ou de vulneacuterabiliteacutes de fuite dinformation Le code doit ecirctre analyseacute via une analyse statique au moment de le deacutevelopper pour y rechercher des failles Comme pour toutes les applications il est moins coucircteux de geacuterer des failles de seacutecuriteacute lors de la phase de deacuteveloppement quau moment de leur diffusion
Les normes de transmission seacutecuriseacutee des donneacutees doivent ecirctre incluses dans le cahier des charges de toutes les applications surtout si ces derniegraveres sont eacutelaboreacutees par des deacuteveloppeurs tiers Il en va de mecircme pour le stockage seacutecuriseacute des donneacutees et le journal des applications Des exigences raisonnables en matiegravere daffichage des communications entre applications et dautorisations dans ces derniegraveres doivent ecirctre rigoureusement deacutefinies Tous ces aspects doivent ecirctre geacutereacutes lors de la phase de deacutefinition des exigences et testeacutes lors du deacuteveloppement Au moment dexeacutecuter les tests de seacutecuriteacute et lanalyse sur les applications mobiles les services Web cocircteacute serveur et les API avec lesquels les clients mobiles communiquent doivent ecirctre pris dans leur contexte et analyseacutes pour y deacuteceler des vulneacuterabiliteacutes Des failles agrave haut risque peuvent passer agrave la trappe si ces deux eacuteleacutements sont testeacutes et compareacutes hors de leur contexte
Conclusions
Lobjectif de ce rapport est de fournir aux organisations toutes les informations de seacutecuriteacute qui les aideront agrave mieux comprendre comment deacuteployer les ressources limiteacutees dont elles disposent pour minimiser au maximum leurs risques en matiegravere de seacutecuriteacute A cet effet les tendances et les enseignements agrave tirer de lanneacutee 2012 sont nombreux et doivent ecirctre pris en compte pour la ou mecircme les anneacutees qui viennent
Militarisation des vulneacuterabiliteacutes Les attaquants ne cesseront jamais de militariser les vulneacuterabiliteacutes pour mener agrave bien leurs activiteacutes malveillantes Ceux qui eacutelaborent les kits dexploitation continueront de se focaliser sur des vulneacuterabiliteacutes dans les logiciels les plus reacutepandus ciblant le plus souvent des navigateurs et des plug-ins de navigateur tels que Oracle Java et Adobereg Flash De mecircme le nombre dattaques meneacutees publiquement agrave lencontre de technologies et dentreprises speacutecifiques continuera daugmenter Des organisations criminelles des Etats-nations et des hacktivistes se serviront toujours des cyber-attaques comme moyen duniformiser les regravegles du jeu contre des adversaires riches ou puissants mecircme si les reacuteelles motivations derriegravere ces attaques resteront souvent difficiles agrave deacuteterminer
Vulneacuterabiliteacutes des technologies mobilesLadoption croissante des technologies mobiles et leur utilisation au sein de lentreprise engendreront toujours des risques consideacuterables Nombre de gens lont deacutejagrave constateacute les programmes malveillants deacuteployeacutes sur les marcheacutes qui opposent Android et Apple poursuivent leur croissance Laggravation de ce problegraveme est essentiellement lieacutee au fait que les entreprises ne disposent pas du mecircme type de controcircle sur ces appareils que sur des PC Au moment ougrave le BYOD (Bring your own device) devient la norme et que ladoption des appareils mobiles prend de lampleur on peut sattendre agrave une hausse proportionnelle du nombre de failles chez les applications mobiles tendance qui devrait se maintenir dans un avenir preacutevisible
Livre blanc | Rapport HP 2012 sur les cyber-risques
22
DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables
Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications
Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables
Pourensavoirplusconsultezlapage Web hpcomgoSIRM
Livre blanc | Rapport HP 2012 sur les cyber-risques
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013
11
Un autre eacuteleacutement agrave retenir est que la vulneacuterabiliteacute la plus employeacutee par des attaquants en relation avec dautres vulneacuterabiliteacutes connues est la fuite dinformation Un eacuteleacutement dinformation preacutecis peut sembler sans inteacuterecirct mais peut pourtant ecirctre le composant cleacute qui permettra agrave un attaquant dimposer une technique pour mener une attaque plus deacutevastatrice encore En somme pour preacuteparer et reacuteussir une attaque des techniques minutieuses de collecte des informations et de reconnaissance sont indispensables
Risquesdesapplications Web eacutetudedecas
ProfildelasocieacuteteacuteGrande entreprise multinationale (plus de 100 000 employeacutes) avec un chiffre daffaires de plus de 82 milliards de dollars pour lexercice fiscal 2012
Cette entreprise dispose dun programme de seacutecuriteacute actif et opeacuterationnel Les reacutesultats montrent les efforts qui sont neacutecessaires pour geacuterer entiegraverement les risques lieacutes agrave la seacutecuriteacute des applications Les reacutesultats qui suivent proviennent de plus de 1 300 eacutevaluations dynamiques uniques meneacutees sur les divers sites de lentreprise Dans legravere de la seacutecuriteacute des applications modernes une vulneacuterabiliteacute est souvent une de trop
Reacutesultats
bull 541 des eacutevaluations ont reacuteveacuteleacute des cookies persistants LAgence europeacuteenne chargeacutee de la seacutecuriteacute des reacuteseaux et de linformation (ENISA) emploie le terme cookies doux-amers pour parler de ces cookies Les cookies persistants augmentent consideacuterablement la probabiliteacute dattaques par relecture en raison de la dureacutee de validiteacute prolongeacutee des cookies La divulgation dinformations sur des ordinateurs publics partageacutes peut eacutegalement produire des cookies persistants Parce que les cookies servent entre autres agrave observer le comportement des utilisateurs il est probable que les avantages potentiels quils preacutesentent pour lentreprise aient quelque peu relayeacute les questions de seacutecuriteacute au second plan
bull Un peu moins de la moitieacute (4832 ) des sites eacutetaient vulneacuterables face agrave une certaine forme dattaque par script intersite
bull Presque un cinquiegraveme (1957 ) des sites contenaient un formulaire de connexion non crypteacute agrave scheacutema mixte ougrave les informations dune page HTTP eacutetaient publieacutees dans une page HTTPS ou inversement
bull 1277 des eacutevaluations eacutetaient vulneacuterables agrave une certaine forme dinjection SQL Le plus intrigant cest que 1097 des eacutevaluations confirmaient les vulneacuterabiliteacutes dinjection SQL agrave laveugle Si lon tient compte du caractegravere particuliegraverement dangereux des injections SQL agrave laveugle et du fait que ces vulneacuterabiliteacutes sont souvent employeacutees pour compromettre un systegraveme ce pourcentage pose de graves problegravemes
bull Un autre cinquiegraveme (197 ) des sites eacutetaient vulneacuterables aux connexions transmises via une connexion non crypteacutee ce qui signifie que le formulaire nutilisait pas le protocole SSL
bull 526 des sites eacutetaient exposeacutes agrave une vulneacuterabiliteacute de lectureinclusion de fichier local Sil eacutetait jugeacute sensible le contenu du fichier pouvait ecirctre utiliseacute pour prendre le controcircle du systegraveme
Des attaques deacutevastatricesOutre des statistiques les organismes chargeacutes de collecter des informations de seacutecuriteacute ont eacutegalement besoin dobservations et dideacutees Dans cette optique la section qui suit propose une liste sommaire des attaques deacutevastatrices que les responsables des tests de peacuteneacutetration chez HP Fortify on Demand ont deacutecouvertes en 2012 Chaque compte a eacuteteacute deacutecouvert moyennant autorisation au cours dopeacuterations approuveacutees meneacutees agrave lencontre de sites de production avec des difficulteacutes techniques allant des plus simples aux plus complexes Le deacutenominateur commun est que toutes les attaques avaient des conseacutequences extrecircmement graves si elles eacutetaient deacutecouvertes par un attaquant malveillant Pour des raisons eacutevidentes les noms des clients nont pas eacuteteacute inclus mais les secteurs eux-mecircmes sont inseacutereacutes dans la liste pour illustrer le danger potentiel et la pertinence des attaques Si ces exemples revecirctent un caractegravere anecdotique par deacutefinition ils profitent de lexpeacuterience et des avis de nos responsables de tests de peacuteneacutetration dune maniegravere que les simples statistiques ne permettent pas Lagrave encore la seacutecuriteacute est plus quune affaire de produits Cest un processus
Attaques par injection et attaques par validation dentreacutee incorrecte Secteurs dactiviteacute peacutetrochimie industrie alimentaire eacutenergie et logicielsTeacuteleacutechargementsdefichiersnonseacutecuriseacutesetconfigurationincorrectedelaseacutecuriteacute Un programme client lourd permettait agrave nimporte quel utilisateur de charger (au moyen de sa fonction de chargement intrinsegraveque) des programmes malveillants sur un serveur Web muni daucune protection contre ce type de programme Environ 30 000 utilisateurs dans le monde entier se servaient de ce programme les risques eacutetaient donc particuliegraverement grands Les fonctions de teacuteleacutechargement de fichiers doivent impeacuterativement faire preuve de meacutefiance agrave leacutegard des types de fichiers acceptables La Figure 11 deacutecrit les conseacutequences de ce sceacutenario
Livre blanc | Rapport HP 2012 sur les cyber-risques
12
Figure 11 Lautorisation de teacuteleacutechargements de fichiers peut avoir des conseacutequences seacutevegraveres
Teacuteleacutechargementsde fichiers
non valideacutes
Aucuneprotectionpar logiciel
anti-programmemalveillant
30 000utilisateurs
sont infecteacutes parle logiciel
malveillant
Injection SQLagravelaveugle les fonctionnaliteacutes daide agrave la recherche (une seacuterie de cases agrave cocher conccedilues pour aider les utilisateurs agrave restreindre leurs critegraveres de recherche) sans validation dentreacutee ont abouti agrave laffichage de 35 bases de donneacutees dID dutilisateur de systegraveme de base de donneacutees et de hachages de mot de passe y compris le compte dadministrateur systegraveme Linjection SQL agrave laveugle peut ecirctre difficile agrave deacuteceler parce quelle geacutenegravere rarement des messages derreur et manifeste un comportement applicatif anormal Les requecirctes parameacutetrables eacutegalement appeleacutees instructions preacutepareacutees empecircchent avec efficaciteacute les attaques par injection SQL si elles ont correctement mises en place5 La Figure 12 deacutecrit cette seacutequence
Instructions SQLentexteclair lors des tests effectueacutes sur une application cliente lourde il a eacuteteacute deacutecouvert que le client exeacutecutait des instructions SQL directement sur le serveur SQL principal avec des autorisations de niveau administrateur sur HTTP Une escalade des privilegraveges utilisateur et la modification des mots de passe furent possibles en soumettant le protocole agrave une ingeacutenierie agrave rebours et en le manipulant (voir la Figure 13)
Inclusiondefichierlocal des techniques de traversement de reacutepertoires (Directory Traversal) et dinclusion de fichier local ont eacuteteacute employeacutees pour afficher le contenu du fichier SAM (Gestionnaire de comptes de seacutecuriteacute) de sauvegarde du serveur Web qui permettait de deacutecoder les mots de passe Au bout de dix minutes il eacutetait possible pour un administrateur local dacceacuteder au systegraveme et de tout compromettre Les routines de validation dentreacutee quelles soient inheacuterentes agrave lapplication ou interviennent au niveau de configuration du serveur Web auraient eacutelimineacute ce vecteur
AttaquesvisantagraveexploiterunemauvaiseconfigurationdeseacutecuriteacuteSecteurs dactiviteacute peacutetrochimie et secteur bancaire internationalImpossibiliteacutederestreindrelaccegravesauxreacutepertoiressensibles dans ce cas le reacutepertoire deacutecouvert eacutetait ldquohttpswwwexamplecompasswordsrdquo Naturellement aucun dossier ldquopasswordsrdquo tout du moins public ne devrait exister Le dossier eacutetait accessible via des navigateurs Web sans aucune authentification et comprenait une liste de reacutepertoires avec des fichiers texte aux noms divers tels que ldquopasswordsprojectrdquo ou mecircme ldquopasswordssystemsrdquo Un simple clic sur un fichier provoquait louverture dun document texte muni dune liste dutilisateurs et de mots de passe au format suivant userpassword Une des listes contenait mecircme ldquosysadminpassword adminpassword etchelliprdquo (voir la Figure 14) Ceci illustre la neacutecessiteacute et limportance de la validation danalyse post-automatique puisque cette vulneacuterabiliteacute qui pose de faibles risques en apparence pouvait aiseacutement passer inaperccedilu aux yeux du client Qui plus est le problegraveme aurait pu ecirctre eacuteviteacute si laccegraves au reacutepertoire avait eacuteteacute restreint comme il le fallait
Leprotocole WebDAVactiveacuteautorisaitlesopeacuterationsdeacutecritureagravedistance Le mode dactivation du protocole WebDAV sur un serveur Web en particulier permettait agrave des utilisateurs dapplications distants de communiquer avec lhocircte et deacutecrire des fichiers dans des reacutepertoires arbitraires Lexploitation de cette vulneacuterabiliteacute permettait de teacuteleacutecharger une porte deacuterobeacutee personnaliseacutee puis de lexeacutecuter en parcourant le chemin daccegraves agrave lURL du fichier reacutecemment transfeacutereacute Une fois exeacutecuteacutee elle offrait la possibiliteacute de controcircler entiegraverement le serveur Web En preacutevoyant de plus amples tests la personne chargeacutee de ces tests pouvait librement poursuivre une attaque contre dautres hocirctes sur le reacuteseau interne de lentreprise processus appeleacute glissement (pivoting) La suppression de laccegraves WebDAV et de meacutethodes HTTP exteacuterieures aurait pu eacuteviter cette attaque
Injection SQLetcommandesdevalidationdentreacuteefaibles Un filtre SQL filtrait tout agrave lexception de lopeacuterateur ldquoORrdquo Cela signifie essentiellement quapregraves insertion de lopeacuterateur ldquoORrdquo dans une instruction SQL chaque commande serait exeacutecuteacutee sur le systegraveme Le parameacutetrage des requecirctes empecircchera les attaques par injection SQL La Figure 15 deacutecrit le deacuteroulement seacutequentiel dune attaque par injection SQL
Livre blanc | Rapport HP 2012 sur les cyber-risques
5 httpswwwowasporgindexphpSQL_Injection_Prevention_Cheat_Sheet
Figure 12 Injection SQL agrave laveugle
Injection SQLagrave laveugle
Voldinformationsutilisateur
Accegraves agraveladministrationsystegraveme
Figure 13 Instructions SQL en texte clair
Protocoledingeacutenierie clientserveur agrave rebours
Exeacutecution SQL
Reacuteinitialisation dumot de passe avec
des privilegravegesplus eacuteleveacutes
Figure 14 Restriction daccegraves impossible
Accegraves au reacutepertoire non restreint
passwrdsprojectuserpassword sysadminmot de passe
passwordssystems fichier
httpswwwexamplecompasswords reacutepertoire
13
Figure 15 Anatomie dune attaque par injection SQL
Site bancaireBase de donneacutees
de la banque
1=1
Attaquant malveillant
1 Lattaquant envoie des informations suppleacutementaires telles quun guillemet ou 1=1 avec des informations de connexion ou inclure des variablespour modifier linstruction SQL originale
3 Une fois que le scheacutema de base de donneacutees a eacuteteacute deacutefini lattaquant peut extraire les donneacutees contenues dans la base de donneacutees notamment les noms dutilisateur les mots de passes les informations de carte de creacutedit etc
2 Avec lapproche par essais et erreurs lattaquant peut construire des arguments SQL pouvant ecirctre utiliseacutes pour reacutecupeacuterer des donneacutees telles que des noms de tableaux ou des noms delignes etc
Mauvaiseconfiguration SAP Linteacutegraliteacute de la base de donneacutees des cartes de creacutedit eacutetait accessible et eacutetait transfeacutereacutee dans un fichier Les commandes configureacutees dans la structure SAP mise en place eacutetaient de qualiteacute meacutediocre et permettaient agrave des repreacutesentants du service clientegravele dexeacutecuter des transactions agrave caractegravere sensible y compris le navigateur de donneacutees HR (SE16) Cette fonction eacutetait exploiteacutee pour parcourir et charger le contenu tout entier de la table des donneacutees des cartes de creacutedit des clients Accessibles de cette maniegravere toutes les donneacutees pouvaient aiseacutement ecirctre exporteacutees agrave laide de comptes SAP avec des privilegraveges moindres
AttaquesparauthentificationparsessionlogiqueetautresattaquesSecteurs dactiviteacute compagnies aeacuteriennes secteur bancaire international et eacutenergieListedebilletsdavionviadesservices Webdecreacuteationdecodes QRmobiles Les testeurs eacutetaient capables de reconstituer agrave rebours une partie de la fonction des services Web pour creacuteer des numeacuteros de billets De faux codes QR de billets davion eacutetaient ainsi geacuteneacutereacutes pour des vols aeacuteriens Il est tout est fait possible que lexploitation de cette fonction ait permis aux attaquants de voler gratuitement En labsence de controcircles preacuteventifs efficaces ils pouvaient senregistrer librement par le biais de leurs appareils mobiles Le recours agrave une fonction de controcircle aleacuteatoire standard des numeacuteros de billets aurait pu eacutegalement eacuteviter ce problegraveme
Figure 16 Creacuteation de mots de passe dynamiques agrave cryptage facilement reacuteversible
AttaqueSQL
Servicedauthen-tification
Web
Capturedu trafic chiffreacute
Deacutesactivationdu chiffrement
du mot depasse
Randomisationdes mots de
passeinsuffisante
Accegravesadministrateur
agrave la basede donneacutees
Deacutesactivation du chiffrement -mot de passe devinable
Accegraves complet agrave labase de donneacutees avec des
autorisations dadministrateur
Livre blanc | Rapport HP 2012 sur les cyber-risques
14
Creacuteationdemotsdepassedynamiquesagravecryptagefacilementreacuteversible lapplication cliente lourde testeacutee communiquait avec un service Web qui se chargeait dabord dauthentifier lutilisateur qui tentait de se connecter Ensuite lapplication demandait le mot de passe au serveur de base de donneacutees principal Au deacutepart le mot de passe eacutetait crypteacute pour la transmission mais simultaneacutement lors dune autre attaque SQL un indicateur de la base de donneacutees a eacuteteacute renverseacute deacutesactivant et annulant ainsi les effets du cryptage Il sest aveacutereacute que le systegraveme mettait en place des mots de passe dynamiques qui changeaient freacutequemment cependant apregraves regroupement des nombreux mots de passe un scheacutema eacutevident est apparu Le mot de passe suivait une chronologie et eacutetait donc facile agrave deviner Un accegraves direct agrave la base de donneacutees avec des autorisations administratives fut confirmeacute et compromit entiegraverement le systegraveme (voir la Figure 16)
Leservice Webautorisaitdesrequecirctes SQLdirectes une application autorisait des connexions agrave sa base de donneacutees principale via un interpreacuteteur Web accessible sur Internet sans authentification Avec des connaissances limiteacutees en SQL un attaquant pouvait aiseacutement extraire toutes les donneacutees enregistreacutees dans la base de donneacutees cliente y compris les deacutetails complets des comptes des utilisateurs noms dutilisateurs mots de passe adresses de messagerie et autres informations didentification personnelle
En partageant les reacutesultats de ces tests de peacuteneacutetration en conditions reacuteelles notre but est dattirer lattention sur la creacuteativiteacute sans bornes et la deacutetermination sans fin des attaquants malveillants Les testeurs de peacuteneacutetration cherchent agrave reproduire ces techniques pour tenter deacutevaluer avec efficaciteacute chaque commande de seacutecuriteacute et sassurer que les donneacutees sensibles et les fonctions applicatives sont proteacutegeacutees Comme le prouvent ces reacutesultats les tests de seacutecuriteacute automatiseacutes seuls ne mesurent pas inteacutegralement la politique globale dun environnement en matiegravere de seacutecuriteacute et doivent ecirctre compleacuteteacutes par une analyse manuelle
Dans la section suivante les chercheurs HP en seacutecuriteacute de logiciels cherchent agrave mettre agrave jour une vulneacuterabiliteacute cruciale souvent utiliseacutee conjointement avec les nombreuses attaques et techniques mentionneacutees plus haut et pour lesquelles une strateacutegie de preacutevention efficace reste globalement agrave mettre en place
En-tecircteX-Frame-Options eacutechecdelancementPour illustrer la nature toujours changeante de la seacutecuriteacute des applications Web les speacutecialistes du groupe HP Software Security Research ont examineacute une vulneacuterabiliteacute deacutejagrave reconnue et officiellement appeleacute script sur plusieurs cadres ou XFS XFS est un outil indispensable pour tout attaquant qui tente deacutelaborer une attaque de hameccedilonnage (phishing) ou dingeacutenierie sociale dans le but de charger un site Web vulneacuterable dans une balise iFrame HTML sur une page malveillante controcircleacutee par un attaquant Ce dernier peut alors extraire des eacuteveacutenements (des seacutequences de touches par exemple) appeleacutes par un utilisateur quelconque sur le site Web cibleacute
Les vulneacuterabiliteacutes XFS ouvrent eacutegalement la voie aux attaques de type clickjacking6 qui trompent les utilisateurs en les incitant agrave cliquer sur des eacuteleacutements preacutecis sur le site Web cibleacute chargeacute agrave linteacuterieur dune balise iFrame invisible Souvent ces reacutesultats aboutissent sur des actions non voulues voire privileacutegieacutees Depuis des anneacutees les chercheurs mettent en garde contre linefficaciteacute des protections par code frame-busting baseacute sur des scripts dans la preacutevention des menaces du XFS Pourtant les deacuteveloppeurs et les administrateurs de serveur qui les assistent ont toujours uniquement recours au meacutecanisme JavaScript (Figure 17) pour deacutetecter des attaques XFS
Les diverses meacutethodes de preacutevention contre XFS se sont maintes fois montreacutees incomplegravetes ou inefficaces Le plus reacutepandu de ces modes de preacutevention est la logique de frame-busting (destruction) de JavaScript ou plus preacuteciseacutement un script cocircteacute client qui ressemble agrave celui preacutesenteacute dans la Figure 175
Figure 17 Logique classique de frame-busting JavaScript
ltscriptgt
if (top=self) toplocationhref = selflocationhref
ltscriptgt
Livre blanc | Rapport HP 2012 sur les cyber-risques
6 cvedetailscomcveCVE-2002-1217
15
Outre les nombreuses variantes de cette technique quil est facile de deacutenicher en ligne des contre-mesures datteacutenuation ont eacutegalement eacuteteacute mises en place pour lutter aussi contre ces variantes avec des regravegles grosso modo eacutequivalentes agrave celles du jeu de la taupe
Comme le montre la Figure 18 la premiegravere vulneacuterabiliteacute XFS documenteacutee a eacuteteacute deacutecouverte il y a plus de 10 ans7 Depuis le clickjacking est devenu une vulneacuterabiliteacute reacutepandue et malgreacute cela moins de un pour cent de nos eacutechantillons incluait loutil de preacutevention le plus connu agrave savoir len-tecircte X-Frame-Options
Figure 18 Bref historique des eacuteveacutenements majeurs lieacutes agrave la deacutetection de failles de type XFS (script sur plusieurs cadres)
29062002Bug iFrame Jesse Rudermana
28102002Premier CVE XFS connub
16112005Echec des techniques de Framec
21052008Premiegravere mention publique de lattribut iFrame sandboxd
12092008Le terme clickjacking est inventeacutee
26012009Premier navigateur prenant en charge des options X-Framef
17062010Busting Frame Bustinga Study of ClickjackingVulnerabilities on Popular Sitesg
27012012Facebook poursuit uneentreprise de clickjackingh
11072012Dernier conseilXFS connui
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
a httpsbugzillamozillaorgshow_bugcgiid=154957 b httpwwwcvedetailscomcveCVE-2002-1217 c httpcryptostanfordeduframebust d httphtml5orgtoolsweb-apps-trackerfrom=1642ampto=1643 e httpwwwsectheorycomclickjackinghtm f httpblogsmsdncombiearchive20090126internet-explorer-8-release-candidate-now-availableaspx g httpcdnlytlpublicationsbusting-frame-busting-a-study-of-clickjacking-vulnerabilities-on-popular-sitespdf h httpwwwguardiancouktechnology2012jan27facebook-sues-clickjacking-firm-adscend i httposvdborgshowosvdb83762
Lhistoire du XFS (Cross-Frame Scripting ou scripts sur plusieurs cadres) remonte agrave la publication dun rapport relativement banal sur un comportement observeacute par Jesse Ruderman en 20028 et devenu aujourdhui un eacuteleacutement moteur dun autre pheacutenomegravene communeacutement appeleacute clickjacking Un eacuteleacutement cleacute de la reacutegression identifieacutee en matiegravere de seacutecuriteacute eacutetait la deacutecision dajouter lattribut sandbox agrave leacutebauche de la speacutecification HTML5 pour la balise iFrame au milieu de lanneacutee 2008
Les chercheurs ont deacutemontreacute que plusieurs contre-mesures datteacutenuation eacutetaient possibles avec des bugs des navigateurs ou des astuces JavaScript Le dernier eacuteleacutement ajouteacute agrave cette liste comme le montre la Figure 19 est lutilisation dune fonction de seacutecuriteacute introduite dans la speacutecification HTML5 sous la forme dun attribut sandbox iFrame que les attaquants peuvent exploiter pour deacutesactiver les protections de frame-busting de JavaScript
Figure 19 Attribut sandbox iFrame
ltiframe sandbox=rdquoallow-scriptsrdquo src=rdquohttpexamplecomrdquogtltiframegt
Lobjet de lattribut sandbox est daccorder lautorisation dexeacutecuter des scripts (allow-scripts) dans le contenu cibleacute A titre accessoire toutes les logiques de frame-busting employeacutees par examplecom sont effectivement deacutesactiveacutees en lui refusant lautorisation allow-top-navigation dans sa speacutecification sandbox
Gracircce agrave lattribut sandbox cette technique permet agrave un attaquant de deacutejouer de maniegravere efficace toutes les tentatives de frame-busting que megravenent les deacuteveloppeurs pour se proteacuteger de tout encadrement de site et toute opeacuteration de clickjacking par des tiers Les eacutediteurs de navigateurs ont introduit et valideacute une technique de preacutevention baseacutee sur des strateacutegies bien plus forte gracircce agrave len-tecircte X-Frame-Options Les deacuteveloppeurs peuvent se servir de cet en-tecircte pour dicter au navigateur les actions adeacutequates agrave entreprendre si leur site est inclus dans un iFrame Malheureusement ladoption de cette fonction parmi les deacuteveloppeurs est tregraves lente et offre aux attaquants un vaste terrain de sites potentiellement exploitables agrave mesure quils deacutecouvrent de nouvelles techniques pour contourner les scripts de frame-busting Ceci rend plus indispensable encore ladoption et la mise en œuvre de len-tecircte X-Frame-Options puisque ce dernier constitue la solution de facto agrave ce problegraveme et reste en vigueur mecircme lorsque le nouvel attribut sandbox HTML5 est utiliseacute Voilagrave donc ce qui motive notre projet de recherche et ce qui est agrave lorigine de notre question de deacutepart Combien de domaines incluent des en-tecirctes X-Frame-Options et combien le font correctement
Livre blanc | Rapport HP 2012 sur les cyber-risques
7 cvedetailscomcveCVE-2002-1217 8 httpsbugzillamozillaorgshow_bug
cgiid=154957
16
Collection de jeux deacutechantillons Dans le cadre de cette eacutetude le groupe HP Fortify Software Security Research a meneacute des recherches pour eacutevaluer agrave quel point les faibles pratiques de preacutevention des attaques XFS restent aujourdhui adopteacutees et font autoriteacute Nos reacutesultats soulignent eacutegalement la reacuteticence et le rythme dadoption tregraves lent dautres meacutethodes plus seacutecuriseacutees recommandeacutees par des speacutecialistes des navigateurs et des experts en seacutecuriteacute
Alexa9 fut utiliseacute pour renseigner une collection de 100 000 sites Web (les plus connus) et geacuteneacuterer une liste distribueacutee dans de nombreux secteurs diffeacuterents Une fois la liste de deacutepart creacuteeacutee avec ses 100 000 URL les demandes de niveau supeacuterieur furent assembleacutees en concateacutenant ldquohttprdquo dans lURL obtenue Par exemple
ldquohttprdquo + exemplecom = httpexemplecom
Ensuite la nouvelle URL composeacutee fut demandeacutee et la reacuteponse obtenue examineacutee de maniegravere passive agrave la recherche des eacuteleacutements suivants
bull La preacutesence dun en-tecircte X-Frame-Options et de ses valeurs respectives
bull La preacutesence dun champ de mot de passe dans la reacuteponse de la demande de niveau supeacuterieur Un champ de mot de passe est censeacute indiquer un niveau de sensibiliteacute qui doit ecirctre proteacutegeacute par lapplication
bull Si la preacutesence de len-tecircte neacutetait pas respecteacutee lURL cible eacutetait soumise agrave des tests suppleacutementaires afin de distinguer si une tentative de deacutejouer les attaques XFS avait eu lieu Le recours agrave la preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade a eacuteteacute enregistreacute pour une analyse ulteacuterieure
Reacutesultats90 des eacutechantillons analyseacutes nont jamais rien tenteacute pour se proteacuteger des attaques XFS De tous les domaines doteacutes dune protection active contre les attaques XFS 62 ont recours agrave des meacutecanismes de preacutevention faibles fondeacutes sur les scripts Sur les 100 000 domaines testeacutes 19 848 disposaient de champs de mot de passe dans la demande de niveau supeacuterieur avec seulement 101 domaines preacutecisant un en-tecircte X-Frame-Options Celasignifieque01 deseacutechantillonssontproteacutegeacutesDe plus plus de 99 des eacutechantillons oubliaient de speacutecifier un en-tecircte X-Frame-Options tandis que 19 dentre eux avaient une raison dinclure len-tecircte mais ne lont pas fait
Les reacutesultats montrent que soit les deacuteveloppeurs ne sont pas suffisamment informeacutes des risques que posent les vulneacuterabiliteacutes XFS soit ils ne souhaitent consacrer aucun effort agrave la protection de leurs visiteurs Si 2 307 eacutechantillons deacutevoilaient des protections contre les attaques XFS seulement 38 ont opteacute pour lutilisation de len-tecircte X-Frame-Options preacuteconiseacute 1 432 eacutechantillons ont montreacute quils employaient toujours des techniques de preacutevention et datteacutenuation fondeacutees sur JavaScript ou les feuilles de style en cascade qui se sont aveacutereacutees insuffisantes (voir la Figure 20)
Les 875 domaines fondeacutes sur len-tecircte X-Frame-Options affichaient la distribution de valeurs suivante
1 702 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur SAMEORIGIN
2 151 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur DENY
3 13 des 875 domaines eacutetaient deacutefinis avec lattribut Allow-from
4 8 des 875 valeurs fournies eacutetaient conformes agrave leacutebauche de lIETF10
Aucun des 13 domaines utilisant lattribut Allow-from ne preacutecisait un caractegravere geacuteneacuterique () reacuteduisant les risques lieacutes agrave une politique de libre accegraves La Figure 21 preacutesente ces valeurs sous forme de pourcentages
Livre blanc | Rapport HP 2012 sur les cyber-risques
9 httpsbugzillamozillaorgshow_bugcgiid=154957
10 httptoolsietforghtmldraft-ietf-websec-x-frame-options-01
Figure 20Preacutevention des risques lieacutes aux scripts sur plusieurs cadres
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade 62
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade
Options X-Frame 38
Options X-Frame
Figure 21Reacutepartition des valeurs den-tecircte X-Frame-Options fournies
REFUS 17 Allow-from
2 Autres (valeurs non en conformiteacute)1
MEcircME ORIGINE 80
17
Encadrementintersites conclusionIl est eacutevident que toutes les ressources nont pas besoin decirctre proteacutegeacutees contre les attaques XFS Cependant il demeure des situations ougrave la mise en place dune protection adeacutequate est justifieacutee et indispensable Une mesure employeacutee pour identifier ces cas au cours de cette eacutetude eacutetait la preacutesence dun champ de saisie de mot de passe dans un formulaire Les pages dauthentification sont les plus exposeacutees agrave une attaque de type clickjacking En se focalisant sur les pages munies de champs pour la saisie des mots de passe lanalyse tente deacutetablir un lien entre la sensibiliteacute dune ressource et les efforts investis pour la proteacuteger Une des statistiques les plus surprenantes dans lanalyse est que seulement 103 des 100 000 domaines proteacutegeaient comme il se doit les pages avec des champs de mots de passe confidentiels soit un taux exorbitant de 010 qui suggegravere que la puissance et lefficaciteacute de len-tecircte ont fait lobjet dune mauvaise promotion nont pas obtenu ladheacutesion des administrateurs des serveurs ou nont pas seacuteduit les deacuteveloppeurs
Il convient de souligner que si un peu plus de 80 des reacuteponses ne contenaient aucun champ de mot de passe cela ne veut pas dire pour autant quil ne faut pas proteacuteger le contenu Autrement dit leacutechantillon nincluait aucun champ de mot de passe dans la demande de niveau supeacuterieur Il est donc tregraves probable que beaucoup dautres sites sexposent agrave des risques en avanccedilant plus loin dans larborescence du site La mesure la plus importante agrave noter est le pourcentage remarquable de sites sans en-tecircte X-Frame-Options soit 99
Apregraves une analyse approfondie des reacutesultats des recherches speacutecialiseacutees consacreacutees aux attaques XFS la section qui suit se concentre agrave nouveau sur ce qui semble ecirctre le sujet de conversation le plus populaire en 2012 en matiegravere de seacutecuriteacute la seacutecuriteacute des applications mobiles
Seacutecuriteacutedesapplicationsmobiles
Dix secondes dans une file dattente nimporte ougrave suffisent pour se rendre compte que lutilisation dappareils mobiles a litteacuteralement exploseacute En fait pour la premiegravere fois 2012 est lanneacutee pendant laquelle le nombre de smartphones vendus a deacutepasseacute le nombre dordinateurs portables et dordinateurs de bureau agrave la fois11 Cette augmentation a eacuteteacute suivie aussi dune hausse proportionnelle des risques surtout au moment ougrave les entreprises essaient de mettre agrave profit les avantages quoffre la mobiliteacute Comme nous lavons vu plus haut lOSVDB a signaleacute une hausse de 68 du nombre de vulneacuterabiliteacutes signaleacutees pour les technologies mobiles depuis 2011 soit une augmentation de 787 sur les cinq derniegraveres anneacutees Lors de nos tests nous sommes toujours revenus au mecircme constat Si vous posseacutedez des donneacutees des attaquants chercheront agrave sen emparer
Pour eacutevaluer leacutetat actuel de la seacutecuriteacute des applications mobiles leacutequipe HP Fortify on Demand a rassembleacute les reacutesultats de plus de 70 applications mobiles agrave la recherche de failles de seacutecuriteacute Ce jeu deacutechantillons concernait plus de 50 organisations uniques et de nombreux secteurs au niveau local et international Il peut donc ecirctre consideacutereacute comme une repreacutesentation relativement preacutecise dune application mobile moyenne Les reacutesultats montrent que les vulneacuterabiliteacutes qui compromettent la seacutecuriteacute des applications mobiles sont les mecircmes que pour les applications classiques Ils montrent eacutegalement quun problegraveme surtout se distingue des autres Dans le paysage informatique actuel la fuite dinformation est un problegraveme particuliegraverement reacutepandu et neacutefaste La demande croissante dinformations des travailleurs mobiles allieacutee aux services de cloud de plus en plus omnipreacutesents et agrave une hausse des appareils grand public non geacutereacutes sur le reacuteseau dentreprise repreacutesente un deacutefi notable pour de nombreuses organisations
Fuite de donneacutees sensibles sur des canaux non seacutecuriseacutesLa fuite de donneacutees est un problegraveme de longue date pour les applications Web Si elle peut paraicirctre un problegraveme dampleur modeacutereacutee elle implique souvent une information en apparence inoffensive qui permet agrave un attaquant de renforcer sa strateacutegie dattaque pour mener une attaque plus dangereuse encore La mecircme chose vaut pour les applications mobiles Plus des trois quarts (77 ) des applications mobiles dans notre eacutetude eacutetaient vulneacuterables et en proie agrave des fuites dinformations Nous avons deacutecouvert que les donneacutees personnelles dun utilisateur eacutetaient souvent transmises via des protocoles reacuteseau non crypteacutes comme le protocole HTTP Il sagissait pour la plupart dinformations simples comme des noms des adresses et des numeacuteros de teacuteleacutephone Cependant dans notre jeu deacutechantillons ces donneacutees comprenaient eacutegalement lemplacement actuel de lutilisateur ainsi que lidentifiant unique de lappareil (eacutegalement appeleacute UDID)
Livre blanc | Rapport HP 2012 sur les cyber-risques
11 voiceswashingtonpostcomposttech201011smartphone_sales_to_pass_compuhtml
18
LUDID est primordial pour un appareil car il peut servir agrave des attaques extrecircmement cibleacutees contre des utilisateurs en particulier Si les donneacutees de geacuteolocalisation lidentifiant unique de lappareil et les donneacutees personnelles eacutetaient intercepteacutees sur une application vulneacuterable ce que cela implique dans la reacutealiteacute est eacutetonnant Un attaquant pourrait localiser une cible dans le monde reacuteel et les possibiliteacutes qui souvriraient alors agrave lui seraient illimiteacutees Cest la porte ouverte agrave un sceacutenario effroyable que la plupart des gens ne soupccedilonnent pas Bien entendu lexploitation dapplications simples et banales peut eacutegalement avoir lieu Imaginez le sceacutenario suivant Si lapplication transmet lUDID le nom complet ladresse et ainsi de suite agrave un service Web vulneacuterable et que ce dernier est la cible potentielle dune attaque par injection SQL on conccediloit aiseacutement que chaque bit de donneacutees sur cet appareil mobile soit accessible Il est eacutetonnant de voir jusquougrave une fuite dinformation peut mener un attaquant si les circonstances jouent en sa faveur et que tout alors est du domaine du probable voire du possible
Les donneacutees transmises sur des canaux non seacutecuriseacutes ne se limitaient pas aux donneacutees personnelles Les donneacutees applicatives elles non plus neacutetaient pas proteacutegeacutees Nous avons deacutecouvert que des informations de connexion des informations didentification utilisateur des ID de session des jetons et des donneacutees dentreprise sensibles eacutetaient transmises via des protocoles reacuteseau non crypteacutes agrave linstar du protocole HTTP Imaginez les conseacutequences pour une application bancaire vulneacuterable Si des informations didentification des identificateurs de session des informations didentification personnelle ou dautres donneacutees strateacutegiques sont transmises vers un serveur principal la transmission se doit decirctre seacutecuriseacutee sans quoi les donneacutees peuvent ecirctre intercepteacutees par un attaquant au moyen doutils ou dapplications de capture de paquets reacuteseau courants (par exemple DroidSheep)
Les recherches ont montreacute que 375 des applications pouvaient ecirctre la cible dune vulneacuterabiliteacute impliquant une forme quelconque dautorisation notamment des mots de passe en texte clair des mots de passe codeacutes en dur et des mots de passe inteacutegreacutes agrave la reacuteponse Ce pourcentage bien plus eacuteleveacute que pour les applications dites traditionnelles prouve eacutegalement que les deacuteveloppeurs dapplications mobiles doivent travailler davantage pour proteacuteger leurs donneacutees
Dautres vulneacuterabiliteacutes deacutetecteacutees en nombres importants incluaient les attaques de type stack-smashing Plus de la moitieacute des vulneacuterabiliteacutes (5545 ) noffraient aucune protection adeacutequate contre ce type dattaque Si cet oubli nentraicircne pas lexeacutecution du code il peut quand mecircme geacuteneacuterer une panne injustifieacutee de lapplication vulneacuterable
Qui plus est 135 des applications eacutetaient vulneacuterables agrave des attaques XSS Ceci fut une reacuteelle surprise puisque tous les autres ensembles dapplications que nous avons testeacutes mobiles et traditionnels reacuteveacutelaient des nombres de vulneacuterabiliteacutes XSS plus eacuteleveacutes Un examen plus attentif de ces nombres a montreacute que les applications vulneacuterables eacutetaient des applications destineacutees autant agrave la gestion de la finance que des bases de donneacutees En dautres termes le faible pourcentage ne reacuteduisait pas limpact potentiel
Les accegraves non autoriseacutes concernent quasiment la moitieacute des applications mobilesNous avons chercheacute dautres donneacutees en examinant les reacutesultats obtenus par notre partenaire Security Compass lors de ses tests sur dautres applications A de nombreux eacutegards ils confirment les chiffres eacutevoqueacutes preacuteceacutedemment
48 des applications eacutetaient la proie de vulneacuterabiliteacutes daccegraves non autoriseacute Elles valident les vulneacuterabiliteacutes dauthentification (375 ) que nous avons eacutevoqueacutees dans notre eacutechantillon plus haut Les chiffres montrent que les deacuteveloppeurs dapplications mobiles doivent autant se concentrer sur la preacutevention des accegraves non autoriseacutes sur les applications mobiles que sur les moyens de faciliter laccegraves pour les utilisateurs leacutegitimes
37 des applications posaient des problegravemes de divulgation dinformations sensibles 26 avaient recours agrave des pratiques de connexion meacutediocres et 19 affichaient des messages derreur de mauvaise qualiteacute qui reacuteveacutelaient des informations susceptibles decirctre exploiteacutees par des attaquants Ceci corrobore nos donneacutees preacuteceacutedentes car nous avons vu agrave quel point les fuites dinformations eacutetaient importantes Lors du codage des applications mobiles les deacuteveloppeurs ne tiennent pas compte de ce quimplique la seacutecuriteacute pour le stockage la transmission et laccegraves des donneacutees
33 des applications eacutetaient vulneacuterables agrave des attaques XSS Des tests reacutepeacutetitifs montrent que les attaques par script intersite (XSS) sont autant une menace pour les applications mobiles que pour les applications stationnaires Ces reacutesultats sont en phase avec ce que nous avons constateacute lors des tests des applications traditionnelles
Livre blanc | Rapport HP 2012 sur les cyber-risques
19
26 des applications employaient une meacutethode de cryptage inadapteacutee Le cryptage sur des ordinateurs dentreprise est aujourdhui une pratique standard pour la plupart des entreprises du classement Fortune 500 Il y a dix ans la presse regorgeait dhistoires de donneacutees deacuterobeacutees sur des ordinateurs perdus Les risques dans ce domaine se sont reacuteduits dune part gracircce aux mesures leacutegislatives mises en places et dautre part parce que les entreprises ont eu loccasion de lapprendre agrave leurs deacutepens Pourtant ces mecircmes pratiques standard ne sont pas appliqueacutees aux appareils mobiles et agrave legravere du BYOD (Bring your own device) cela peut saveacuterer dangereux
Les dix principales vulneacuterabiliteacutes des applications mobiles Le partenaire dHP Security Compass a eacutegalement analyseacute les vulneacuterabiliteacutes des applications mobiles et les a eacutetiqueteacutees par type (voir la Figure 22) Ainsi donc agrave quoi les applications moyennes sont-elles le plus vulneacuterables par ordre de preacutevalence des vulneacuterabiliteacutes A quels types dattaques par incident les applications mobiles sont-elles le plus vulneacuterables
Sur les dix principales vulneacuterabiliteacutes constateacutees en matiegravere dapplications mobiles XSS affichait le deuxiegraveme taux le plus eacuteleveacute et repreacutesentait 15 de toutes les vulneacuterabiliteacutes deacutecouvertes dans ce jeu deacutechantillons Les chiffres confirment eacutegalement que lorsquelles sont consigneacutees par ordre doccurrence les vulneacuterabiliteacutes de fuite dinformation et daccegraves non autoriseacuteauthentification indiquent aux deacuteveloppeurs dapplications mobiles comment ils peuvent mieux seacutecuriser leurs applications en concentrant davantage leurs efforts sur ces domaines
Rechercheentechnologiemobile lacommunicationenchampproche (NFC)pourlesapplicationsmobilesdepaiementNous avons constateacute que les vulneacuterabiliteacutes lieacutees aux applications mobiles eacutetaient en hausse constante mais il est indispensable eacutegalement danticiper et de connaicirctre les nouvelles vulneacuterabiliteacutes qui verront le jour Les nouvelles technologies introduisent en permanence des failles de seacutecuriteacute possibles La plate-forme mobile ne fait pas exception Lune de ces nouvelles technologies est la communication en champ proche (NFC) La communication en champ proche (NFC) deacutesigne une meacutethode de communication de donneacutees sans contact entre des appareils proches les uns des autres Elle a deacutejagrave eacuteteacute adopteacutee en Europe et en Asie et fait depuis peu des adeptes en Ameacuterique du Nord Le Forum NFC (consortium regroupant plusieurs membres tels que Sony Nokia et Philips) applique des normes strictes pour les fabricants dappareils compatibles NFC Les eacutediteurs dapplications disposent ainsi dune architecture seacutecuriseacutee et dune infrastructure compatible qui leur permettent dexploiter cette technologie pour des applications de paiement mobiles et le partage de donneacutees (par exemple leacutechange de devises entre homologues)
Il existe actuellement plusieurs smartphones compatibles NFC Cest le cas du Googletrade Nexus 5 du Samsung Galaxy S II et des BlackBerry Bold 9900 et 9930 Plusieurs socieacuteteacutes exploitent aujourdhui cette technologie
bull Google Wallet conteneur seacutecuriseacute pour les informations de carte de creacutedit qui facilite les transactions NFC
bull MasterCard PayPass service de paiement sans contact (actuellement pris en charge dans Google Wallet)
bull Visa payWave service de paiement sans contact
bull PayPal meacutethode bump (application Bump) pour le transfert dargent ou la reacutealisation de paiements entre utilisateurs
bull Apple iPhone prise en charge de la NFC attendue dans une prochaine version (non confirmeacutee)12
Problegravemes de seacutecuriteacutePlusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (donneacutees de carte de creacutedit ou numeacuteros de comptes) sont transmises via un canal NFC sur un appareil mobile Voici des exemples de cas reacuteels constateacutes reacutecemment dans le domaine de la seacutecuriteacute
Cas 1La technologie NFC est employeacutee dans le cadre de solutions de paiement grand public avec deux modes de mise en œuvre distincts
bull Puce NFC dans des cartes de creacutedit grand public telles que MasterCard PayPass et Visa payWave
bull NFC utiliseacutee dans des solutions de portefeuille mobile
Livre blanc | Rapport HP 2012 sur les cyber-risques
12 Il existe actuellement des eacutediteurs agrave linstar de DeviceFidelity qui proposent des composants tiers qui reproduisent la prise en charge de la communication en champ proche (NFC) pour les appareils iPhone
Figure 22Preacutevalence des dix principales vulneacuterabiliteacutes (en pourcentage)
Accegraves non autoriseacute 18
Scripts intersites 15
Divulgation dinformations sensibles 12
Traitementnon seacutecuriseacute des sessions 11
Vulneacuterabiliteacutes du traitement des cookies 9
Meacutethode de cryptage inadapteacutee 9
Pratiques de connexion meacutediocres 8
Saisie semi-automatique sur des formulaires agrave donneacutees sensibles 6
Informations didentificationen texte clair 6
Messages derreur de mauvaise qualiteacute 6
20
Le deacutefi du premier mode de mise en œuvre est double le premier est que pour la plupart des eacutemetteurs de cartes de creacutedit linstallation de la puce NFC est obligatoire le deuxiegraveme est que par deacutefinition la puce NFC est toujours activeacutee Par exemple si la carte de creacutedit dun utilisateur est dans le champ dun lecteur NFS actif comme celui que lon rencontre dans un terminal de point de vente la carte de creacutedit transmet automatiquement le numeacutero de carte de creacutedit de lutilisateur au lecteur NFS de reacuteception A preacutesent imaginez le sceacutenario pour les appareils mobiles les plus modernes eacutequipeacutes de puces NFS inteacutegreacutees Dans le monde dAndroid il existe des applications conccedilues pour activer la puce NFC de lappareil mobile pour reproduire le comportement du lecteur NFS dun terminal de point de vente A laide dun appareil mobile ou dune application de ce genre un attaquant peut potentiellement activer la puce NFC de son appareil Android croiser des gens dans un endroit peupleacute et tenter danalyser leurs cartes de creacutedit pour recueillir leur numeacutero de compte permanent (PAN)
Les solutions de portefeuille mobile NFC sont souvent vulneacuterables agrave ce mecircme type dattaque si la solution concerneacutee ne deacutesactive pas ou ne retire pas la puce NFC une fois lexeacutecution dune transaction termineacutee Heureusement cette vulneacuterabiliteacute peut facilement ecirctre reacutesolue par des deacuteveloppeurs de solutions de portefeuille mobile sils retirent la puce NFC apregraves usage
Cas 2Plusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (par exemple des donneacutees de carte de creacutedit ou des numeacuteros de comptes) sont transmises via un canal NFC
bull Ecoute tentative dintercepter la communication des donneacutees de transmission NFC (par exemple proxy NFC)
bull Manipulation des donneacutees tentative de manipuler la communication des donneacutees de transmission NFC (par exemple pour identifier des reacutesultats erroneacutes)
bull Attaques par interception tentative dexploitation des modes actifpassif de lappareil pour envoyer et recevoir la communication des donneacutees de transmission NFC
bull Vol tentative dacceacuteder sans autorisation agrave lapplication de paiement mobile (comme si lappareil a eacuteteacute voleacute ou perdu) et examen des fichiers stockeacutes sur lappareil agrave la recherche dinformations sensibles
Cas 3Au cœur mecircme de la fonction NFC se trouve un composant appeleacute eacuteleacutement seacutecuriseacute Deux types de mise en œuvre de cet eacuteleacutement sont possibles (1) les eacuteleacutements incorporeacutes dans lappareil et (2) les eacuteleacutements chargeacutes dans une carte SIM Dans les cas ougrave leacuteleacutement seacutecuriseacute est chargeacute dans une carte SIM il est possible que la carte SIM soit retireacutee et eacutechangeacutee sous les yeux dun utilisateur creacutedule Cette situation aboutit agrave des sceacutenarios dattaque semblables aux suivants
bull Echange de carte SIM avec un autre appareil (du mecircme type) pour tenter dacceacuteder au contenu de leacuteleacutement seacutecuriseacute Dans certains cas lutilisation dun appareil de type diffeacuterent peut offrir un accegraves suppleacutementaire aux informations de leacuteleacutement seacutecuriseacute sil nest pas mis en œuvre de maniegravere seacutecuriseacutee Par exemple il existe un risque de contournement de lapplication de paiement ou de la protection du mot de passe au niveau du teacuteleacutephone en cas deacutechange de carte SIM dans un teacuteleacutephone eacutequivalent avec lapplication de paiement et sans mot de passe
bull Identification des donneacutees contenant des informations sensibles dans leacuteleacutement seacutecuriseacute situeacute dans la carte SIM apregraves une opeacuteration de restauration sur un autre appareil Il peut sagir aussi dattaques visant agrave cloner ou copier la carte SIM au moyen dun mateacuteriel externe
Notez que la difficulteacute daccegraves agrave leacuteleacutement seacutecuriseacute offre une certaine garantie sur lenvironnement de seacutecuriteacute de leacuteleacutement seacutecuriseacute sur lappareil cible
Cas 4Dans certains cas il est possible que limpleacutementation de lapplet VMPA dans leacuteleacutement seacutecuriseacute nait pas tenu compte de tous les eacuteleacutements de seacutecuriteacute Il peut sagir par exemple dune signature et dun controcircle daccegraves insuffisants de lapplet VMPA qui permettent agrave une application quelconque de deacutemarrer et dy soumettre des requecirctes Cette situation peut offrir agrave une application non autoriseacutee la possibiliteacute dappeler lapplet VMPA via la commande APDU (JSR 177) Une requecircte bien formuleacutee peut potentiellement permettre dactiver la radio NFC et de transmettre des informations de carte de creacutedit
Livre blanc | Rapport HP 2012 sur les cyber-risques
21
Bien que des informations et une analyse exactes peuvent ecirctre obtenues agrave partir dun appareil dinvestigation (si un accegraves agrave ce type de mateacuteriel est disponible) il nexiste pour lheure aucun outil autorisant laccegraves agrave des informations de leacuteleacutement seacutecuriseacute Leacuteleacutement seacutecuriseacute comme son nom lindique fournit des meacutecanismes de seacutecuriteacute preacutecis (par exemple controcircle daccegraves cryptage et reacutepartition) qui empecircchent lextraction dinformations sensibles eacuteventuelles Cest pourquoi un accegraves dinvestigation explicite agrave leacuteleacutement seacutecuriseacute nest actuellement pas possible mecircme avec un outil dinvestigation distribueacute par les leaders du marcheacute
RecommandationsIl existe des mesures que les organisations peuvent prendre pour reacuteduire les risques que posent les failles de seacutecuriteacute des applications mobiles Avant tout les applications doivent ecirctre manuellement controcircleacutees et eacutevalueacutees avant le lancement des produits afin de deacuteterminer la preacutesence de vulneacuterabiliteacutes dinjection ou de vulneacuterabiliteacutes de fuite dinformation Le code doit ecirctre analyseacute via une analyse statique au moment de le deacutevelopper pour y rechercher des failles Comme pour toutes les applications il est moins coucircteux de geacuterer des failles de seacutecuriteacute lors de la phase de deacuteveloppement quau moment de leur diffusion
Les normes de transmission seacutecuriseacutee des donneacutees doivent ecirctre incluses dans le cahier des charges de toutes les applications surtout si ces derniegraveres sont eacutelaboreacutees par des deacuteveloppeurs tiers Il en va de mecircme pour le stockage seacutecuriseacute des donneacutees et le journal des applications Des exigences raisonnables en matiegravere daffichage des communications entre applications et dautorisations dans ces derniegraveres doivent ecirctre rigoureusement deacutefinies Tous ces aspects doivent ecirctre geacutereacutes lors de la phase de deacutefinition des exigences et testeacutes lors du deacuteveloppement Au moment dexeacutecuter les tests de seacutecuriteacute et lanalyse sur les applications mobiles les services Web cocircteacute serveur et les API avec lesquels les clients mobiles communiquent doivent ecirctre pris dans leur contexte et analyseacutes pour y deacuteceler des vulneacuterabiliteacutes Des failles agrave haut risque peuvent passer agrave la trappe si ces deux eacuteleacutements sont testeacutes et compareacutes hors de leur contexte
Conclusions
Lobjectif de ce rapport est de fournir aux organisations toutes les informations de seacutecuriteacute qui les aideront agrave mieux comprendre comment deacuteployer les ressources limiteacutees dont elles disposent pour minimiser au maximum leurs risques en matiegravere de seacutecuriteacute A cet effet les tendances et les enseignements agrave tirer de lanneacutee 2012 sont nombreux et doivent ecirctre pris en compte pour la ou mecircme les anneacutees qui viennent
Militarisation des vulneacuterabiliteacutes Les attaquants ne cesseront jamais de militariser les vulneacuterabiliteacutes pour mener agrave bien leurs activiteacutes malveillantes Ceux qui eacutelaborent les kits dexploitation continueront de se focaliser sur des vulneacuterabiliteacutes dans les logiciels les plus reacutepandus ciblant le plus souvent des navigateurs et des plug-ins de navigateur tels que Oracle Java et Adobereg Flash De mecircme le nombre dattaques meneacutees publiquement agrave lencontre de technologies et dentreprises speacutecifiques continuera daugmenter Des organisations criminelles des Etats-nations et des hacktivistes se serviront toujours des cyber-attaques comme moyen duniformiser les regravegles du jeu contre des adversaires riches ou puissants mecircme si les reacuteelles motivations derriegravere ces attaques resteront souvent difficiles agrave deacuteterminer
Vulneacuterabiliteacutes des technologies mobilesLadoption croissante des technologies mobiles et leur utilisation au sein de lentreprise engendreront toujours des risques consideacuterables Nombre de gens lont deacutejagrave constateacute les programmes malveillants deacuteployeacutes sur les marcheacutes qui opposent Android et Apple poursuivent leur croissance Laggravation de ce problegraveme est essentiellement lieacutee au fait que les entreprises ne disposent pas du mecircme type de controcircle sur ces appareils que sur des PC Au moment ougrave le BYOD (Bring your own device) devient la norme et que ladoption des appareils mobiles prend de lampleur on peut sattendre agrave une hausse proportionnelle du nombre de failles chez les applications mobiles tendance qui devrait se maintenir dans un avenir preacutevisible
Livre blanc | Rapport HP 2012 sur les cyber-risques
22
DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables
Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications
Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables
Pourensavoirplusconsultezlapage Web hpcomgoSIRM
Livre blanc | Rapport HP 2012 sur les cyber-risques
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013
12
Figure 11 Lautorisation de teacuteleacutechargements de fichiers peut avoir des conseacutequences seacutevegraveres
Teacuteleacutechargementsde fichiers
non valideacutes
Aucuneprotectionpar logiciel
anti-programmemalveillant
30 000utilisateurs
sont infecteacutes parle logiciel
malveillant
Injection SQLagravelaveugle les fonctionnaliteacutes daide agrave la recherche (une seacuterie de cases agrave cocher conccedilues pour aider les utilisateurs agrave restreindre leurs critegraveres de recherche) sans validation dentreacutee ont abouti agrave laffichage de 35 bases de donneacutees dID dutilisateur de systegraveme de base de donneacutees et de hachages de mot de passe y compris le compte dadministrateur systegraveme Linjection SQL agrave laveugle peut ecirctre difficile agrave deacuteceler parce quelle geacutenegravere rarement des messages derreur et manifeste un comportement applicatif anormal Les requecirctes parameacutetrables eacutegalement appeleacutees instructions preacutepareacutees empecircchent avec efficaciteacute les attaques par injection SQL si elles ont correctement mises en place5 La Figure 12 deacutecrit cette seacutequence
Instructions SQLentexteclair lors des tests effectueacutes sur une application cliente lourde il a eacuteteacute deacutecouvert que le client exeacutecutait des instructions SQL directement sur le serveur SQL principal avec des autorisations de niveau administrateur sur HTTP Une escalade des privilegraveges utilisateur et la modification des mots de passe furent possibles en soumettant le protocole agrave une ingeacutenierie agrave rebours et en le manipulant (voir la Figure 13)
Inclusiondefichierlocal des techniques de traversement de reacutepertoires (Directory Traversal) et dinclusion de fichier local ont eacuteteacute employeacutees pour afficher le contenu du fichier SAM (Gestionnaire de comptes de seacutecuriteacute) de sauvegarde du serveur Web qui permettait de deacutecoder les mots de passe Au bout de dix minutes il eacutetait possible pour un administrateur local dacceacuteder au systegraveme et de tout compromettre Les routines de validation dentreacutee quelles soient inheacuterentes agrave lapplication ou interviennent au niveau de configuration du serveur Web auraient eacutelimineacute ce vecteur
AttaquesvisantagraveexploiterunemauvaiseconfigurationdeseacutecuriteacuteSecteurs dactiviteacute peacutetrochimie et secteur bancaire internationalImpossibiliteacutederestreindrelaccegravesauxreacutepertoiressensibles dans ce cas le reacutepertoire deacutecouvert eacutetait ldquohttpswwwexamplecompasswordsrdquo Naturellement aucun dossier ldquopasswordsrdquo tout du moins public ne devrait exister Le dossier eacutetait accessible via des navigateurs Web sans aucune authentification et comprenait une liste de reacutepertoires avec des fichiers texte aux noms divers tels que ldquopasswordsprojectrdquo ou mecircme ldquopasswordssystemsrdquo Un simple clic sur un fichier provoquait louverture dun document texte muni dune liste dutilisateurs et de mots de passe au format suivant userpassword Une des listes contenait mecircme ldquosysadminpassword adminpassword etchelliprdquo (voir la Figure 14) Ceci illustre la neacutecessiteacute et limportance de la validation danalyse post-automatique puisque cette vulneacuterabiliteacute qui pose de faibles risques en apparence pouvait aiseacutement passer inaperccedilu aux yeux du client Qui plus est le problegraveme aurait pu ecirctre eacuteviteacute si laccegraves au reacutepertoire avait eacuteteacute restreint comme il le fallait
Leprotocole WebDAVactiveacuteautorisaitlesopeacuterationsdeacutecritureagravedistance Le mode dactivation du protocole WebDAV sur un serveur Web en particulier permettait agrave des utilisateurs dapplications distants de communiquer avec lhocircte et deacutecrire des fichiers dans des reacutepertoires arbitraires Lexploitation de cette vulneacuterabiliteacute permettait de teacuteleacutecharger une porte deacuterobeacutee personnaliseacutee puis de lexeacutecuter en parcourant le chemin daccegraves agrave lURL du fichier reacutecemment transfeacutereacute Une fois exeacutecuteacutee elle offrait la possibiliteacute de controcircler entiegraverement le serveur Web En preacutevoyant de plus amples tests la personne chargeacutee de ces tests pouvait librement poursuivre une attaque contre dautres hocirctes sur le reacuteseau interne de lentreprise processus appeleacute glissement (pivoting) La suppression de laccegraves WebDAV et de meacutethodes HTTP exteacuterieures aurait pu eacuteviter cette attaque
Injection SQLetcommandesdevalidationdentreacuteefaibles Un filtre SQL filtrait tout agrave lexception de lopeacuterateur ldquoORrdquo Cela signifie essentiellement quapregraves insertion de lopeacuterateur ldquoORrdquo dans une instruction SQL chaque commande serait exeacutecuteacutee sur le systegraveme Le parameacutetrage des requecirctes empecircchera les attaques par injection SQL La Figure 15 deacutecrit le deacuteroulement seacutequentiel dune attaque par injection SQL
Livre blanc | Rapport HP 2012 sur les cyber-risques
5 httpswwwowasporgindexphpSQL_Injection_Prevention_Cheat_Sheet
Figure 12 Injection SQL agrave laveugle
Injection SQLagrave laveugle
Voldinformationsutilisateur
Accegraves agraveladministrationsystegraveme
Figure 13 Instructions SQL en texte clair
Protocoledingeacutenierie clientserveur agrave rebours
Exeacutecution SQL
Reacuteinitialisation dumot de passe avec
des privilegravegesplus eacuteleveacutes
Figure 14 Restriction daccegraves impossible
Accegraves au reacutepertoire non restreint
passwrdsprojectuserpassword sysadminmot de passe
passwordssystems fichier
httpswwwexamplecompasswords reacutepertoire
13
Figure 15 Anatomie dune attaque par injection SQL
Site bancaireBase de donneacutees
de la banque
1=1
Attaquant malveillant
1 Lattaquant envoie des informations suppleacutementaires telles quun guillemet ou 1=1 avec des informations de connexion ou inclure des variablespour modifier linstruction SQL originale
3 Une fois que le scheacutema de base de donneacutees a eacuteteacute deacutefini lattaquant peut extraire les donneacutees contenues dans la base de donneacutees notamment les noms dutilisateur les mots de passes les informations de carte de creacutedit etc
2 Avec lapproche par essais et erreurs lattaquant peut construire des arguments SQL pouvant ecirctre utiliseacutes pour reacutecupeacuterer des donneacutees telles que des noms de tableaux ou des noms delignes etc
Mauvaiseconfiguration SAP Linteacutegraliteacute de la base de donneacutees des cartes de creacutedit eacutetait accessible et eacutetait transfeacutereacutee dans un fichier Les commandes configureacutees dans la structure SAP mise en place eacutetaient de qualiteacute meacutediocre et permettaient agrave des repreacutesentants du service clientegravele dexeacutecuter des transactions agrave caractegravere sensible y compris le navigateur de donneacutees HR (SE16) Cette fonction eacutetait exploiteacutee pour parcourir et charger le contenu tout entier de la table des donneacutees des cartes de creacutedit des clients Accessibles de cette maniegravere toutes les donneacutees pouvaient aiseacutement ecirctre exporteacutees agrave laide de comptes SAP avec des privilegraveges moindres
AttaquesparauthentificationparsessionlogiqueetautresattaquesSecteurs dactiviteacute compagnies aeacuteriennes secteur bancaire international et eacutenergieListedebilletsdavionviadesservices Webdecreacuteationdecodes QRmobiles Les testeurs eacutetaient capables de reconstituer agrave rebours une partie de la fonction des services Web pour creacuteer des numeacuteros de billets De faux codes QR de billets davion eacutetaient ainsi geacuteneacutereacutes pour des vols aeacuteriens Il est tout est fait possible que lexploitation de cette fonction ait permis aux attaquants de voler gratuitement En labsence de controcircles preacuteventifs efficaces ils pouvaient senregistrer librement par le biais de leurs appareils mobiles Le recours agrave une fonction de controcircle aleacuteatoire standard des numeacuteros de billets aurait pu eacutegalement eacuteviter ce problegraveme
Figure 16 Creacuteation de mots de passe dynamiques agrave cryptage facilement reacuteversible
AttaqueSQL
Servicedauthen-tification
Web
Capturedu trafic chiffreacute
Deacutesactivationdu chiffrement
du mot depasse
Randomisationdes mots de
passeinsuffisante
Accegravesadministrateur
agrave la basede donneacutees
Deacutesactivation du chiffrement -mot de passe devinable
Accegraves complet agrave labase de donneacutees avec des
autorisations dadministrateur
Livre blanc | Rapport HP 2012 sur les cyber-risques
14
Creacuteationdemotsdepassedynamiquesagravecryptagefacilementreacuteversible lapplication cliente lourde testeacutee communiquait avec un service Web qui se chargeait dabord dauthentifier lutilisateur qui tentait de se connecter Ensuite lapplication demandait le mot de passe au serveur de base de donneacutees principal Au deacutepart le mot de passe eacutetait crypteacute pour la transmission mais simultaneacutement lors dune autre attaque SQL un indicateur de la base de donneacutees a eacuteteacute renverseacute deacutesactivant et annulant ainsi les effets du cryptage Il sest aveacutereacute que le systegraveme mettait en place des mots de passe dynamiques qui changeaient freacutequemment cependant apregraves regroupement des nombreux mots de passe un scheacutema eacutevident est apparu Le mot de passe suivait une chronologie et eacutetait donc facile agrave deviner Un accegraves direct agrave la base de donneacutees avec des autorisations administratives fut confirmeacute et compromit entiegraverement le systegraveme (voir la Figure 16)
Leservice Webautorisaitdesrequecirctes SQLdirectes une application autorisait des connexions agrave sa base de donneacutees principale via un interpreacuteteur Web accessible sur Internet sans authentification Avec des connaissances limiteacutees en SQL un attaquant pouvait aiseacutement extraire toutes les donneacutees enregistreacutees dans la base de donneacutees cliente y compris les deacutetails complets des comptes des utilisateurs noms dutilisateurs mots de passe adresses de messagerie et autres informations didentification personnelle
En partageant les reacutesultats de ces tests de peacuteneacutetration en conditions reacuteelles notre but est dattirer lattention sur la creacuteativiteacute sans bornes et la deacutetermination sans fin des attaquants malveillants Les testeurs de peacuteneacutetration cherchent agrave reproduire ces techniques pour tenter deacutevaluer avec efficaciteacute chaque commande de seacutecuriteacute et sassurer que les donneacutees sensibles et les fonctions applicatives sont proteacutegeacutees Comme le prouvent ces reacutesultats les tests de seacutecuriteacute automatiseacutes seuls ne mesurent pas inteacutegralement la politique globale dun environnement en matiegravere de seacutecuriteacute et doivent ecirctre compleacuteteacutes par une analyse manuelle
Dans la section suivante les chercheurs HP en seacutecuriteacute de logiciels cherchent agrave mettre agrave jour une vulneacuterabiliteacute cruciale souvent utiliseacutee conjointement avec les nombreuses attaques et techniques mentionneacutees plus haut et pour lesquelles une strateacutegie de preacutevention efficace reste globalement agrave mettre en place
En-tecircteX-Frame-Options eacutechecdelancementPour illustrer la nature toujours changeante de la seacutecuriteacute des applications Web les speacutecialistes du groupe HP Software Security Research ont examineacute une vulneacuterabiliteacute deacutejagrave reconnue et officiellement appeleacute script sur plusieurs cadres ou XFS XFS est un outil indispensable pour tout attaquant qui tente deacutelaborer une attaque de hameccedilonnage (phishing) ou dingeacutenierie sociale dans le but de charger un site Web vulneacuterable dans une balise iFrame HTML sur une page malveillante controcircleacutee par un attaquant Ce dernier peut alors extraire des eacuteveacutenements (des seacutequences de touches par exemple) appeleacutes par un utilisateur quelconque sur le site Web cibleacute
Les vulneacuterabiliteacutes XFS ouvrent eacutegalement la voie aux attaques de type clickjacking6 qui trompent les utilisateurs en les incitant agrave cliquer sur des eacuteleacutements preacutecis sur le site Web cibleacute chargeacute agrave linteacuterieur dune balise iFrame invisible Souvent ces reacutesultats aboutissent sur des actions non voulues voire privileacutegieacutees Depuis des anneacutees les chercheurs mettent en garde contre linefficaciteacute des protections par code frame-busting baseacute sur des scripts dans la preacutevention des menaces du XFS Pourtant les deacuteveloppeurs et les administrateurs de serveur qui les assistent ont toujours uniquement recours au meacutecanisme JavaScript (Figure 17) pour deacutetecter des attaques XFS
Les diverses meacutethodes de preacutevention contre XFS se sont maintes fois montreacutees incomplegravetes ou inefficaces Le plus reacutepandu de ces modes de preacutevention est la logique de frame-busting (destruction) de JavaScript ou plus preacuteciseacutement un script cocircteacute client qui ressemble agrave celui preacutesenteacute dans la Figure 175
Figure 17 Logique classique de frame-busting JavaScript
ltscriptgt
if (top=self) toplocationhref = selflocationhref
ltscriptgt
Livre blanc | Rapport HP 2012 sur les cyber-risques
6 cvedetailscomcveCVE-2002-1217
15
Outre les nombreuses variantes de cette technique quil est facile de deacutenicher en ligne des contre-mesures datteacutenuation ont eacutegalement eacuteteacute mises en place pour lutter aussi contre ces variantes avec des regravegles grosso modo eacutequivalentes agrave celles du jeu de la taupe
Comme le montre la Figure 18 la premiegravere vulneacuterabiliteacute XFS documenteacutee a eacuteteacute deacutecouverte il y a plus de 10 ans7 Depuis le clickjacking est devenu une vulneacuterabiliteacute reacutepandue et malgreacute cela moins de un pour cent de nos eacutechantillons incluait loutil de preacutevention le plus connu agrave savoir len-tecircte X-Frame-Options
Figure 18 Bref historique des eacuteveacutenements majeurs lieacutes agrave la deacutetection de failles de type XFS (script sur plusieurs cadres)
29062002Bug iFrame Jesse Rudermana
28102002Premier CVE XFS connub
16112005Echec des techniques de Framec
21052008Premiegravere mention publique de lattribut iFrame sandboxd
12092008Le terme clickjacking est inventeacutee
26012009Premier navigateur prenant en charge des options X-Framef
17062010Busting Frame Bustinga Study of ClickjackingVulnerabilities on Popular Sitesg
27012012Facebook poursuit uneentreprise de clickjackingh
11072012Dernier conseilXFS connui
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
a httpsbugzillamozillaorgshow_bugcgiid=154957 b httpwwwcvedetailscomcveCVE-2002-1217 c httpcryptostanfordeduframebust d httphtml5orgtoolsweb-apps-trackerfrom=1642ampto=1643 e httpwwwsectheorycomclickjackinghtm f httpblogsmsdncombiearchive20090126internet-explorer-8-release-candidate-now-availableaspx g httpcdnlytlpublicationsbusting-frame-busting-a-study-of-clickjacking-vulnerabilities-on-popular-sitespdf h httpwwwguardiancouktechnology2012jan27facebook-sues-clickjacking-firm-adscend i httposvdborgshowosvdb83762
Lhistoire du XFS (Cross-Frame Scripting ou scripts sur plusieurs cadres) remonte agrave la publication dun rapport relativement banal sur un comportement observeacute par Jesse Ruderman en 20028 et devenu aujourdhui un eacuteleacutement moteur dun autre pheacutenomegravene communeacutement appeleacute clickjacking Un eacuteleacutement cleacute de la reacutegression identifieacutee en matiegravere de seacutecuriteacute eacutetait la deacutecision dajouter lattribut sandbox agrave leacutebauche de la speacutecification HTML5 pour la balise iFrame au milieu de lanneacutee 2008
Les chercheurs ont deacutemontreacute que plusieurs contre-mesures datteacutenuation eacutetaient possibles avec des bugs des navigateurs ou des astuces JavaScript Le dernier eacuteleacutement ajouteacute agrave cette liste comme le montre la Figure 19 est lutilisation dune fonction de seacutecuriteacute introduite dans la speacutecification HTML5 sous la forme dun attribut sandbox iFrame que les attaquants peuvent exploiter pour deacutesactiver les protections de frame-busting de JavaScript
Figure 19 Attribut sandbox iFrame
ltiframe sandbox=rdquoallow-scriptsrdquo src=rdquohttpexamplecomrdquogtltiframegt
Lobjet de lattribut sandbox est daccorder lautorisation dexeacutecuter des scripts (allow-scripts) dans le contenu cibleacute A titre accessoire toutes les logiques de frame-busting employeacutees par examplecom sont effectivement deacutesactiveacutees en lui refusant lautorisation allow-top-navigation dans sa speacutecification sandbox
Gracircce agrave lattribut sandbox cette technique permet agrave un attaquant de deacutejouer de maniegravere efficace toutes les tentatives de frame-busting que megravenent les deacuteveloppeurs pour se proteacuteger de tout encadrement de site et toute opeacuteration de clickjacking par des tiers Les eacutediteurs de navigateurs ont introduit et valideacute une technique de preacutevention baseacutee sur des strateacutegies bien plus forte gracircce agrave len-tecircte X-Frame-Options Les deacuteveloppeurs peuvent se servir de cet en-tecircte pour dicter au navigateur les actions adeacutequates agrave entreprendre si leur site est inclus dans un iFrame Malheureusement ladoption de cette fonction parmi les deacuteveloppeurs est tregraves lente et offre aux attaquants un vaste terrain de sites potentiellement exploitables agrave mesure quils deacutecouvrent de nouvelles techniques pour contourner les scripts de frame-busting Ceci rend plus indispensable encore ladoption et la mise en œuvre de len-tecircte X-Frame-Options puisque ce dernier constitue la solution de facto agrave ce problegraveme et reste en vigueur mecircme lorsque le nouvel attribut sandbox HTML5 est utiliseacute Voilagrave donc ce qui motive notre projet de recherche et ce qui est agrave lorigine de notre question de deacutepart Combien de domaines incluent des en-tecirctes X-Frame-Options et combien le font correctement
Livre blanc | Rapport HP 2012 sur les cyber-risques
7 cvedetailscomcveCVE-2002-1217 8 httpsbugzillamozillaorgshow_bug
cgiid=154957
16
Collection de jeux deacutechantillons Dans le cadre de cette eacutetude le groupe HP Fortify Software Security Research a meneacute des recherches pour eacutevaluer agrave quel point les faibles pratiques de preacutevention des attaques XFS restent aujourdhui adopteacutees et font autoriteacute Nos reacutesultats soulignent eacutegalement la reacuteticence et le rythme dadoption tregraves lent dautres meacutethodes plus seacutecuriseacutees recommandeacutees par des speacutecialistes des navigateurs et des experts en seacutecuriteacute
Alexa9 fut utiliseacute pour renseigner une collection de 100 000 sites Web (les plus connus) et geacuteneacuterer une liste distribueacutee dans de nombreux secteurs diffeacuterents Une fois la liste de deacutepart creacuteeacutee avec ses 100 000 URL les demandes de niveau supeacuterieur furent assembleacutees en concateacutenant ldquohttprdquo dans lURL obtenue Par exemple
ldquohttprdquo + exemplecom = httpexemplecom
Ensuite la nouvelle URL composeacutee fut demandeacutee et la reacuteponse obtenue examineacutee de maniegravere passive agrave la recherche des eacuteleacutements suivants
bull La preacutesence dun en-tecircte X-Frame-Options et de ses valeurs respectives
bull La preacutesence dun champ de mot de passe dans la reacuteponse de la demande de niveau supeacuterieur Un champ de mot de passe est censeacute indiquer un niveau de sensibiliteacute qui doit ecirctre proteacutegeacute par lapplication
bull Si la preacutesence de len-tecircte neacutetait pas respecteacutee lURL cible eacutetait soumise agrave des tests suppleacutementaires afin de distinguer si une tentative de deacutejouer les attaques XFS avait eu lieu Le recours agrave la preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade a eacuteteacute enregistreacute pour une analyse ulteacuterieure
Reacutesultats90 des eacutechantillons analyseacutes nont jamais rien tenteacute pour se proteacuteger des attaques XFS De tous les domaines doteacutes dune protection active contre les attaques XFS 62 ont recours agrave des meacutecanismes de preacutevention faibles fondeacutes sur les scripts Sur les 100 000 domaines testeacutes 19 848 disposaient de champs de mot de passe dans la demande de niveau supeacuterieur avec seulement 101 domaines preacutecisant un en-tecircte X-Frame-Options Celasignifieque01 deseacutechantillonssontproteacutegeacutesDe plus plus de 99 des eacutechantillons oubliaient de speacutecifier un en-tecircte X-Frame-Options tandis que 19 dentre eux avaient une raison dinclure len-tecircte mais ne lont pas fait
Les reacutesultats montrent que soit les deacuteveloppeurs ne sont pas suffisamment informeacutes des risques que posent les vulneacuterabiliteacutes XFS soit ils ne souhaitent consacrer aucun effort agrave la protection de leurs visiteurs Si 2 307 eacutechantillons deacutevoilaient des protections contre les attaques XFS seulement 38 ont opteacute pour lutilisation de len-tecircte X-Frame-Options preacuteconiseacute 1 432 eacutechantillons ont montreacute quils employaient toujours des techniques de preacutevention et datteacutenuation fondeacutees sur JavaScript ou les feuilles de style en cascade qui se sont aveacutereacutees insuffisantes (voir la Figure 20)
Les 875 domaines fondeacutes sur len-tecircte X-Frame-Options affichaient la distribution de valeurs suivante
1 702 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur SAMEORIGIN
2 151 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur DENY
3 13 des 875 domaines eacutetaient deacutefinis avec lattribut Allow-from
4 8 des 875 valeurs fournies eacutetaient conformes agrave leacutebauche de lIETF10
Aucun des 13 domaines utilisant lattribut Allow-from ne preacutecisait un caractegravere geacuteneacuterique () reacuteduisant les risques lieacutes agrave une politique de libre accegraves La Figure 21 preacutesente ces valeurs sous forme de pourcentages
Livre blanc | Rapport HP 2012 sur les cyber-risques
9 httpsbugzillamozillaorgshow_bugcgiid=154957
10 httptoolsietforghtmldraft-ietf-websec-x-frame-options-01
Figure 20Preacutevention des risques lieacutes aux scripts sur plusieurs cadres
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade 62
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade
Options X-Frame 38
Options X-Frame
Figure 21Reacutepartition des valeurs den-tecircte X-Frame-Options fournies
REFUS 17 Allow-from
2 Autres (valeurs non en conformiteacute)1
MEcircME ORIGINE 80
17
Encadrementintersites conclusionIl est eacutevident que toutes les ressources nont pas besoin decirctre proteacutegeacutees contre les attaques XFS Cependant il demeure des situations ougrave la mise en place dune protection adeacutequate est justifieacutee et indispensable Une mesure employeacutee pour identifier ces cas au cours de cette eacutetude eacutetait la preacutesence dun champ de saisie de mot de passe dans un formulaire Les pages dauthentification sont les plus exposeacutees agrave une attaque de type clickjacking En se focalisant sur les pages munies de champs pour la saisie des mots de passe lanalyse tente deacutetablir un lien entre la sensibiliteacute dune ressource et les efforts investis pour la proteacuteger Une des statistiques les plus surprenantes dans lanalyse est que seulement 103 des 100 000 domaines proteacutegeaient comme il se doit les pages avec des champs de mots de passe confidentiels soit un taux exorbitant de 010 qui suggegravere que la puissance et lefficaciteacute de len-tecircte ont fait lobjet dune mauvaise promotion nont pas obtenu ladheacutesion des administrateurs des serveurs ou nont pas seacuteduit les deacuteveloppeurs
Il convient de souligner que si un peu plus de 80 des reacuteponses ne contenaient aucun champ de mot de passe cela ne veut pas dire pour autant quil ne faut pas proteacuteger le contenu Autrement dit leacutechantillon nincluait aucun champ de mot de passe dans la demande de niveau supeacuterieur Il est donc tregraves probable que beaucoup dautres sites sexposent agrave des risques en avanccedilant plus loin dans larborescence du site La mesure la plus importante agrave noter est le pourcentage remarquable de sites sans en-tecircte X-Frame-Options soit 99
Apregraves une analyse approfondie des reacutesultats des recherches speacutecialiseacutees consacreacutees aux attaques XFS la section qui suit se concentre agrave nouveau sur ce qui semble ecirctre le sujet de conversation le plus populaire en 2012 en matiegravere de seacutecuriteacute la seacutecuriteacute des applications mobiles
Seacutecuriteacutedesapplicationsmobiles
Dix secondes dans une file dattente nimporte ougrave suffisent pour se rendre compte que lutilisation dappareils mobiles a litteacuteralement exploseacute En fait pour la premiegravere fois 2012 est lanneacutee pendant laquelle le nombre de smartphones vendus a deacutepasseacute le nombre dordinateurs portables et dordinateurs de bureau agrave la fois11 Cette augmentation a eacuteteacute suivie aussi dune hausse proportionnelle des risques surtout au moment ougrave les entreprises essaient de mettre agrave profit les avantages quoffre la mobiliteacute Comme nous lavons vu plus haut lOSVDB a signaleacute une hausse de 68 du nombre de vulneacuterabiliteacutes signaleacutees pour les technologies mobiles depuis 2011 soit une augmentation de 787 sur les cinq derniegraveres anneacutees Lors de nos tests nous sommes toujours revenus au mecircme constat Si vous posseacutedez des donneacutees des attaquants chercheront agrave sen emparer
Pour eacutevaluer leacutetat actuel de la seacutecuriteacute des applications mobiles leacutequipe HP Fortify on Demand a rassembleacute les reacutesultats de plus de 70 applications mobiles agrave la recherche de failles de seacutecuriteacute Ce jeu deacutechantillons concernait plus de 50 organisations uniques et de nombreux secteurs au niveau local et international Il peut donc ecirctre consideacutereacute comme une repreacutesentation relativement preacutecise dune application mobile moyenne Les reacutesultats montrent que les vulneacuterabiliteacutes qui compromettent la seacutecuriteacute des applications mobiles sont les mecircmes que pour les applications classiques Ils montrent eacutegalement quun problegraveme surtout se distingue des autres Dans le paysage informatique actuel la fuite dinformation est un problegraveme particuliegraverement reacutepandu et neacutefaste La demande croissante dinformations des travailleurs mobiles allieacutee aux services de cloud de plus en plus omnipreacutesents et agrave une hausse des appareils grand public non geacutereacutes sur le reacuteseau dentreprise repreacutesente un deacutefi notable pour de nombreuses organisations
Fuite de donneacutees sensibles sur des canaux non seacutecuriseacutesLa fuite de donneacutees est un problegraveme de longue date pour les applications Web Si elle peut paraicirctre un problegraveme dampleur modeacutereacutee elle implique souvent une information en apparence inoffensive qui permet agrave un attaquant de renforcer sa strateacutegie dattaque pour mener une attaque plus dangereuse encore La mecircme chose vaut pour les applications mobiles Plus des trois quarts (77 ) des applications mobiles dans notre eacutetude eacutetaient vulneacuterables et en proie agrave des fuites dinformations Nous avons deacutecouvert que les donneacutees personnelles dun utilisateur eacutetaient souvent transmises via des protocoles reacuteseau non crypteacutes comme le protocole HTTP Il sagissait pour la plupart dinformations simples comme des noms des adresses et des numeacuteros de teacuteleacutephone Cependant dans notre jeu deacutechantillons ces donneacutees comprenaient eacutegalement lemplacement actuel de lutilisateur ainsi que lidentifiant unique de lappareil (eacutegalement appeleacute UDID)
Livre blanc | Rapport HP 2012 sur les cyber-risques
11 voiceswashingtonpostcomposttech201011smartphone_sales_to_pass_compuhtml
18
LUDID est primordial pour un appareil car il peut servir agrave des attaques extrecircmement cibleacutees contre des utilisateurs en particulier Si les donneacutees de geacuteolocalisation lidentifiant unique de lappareil et les donneacutees personnelles eacutetaient intercepteacutees sur une application vulneacuterable ce que cela implique dans la reacutealiteacute est eacutetonnant Un attaquant pourrait localiser une cible dans le monde reacuteel et les possibiliteacutes qui souvriraient alors agrave lui seraient illimiteacutees Cest la porte ouverte agrave un sceacutenario effroyable que la plupart des gens ne soupccedilonnent pas Bien entendu lexploitation dapplications simples et banales peut eacutegalement avoir lieu Imaginez le sceacutenario suivant Si lapplication transmet lUDID le nom complet ladresse et ainsi de suite agrave un service Web vulneacuterable et que ce dernier est la cible potentielle dune attaque par injection SQL on conccediloit aiseacutement que chaque bit de donneacutees sur cet appareil mobile soit accessible Il est eacutetonnant de voir jusquougrave une fuite dinformation peut mener un attaquant si les circonstances jouent en sa faveur et que tout alors est du domaine du probable voire du possible
Les donneacutees transmises sur des canaux non seacutecuriseacutes ne se limitaient pas aux donneacutees personnelles Les donneacutees applicatives elles non plus neacutetaient pas proteacutegeacutees Nous avons deacutecouvert que des informations de connexion des informations didentification utilisateur des ID de session des jetons et des donneacutees dentreprise sensibles eacutetaient transmises via des protocoles reacuteseau non crypteacutes agrave linstar du protocole HTTP Imaginez les conseacutequences pour une application bancaire vulneacuterable Si des informations didentification des identificateurs de session des informations didentification personnelle ou dautres donneacutees strateacutegiques sont transmises vers un serveur principal la transmission se doit decirctre seacutecuriseacutee sans quoi les donneacutees peuvent ecirctre intercepteacutees par un attaquant au moyen doutils ou dapplications de capture de paquets reacuteseau courants (par exemple DroidSheep)
Les recherches ont montreacute que 375 des applications pouvaient ecirctre la cible dune vulneacuterabiliteacute impliquant une forme quelconque dautorisation notamment des mots de passe en texte clair des mots de passe codeacutes en dur et des mots de passe inteacutegreacutes agrave la reacuteponse Ce pourcentage bien plus eacuteleveacute que pour les applications dites traditionnelles prouve eacutegalement que les deacuteveloppeurs dapplications mobiles doivent travailler davantage pour proteacuteger leurs donneacutees
Dautres vulneacuterabiliteacutes deacutetecteacutees en nombres importants incluaient les attaques de type stack-smashing Plus de la moitieacute des vulneacuterabiliteacutes (5545 ) noffraient aucune protection adeacutequate contre ce type dattaque Si cet oubli nentraicircne pas lexeacutecution du code il peut quand mecircme geacuteneacuterer une panne injustifieacutee de lapplication vulneacuterable
Qui plus est 135 des applications eacutetaient vulneacuterables agrave des attaques XSS Ceci fut une reacuteelle surprise puisque tous les autres ensembles dapplications que nous avons testeacutes mobiles et traditionnels reacuteveacutelaient des nombres de vulneacuterabiliteacutes XSS plus eacuteleveacutes Un examen plus attentif de ces nombres a montreacute que les applications vulneacuterables eacutetaient des applications destineacutees autant agrave la gestion de la finance que des bases de donneacutees En dautres termes le faible pourcentage ne reacuteduisait pas limpact potentiel
Les accegraves non autoriseacutes concernent quasiment la moitieacute des applications mobilesNous avons chercheacute dautres donneacutees en examinant les reacutesultats obtenus par notre partenaire Security Compass lors de ses tests sur dautres applications A de nombreux eacutegards ils confirment les chiffres eacutevoqueacutes preacuteceacutedemment
48 des applications eacutetaient la proie de vulneacuterabiliteacutes daccegraves non autoriseacute Elles valident les vulneacuterabiliteacutes dauthentification (375 ) que nous avons eacutevoqueacutees dans notre eacutechantillon plus haut Les chiffres montrent que les deacuteveloppeurs dapplications mobiles doivent autant se concentrer sur la preacutevention des accegraves non autoriseacutes sur les applications mobiles que sur les moyens de faciliter laccegraves pour les utilisateurs leacutegitimes
37 des applications posaient des problegravemes de divulgation dinformations sensibles 26 avaient recours agrave des pratiques de connexion meacutediocres et 19 affichaient des messages derreur de mauvaise qualiteacute qui reacuteveacutelaient des informations susceptibles decirctre exploiteacutees par des attaquants Ceci corrobore nos donneacutees preacuteceacutedentes car nous avons vu agrave quel point les fuites dinformations eacutetaient importantes Lors du codage des applications mobiles les deacuteveloppeurs ne tiennent pas compte de ce quimplique la seacutecuriteacute pour le stockage la transmission et laccegraves des donneacutees
33 des applications eacutetaient vulneacuterables agrave des attaques XSS Des tests reacutepeacutetitifs montrent que les attaques par script intersite (XSS) sont autant une menace pour les applications mobiles que pour les applications stationnaires Ces reacutesultats sont en phase avec ce que nous avons constateacute lors des tests des applications traditionnelles
Livre blanc | Rapport HP 2012 sur les cyber-risques
19
26 des applications employaient une meacutethode de cryptage inadapteacutee Le cryptage sur des ordinateurs dentreprise est aujourdhui une pratique standard pour la plupart des entreprises du classement Fortune 500 Il y a dix ans la presse regorgeait dhistoires de donneacutees deacuterobeacutees sur des ordinateurs perdus Les risques dans ce domaine se sont reacuteduits dune part gracircce aux mesures leacutegislatives mises en places et dautre part parce que les entreprises ont eu loccasion de lapprendre agrave leurs deacutepens Pourtant ces mecircmes pratiques standard ne sont pas appliqueacutees aux appareils mobiles et agrave legravere du BYOD (Bring your own device) cela peut saveacuterer dangereux
Les dix principales vulneacuterabiliteacutes des applications mobiles Le partenaire dHP Security Compass a eacutegalement analyseacute les vulneacuterabiliteacutes des applications mobiles et les a eacutetiqueteacutees par type (voir la Figure 22) Ainsi donc agrave quoi les applications moyennes sont-elles le plus vulneacuterables par ordre de preacutevalence des vulneacuterabiliteacutes A quels types dattaques par incident les applications mobiles sont-elles le plus vulneacuterables
Sur les dix principales vulneacuterabiliteacutes constateacutees en matiegravere dapplications mobiles XSS affichait le deuxiegraveme taux le plus eacuteleveacute et repreacutesentait 15 de toutes les vulneacuterabiliteacutes deacutecouvertes dans ce jeu deacutechantillons Les chiffres confirment eacutegalement que lorsquelles sont consigneacutees par ordre doccurrence les vulneacuterabiliteacutes de fuite dinformation et daccegraves non autoriseacuteauthentification indiquent aux deacuteveloppeurs dapplications mobiles comment ils peuvent mieux seacutecuriser leurs applications en concentrant davantage leurs efforts sur ces domaines
Rechercheentechnologiemobile lacommunicationenchampproche (NFC)pourlesapplicationsmobilesdepaiementNous avons constateacute que les vulneacuterabiliteacutes lieacutees aux applications mobiles eacutetaient en hausse constante mais il est indispensable eacutegalement danticiper et de connaicirctre les nouvelles vulneacuterabiliteacutes qui verront le jour Les nouvelles technologies introduisent en permanence des failles de seacutecuriteacute possibles La plate-forme mobile ne fait pas exception Lune de ces nouvelles technologies est la communication en champ proche (NFC) La communication en champ proche (NFC) deacutesigne une meacutethode de communication de donneacutees sans contact entre des appareils proches les uns des autres Elle a deacutejagrave eacuteteacute adopteacutee en Europe et en Asie et fait depuis peu des adeptes en Ameacuterique du Nord Le Forum NFC (consortium regroupant plusieurs membres tels que Sony Nokia et Philips) applique des normes strictes pour les fabricants dappareils compatibles NFC Les eacutediteurs dapplications disposent ainsi dune architecture seacutecuriseacutee et dune infrastructure compatible qui leur permettent dexploiter cette technologie pour des applications de paiement mobiles et le partage de donneacutees (par exemple leacutechange de devises entre homologues)
Il existe actuellement plusieurs smartphones compatibles NFC Cest le cas du Googletrade Nexus 5 du Samsung Galaxy S II et des BlackBerry Bold 9900 et 9930 Plusieurs socieacuteteacutes exploitent aujourdhui cette technologie
bull Google Wallet conteneur seacutecuriseacute pour les informations de carte de creacutedit qui facilite les transactions NFC
bull MasterCard PayPass service de paiement sans contact (actuellement pris en charge dans Google Wallet)
bull Visa payWave service de paiement sans contact
bull PayPal meacutethode bump (application Bump) pour le transfert dargent ou la reacutealisation de paiements entre utilisateurs
bull Apple iPhone prise en charge de la NFC attendue dans une prochaine version (non confirmeacutee)12
Problegravemes de seacutecuriteacutePlusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (donneacutees de carte de creacutedit ou numeacuteros de comptes) sont transmises via un canal NFC sur un appareil mobile Voici des exemples de cas reacuteels constateacutes reacutecemment dans le domaine de la seacutecuriteacute
Cas 1La technologie NFC est employeacutee dans le cadre de solutions de paiement grand public avec deux modes de mise en œuvre distincts
bull Puce NFC dans des cartes de creacutedit grand public telles que MasterCard PayPass et Visa payWave
bull NFC utiliseacutee dans des solutions de portefeuille mobile
Livre blanc | Rapport HP 2012 sur les cyber-risques
12 Il existe actuellement des eacutediteurs agrave linstar de DeviceFidelity qui proposent des composants tiers qui reproduisent la prise en charge de la communication en champ proche (NFC) pour les appareils iPhone
Figure 22Preacutevalence des dix principales vulneacuterabiliteacutes (en pourcentage)
Accegraves non autoriseacute 18
Scripts intersites 15
Divulgation dinformations sensibles 12
Traitementnon seacutecuriseacute des sessions 11
Vulneacuterabiliteacutes du traitement des cookies 9
Meacutethode de cryptage inadapteacutee 9
Pratiques de connexion meacutediocres 8
Saisie semi-automatique sur des formulaires agrave donneacutees sensibles 6
Informations didentificationen texte clair 6
Messages derreur de mauvaise qualiteacute 6
20
Le deacutefi du premier mode de mise en œuvre est double le premier est que pour la plupart des eacutemetteurs de cartes de creacutedit linstallation de la puce NFC est obligatoire le deuxiegraveme est que par deacutefinition la puce NFC est toujours activeacutee Par exemple si la carte de creacutedit dun utilisateur est dans le champ dun lecteur NFS actif comme celui que lon rencontre dans un terminal de point de vente la carte de creacutedit transmet automatiquement le numeacutero de carte de creacutedit de lutilisateur au lecteur NFS de reacuteception A preacutesent imaginez le sceacutenario pour les appareils mobiles les plus modernes eacutequipeacutes de puces NFS inteacutegreacutees Dans le monde dAndroid il existe des applications conccedilues pour activer la puce NFC de lappareil mobile pour reproduire le comportement du lecteur NFS dun terminal de point de vente A laide dun appareil mobile ou dune application de ce genre un attaquant peut potentiellement activer la puce NFC de son appareil Android croiser des gens dans un endroit peupleacute et tenter danalyser leurs cartes de creacutedit pour recueillir leur numeacutero de compte permanent (PAN)
Les solutions de portefeuille mobile NFC sont souvent vulneacuterables agrave ce mecircme type dattaque si la solution concerneacutee ne deacutesactive pas ou ne retire pas la puce NFC une fois lexeacutecution dune transaction termineacutee Heureusement cette vulneacuterabiliteacute peut facilement ecirctre reacutesolue par des deacuteveloppeurs de solutions de portefeuille mobile sils retirent la puce NFC apregraves usage
Cas 2Plusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (par exemple des donneacutees de carte de creacutedit ou des numeacuteros de comptes) sont transmises via un canal NFC
bull Ecoute tentative dintercepter la communication des donneacutees de transmission NFC (par exemple proxy NFC)
bull Manipulation des donneacutees tentative de manipuler la communication des donneacutees de transmission NFC (par exemple pour identifier des reacutesultats erroneacutes)
bull Attaques par interception tentative dexploitation des modes actifpassif de lappareil pour envoyer et recevoir la communication des donneacutees de transmission NFC
bull Vol tentative dacceacuteder sans autorisation agrave lapplication de paiement mobile (comme si lappareil a eacuteteacute voleacute ou perdu) et examen des fichiers stockeacutes sur lappareil agrave la recherche dinformations sensibles
Cas 3Au cœur mecircme de la fonction NFC se trouve un composant appeleacute eacuteleacutement seacutecuriseacute Deux types de mise en œuvre de cet eacuteleacutement sont possibles (1) les eacuteleacutements incorporeacutes dans lappareil et (2) les eacuteleacutements chargeacutes dans une carte SIM Dans les cas ougrave leacuteleacutement seacutecuriseacute est chargeacute dans une carte SIM il est possible que la carte SIM soit retireacutee et eacutechangeacutee sous les yeux dun utilisateur creacutedule Cette situation aboutit agrave des sceacutenarios dattaque semblables aux suivants
bull Echange de carte SIM avec un autre appareil (du mecircme type) pour tenter dacceacuteder au contenu de leacuteleacutement seacutecuriseacute Dans certains cas lutilisation dun appareil de type diffeacuterent peut offrir un accegraves suppleacutementaire aux informations de leacuteleacutement seacutecuriseacute sil nest pas mis en œuvre de maniegravere seacutecuriseacutee Par exemple il existe un risque de contournement de lapplication de paiement ou de la protection du mot de passe au niveau du teacuteleacutephone en cas deacutechange de carte SIM dans un teacuteleacutephone eacutequivalent avec lapplication de paiement et sans mot de passe
bull Identification des donneacutees contenant des informations sensibles dans leacuteleacutement seacutecuriseacute situeacute dans la carte SIM apregraves une opeacuteration de restauration sur un autre appareil Il peut sagir aussi dattaques visant agrave cloner ou copier la carte SIM au moyen dun mateacuteriel externe
Notez que la difficulteacute daccegraves agrave leacuteleacutement seacutecuriseacute offre une certaine garantie sur lenvironnement de seacutecuriteacute de leacuteleacutement seacutecuriseacute sur lappareil cible
Cas 4Dans certains cas il est possible que limpleacutementation de lapplet VMPA dans leacuteleacutement seacutecuriseacute nait pas tenu compte de tous les eacuteleacutements de seacutecuriteacute Il peut sagir par exemple dune signature et dun controcircle daccegraves insuffisants de lapplet VMPA qui permettent agrave une application quelconque de deacutemarrer et dy soumettre des requecirctes Cette situation peut offrir agrave une application non autoriseacutee la possibiliteacute dappeler lapplet VMPA via la commande APDU (JSR 177) Une requecircte bien formuleacutee peut potentiellement permettre dactiver la radio NFC et de transmettre des informations de carte de creacutedit
Livre blanc | Rapport HP 2012 sur les cyber-risques
21
Bien que des informations et une analyse exactes peuvent ecirctre obtenues agrave partir dun appareil dinvestigation (si un accegraves agrave ce type de mateacuteriel est disponible) il nexiste pour lheure aucun outil autorisant laccegraves agrave des informations de leacuteleacutement seacutecuriseacute Leacuteleacutement seacutecuriseacute comme son nom lindique fournit des meacutecanismes de seacutecuriteacute preacutecis (par exemple controcircle daccegraves cryptage et reacutepartition) qui empecircchent lextraction dinformations sensibles eacuteventuelles Cest pourquoi un accegraves dinvestigation explicite agrave leacuteleacutement seacutecuriseacute nest actuellement pas possible mecircme avec un outil dinvestigation distribueacute par les leaders du marcheacute
RecommandationsIl existe des mesures que les organisations peuvent prendre pour reacuteduire les risques que posent les failles de seacutecuriteacute des applications mobiles Avant tout les applications doivent ecirctre manuellement controcircleacutees et eacutevalueacutees avant le lancement des produits afin de deacuteterminer la preacutesence de vulneacuterabiliteacutes dinjection ou de vulneacuterabiliteacutes de fuite dinformation Le code doit ecirctre analyseacute via une analyse statique au moment de le deacutevelopper pour y rechercher des failles Comme pour toutes les applications il est moins coucircteux de geacuterer des failles de seacutecuriteacute lors de la phase de deacuteveloppement quau moment de leur diffusion
Les normes de transmission seacutecuriseacutee des donneacutees doivent ecirctre incluses dans le cahier des charges de toutes les applications surtout si ces derniegraveres sont eacutelaboreacutees par des deacuteveloppeurs tiers Il en va de mecircme pour le stockage seacutecuriseacute des donneacutees et le journal des applications Des exigences raisonnables en matiegravere daffichage des communications entre applications et dautorisations dans ces derniegraveres doivent ecirctre rigoureusement deacutefinies Tous ces aspects doivent ecirctre geacutereacutes lors de la phase de deacutefinition des exigences et testeacutes lors du deacuteveloppement Au moment dexeacutecuter les tests de seacutecuriteacute et lanalyse sur les applications mobiles les services Web cocircteacute serveur et les API avec lesquels les clients mobiles communiquent doivent ecirctre pris dans leur contexte et analyseacutes pour y deacuteceler des vulneacuterabiliteacutes Des failles agrave haut risque peuvent passer agrave la trappe si ces deux eacuteleacutements sont testeacutes et compareacutes hors de leur contexte
Conclusions
Lobjectif de ce rapport est de fournir aux organisations toutes les informations de seacutecuriteacute qui les aideront agrave mieux comprendre comment deacuteployer les ressources limiteacutees dont elles disposent pour minimiser au maximum leurs risques en matiegravere de seacutecuriteacute A cet effet les tendances et les enseignements agrave tirer de lanneacutee 2012 sont nombreux et doivent ecirctre pris en compte pour la ou mecircme les anneacutees qui viennent
Militarisation des vulneacuterabiliteacutes Les attaquants ne cesseront jamais de militariser les vulneacuterabiliteacutes pour mener agrave bien leurs activiteacutes malveillantes Ceux qui eacutelaborent les kits dexploitation continueront de se focaliser sur des vulneacuterabiliteacutes dans les logiciels les plus reacutepandus ciblant le plus souvent des navigateurs et des plug-ins de navigateur tels que Oracle Java et Adobereg Flash De mecircme le nombre dattaques meneacutees publiquement agrave lencontre de technologies et dentreprises speacutecifiques continuera daugmenter Des organisations criminelles des Etats-nations et des hacktivistes se serviront toujours des cyber-attaques comme moyen duniformiser les regravegles du jeu contre des adversaires riches ou puissants mecircme si les reacuteelles motivations derriegravere ces attaques resteront souvent difficiles agrave deacuteterminer
Vulneacuterabiliteacutes des technologies mobilesLadoption croissante des technologies mobiles et leur utilisation au sein de lentreprise engendreront toujours des risques consideacuterables Nombre de gens lont deacutejagrave constateacute les programmes malveillants deacuteployeacutes sur les marcheacutes qui opposent Android et Apple poursuivent leur croissance Laggravation de ce problegraveme est essentiellement lieacutee au fait que les entreprises ne disposent pas du mecircme type de controcircle sur ces appareils que sur des PC Au moment ougrave le BYOD (Bring your own device) devient la norme et que ladoption des appareils mobiles prend de lampleur on peut sattendre agrave une hausse proportionnelle du nombre de failles chez les applications mobiles tendance qui devrait se maintenir dans un avenir preacutevisible
Livre blanc | Rapport HP 2012 sur les cyber-risques
22
DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables
Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications
Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables
Pourensavoirplusconsultezlapage Web hpcomgoSIRM
Livre blanc | Rapport HP 2012 sur les cyber-risques
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013
13
Figure 15 Anatomie dune attaque par injection SQL
Site bancaireBase de donneacutees
de la banque
1=1
Attaquant malveillant
1 Lattaquant envoie des informations suppleacutementaires telles quun guillemet ou 1=1 avec des informations de connexion ou inclure des variablespour modifier linstruction SQL originale
3 Une fois que le scheacutema de base de donneacutees a eacuteteacute deacutefini lattaquant peut extraire les donneacutees contenues dans la base de donneacutees notamment les noms dutilisateur les mots de passes les informations de carte de creacutedit etc
2 Avec lapproche par essais et erreurs lattaquant peut construire des arguments SQL pouvant ecirctre utiliseacutes pour reacutecupeacuterer des donneacutees telles que des noms de tableaux ou des noms delignes etc
Mauvaiseconfiguration SAP Linteacutegraliteacute de la base de donneacutees des cartes de creacutedit eacutetait accessible et eacutetait transfeacutereacutee dans un fichier Les commandes configureacutees dans la structure SAP mise en place eacutetaient de qualiteacute meacutediocre et permettaient agrave des repreacutesentants du service clientegravele dexeacutecuter des transactions agrave caractegravere sensible y compris le navigateur de donneacutees HR (SE16) Cette fonction eacutetait exploiteacutee pour parcourir et charger le contenu tout entier de la table des donneacutees des cartes de creacutedit des clients Accessibles de cette maniegravere toutes les donneacutees pouvaient aiseacutement ecirctre exporteacutees agrave laide de comptes SAP avec des privilegraveges moindres
AttaquesparauthentificationparsessionlogiqueetautresattaquesSecteurs dactiviteacute compagnies aeacuteriennes secteur bancaire international et eacutenergieListedebilletsdavionviadesservices Webdecreacuteationdecodes QRmobiles Les testeurs eacutetaient capables de reconstituer agrave rebours une partie de la fonction des services Web pour creacuteer des numeacuteros de billets De faux codes QR de billets davion eacutetaient ainsi geacuteneacutereacutes pour des vols aeacuteriens Il est tout est fait possible que lexploitation de cette fonction ait permis aux attaquants de voler gratuitement En labsence de controcircles preacuteventifs efficaces ils pouvaient senregistrer librement par le biais de leurs appareils mobiles Le recours agrave une fonction de controcircle aleacuteatoire standard des numeacuteros de billets aurait pu eacutegalement eacuteviter ce problegraveme
Figure 16 Creacuteation de mots de passe dynamiques agrave cryptage facilement reacuteversible
AttaqueSQL
Servicedauthen-tification
Web
Capturedu trafic chiffreacute
Deacutesactivationdu chiffrement
du mot depasse
Randomisationdes mots de
passeinsuffisante
Accegravesadministrateur
agrave la basede donneacutees
Deacutesactivation du chiffrement -mot de passe devinable
Accegraves complet agrave labase de donneacutees avec des
autorisations dadministrateur
Livre blanc | Rapport HP 2012 sur les cyber-risques
14
Creacuteationdemotsdepassedynamiquesagravecryptagefacilementreacuteversible lapplication cliente lourde testeacutee communiquait avec un service Web qui se chargeait dabord dauthentifier lutilisateur qui tentait de se connecter Ensuite lapplication demandait le mot de passe au serveur de base de donneacutees principal Au deacutepart le mot de passe eacutetait crypteacute pour la transmission mais simultaneacutement lors dune autre attaque SQL un indicateur de la base de donneacutees a eacuteteacute renverseacute deacutesactivant et annulant ainsi les effets du cryptage Il sest aveacutereacute que le systegraveme mettait en place des mots de passe dynamiques qui changeaient freacutequemment cependant apregraves regroupement des nombreux mots de passe un scheacutema eacutevident est apparu Le mot de passe suivait une chronologie et eacutetait donc facile agrave deviner Un accegraves direct agrave la base de donneacutees avec des autorisations administratives fut confirmeacute et compromit entiegraverement le systegraveme (voir la Figure 16)
Leservice Webautorisaitdesrequecirctes SQLdirectes une application autorisait des connexions agrave sa base de donneacutees principale via un interpreacuteteur Web accessible sur Internet sans authentification Avec des connaissances limiteacutees en SQL un attaquant pouvait aiseacutement extraire toutes les donneacutees enregistreacutees dans la base de donneacutees cliente y compris les deacutetails complets des comptes des utilisateurs noms dutilisateurs mots de passe adresses de messagerie et autres informations didentification personnelle
En partageant les reacutesultats de ces tests de peacuteneacutetration en conditions reacuteelles notre but est dattirer lattention sur la creacuteativiteacute sans bornes et la deacutetermination sans fin des attaquants malveillants Les testeurs de peacuteneacutetration cherchent agrave reproduire ces techniques pour tenter deacutevaluer avec efficaciteacute chaque commande de seacutecuriteacute et sassurer que les donneacutees sensibles et les fonctions applicatives sont proteacutegeacutees Comme le prouvent ces reacutesultats les tests de seacutecuriteacute automatiseacutes seuls ne mesurent pas inteacutegralement la politique globale dun environnement en matiegravere de seacutecuriteacute et doivent ecirctre compleacuteteacutes par une analyse manuelle
Dans la section suivante les chercheurs HP en seacutecuriteacute de logiciels cherchent agrave mettre agrave jour une vulneacuterabiliteacute cruciale souvent utiliseacutee conjointement avec les nombreuses attaques et techniques mentionneacutees plus haut et pour lesquelles une strateacutegie de preacutevention efficace reste globalement agrave mettre en place
En-tecircteX-Frame-Options eacutechecdelancementPour illustrer la nature toujours changeante de la seacutecuriteacute des applications Web les speacutecialistes du groupe HP Software Security Research ont examineacute une vulneacuterabiliteacute deacutejagrave reconnue et officiellement appeleacute script sur plusieurs cadres ou XFS XFS est un outil indispensable pour tout attaquant qui tente deacutelaborer une attaque de hameccedilonnage (phishing) ou dingeacutenierie sociale dans le but de charger un site Web vulneacuterable dans une balise iFrame HTML sur une page malveillante controcircleacutee par un attaquant Ce dernier peut alors extraire des eacuteveacutenements (des seacutequences de touches par exemple) appeleacutes par un utilisateur quelconque sur le site Web cibleacute
Les vulneacuterabiliteacutes XFS ouvrent eacutegalement la voie aux attaques de type clickjacking6 qui trompent les utilisateurs en les incitant agrave cliquer sur des eacuteleacutements preacutecis sur le site Web cibleacute chargeacute agrave linteacuterieur dune balise iFrame invisible Souvent ces reacutesultats aboutissent sur des actions non voulues voire privileacutegieacutees Depuis des anneacutees les chercheurs mettent en garde contre linefficaciteacute des protections par code frame-busting baseacute sur des scripts dans la preacutevention des menaces du XFS Pourtant les deacuteveloppeurs et les administrateurs de serveur qui les assistent ont toujours uniquement recours au meacutecanisme JavaScript (Figure 17) pour deacutetecter des attaques XFS
Les diverses meacutethodes de preacutevention contre XFS se sont maintes fois montreacutees incomplegravetes ou inefficaces Le plus reacutepandu de ces modes de preacutevention est la logique de frame-busting (destruction) de JavaScript ou plus preacuteciseacutement un script cocircteacute client qui ressemble agrave celui preacutesenteacute dans la Figure 175
Figure 17 Logique classique de frame-busting JavaScript
ltscriptgt
if (top=self) toplocationhref = selflocationhref
ltscriptgt
Livre blanc | Rapport HP 2012 sur les cyber-risques
6 cvedetailscomcveCVE-2002-1217
15
Outre les nombreuses variantes de cette technique quil est facile de deacutenicher en ligne des contre-mesures datteacutenuation ont eacutegalement eacuteteacute mises en place pour lutter aussi contre ces variantes avec des regravegles grosso modo eacutequivalentes agrave celles du jeu de la taupe
Comme le montre la Figure 18 la premiegravere vulneacuterabiliteacute XFS documenteacutee a eacuteteacute deacutecouverte il y a plus de 10 ans7 Depuis le clickjacking est devenu une vulneacuterabiliteacute reacutepandue et malgreacute cela moins de un pour cent de nos eacutechantillons incluait loutil de preacutevention le plus connu agrave savoir len-tecircte X-Frame-Options
Figure 18 Bref historique des eacuteveacutenements majeurs lieacutes agrave la deacutetection de failles de type XFS (script sur plusieurs cadres)
29062002Bug iFrame Jesse Rudermana
28102002Premier CVE XFS connub
16112005Echec des techniques de Framec
21052008Premiegravere mention publique de lattribut iFrame sandboxd
12092008Le terme clickjacking est inventeacutee
26012009Premier navigateur prenant en charge des options X-Framef
17062010Busting Frame Bustinga Study of ClickjackingVulnerabilities on Popular Sitesg
27012012Facebook poursuit uneentreprise de clickjackingh
11072012Dernier conseilXFS connui
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
a httpsbugzillamozillaorgshow_bugcgiid=154957 b httpwwwcvedetailscomcveCVE-2002-1217 c httpcryptostanfordeduframebust d httphtml5orgtoolsweb-apps-trackerfrom=1642ampto=1643 e httpwwwsectheorycomclickjackinghtm f httpblogsmsdncombiearchive20090126internet-explorer-8-release-candidate-now-availableaspx g httpcdnlytlpublicationsbusting-frame-busting-a-study-of-clickjacking-vulnerabilities-on-popular-sitespdf h httpwwwguardiancouktechnology2012jan27facebook-sues-clickjacking-firm-adscend i httposvdborgshowosvdb83762
Lhistoire du XFS (Cross-Frame Scripting ou scripts sur plusieurs cadres) remonte agrave la publication dun rapport relativement banal sur un comportement observeacute par Jesse Ruderman en 20028 et devenu aujourdhui un eacuteleacutement moteur dun autre pheacutenomegravene communeacutement appeleacute clickjacking Un eacuteleacutement cleacute de la reacutegression identifieacutee en matiegravere de seacutecuriteacute eacutetait la deacutecision dajouter lattribut sandbox agrave leacutebauche de la speacutecification HTML5 pour la balise iFrame au milieu de lanneacutee 2008
Les chercheurs ont deacutemontreacute que plusieurs contre-mesures datteacutenuation eacutetaient possibles avec des bugs des navigateurs ou des astuces JavaScript Le dernier eacuteleacutement ajouteacute agrave cette liste comme le montre la Figure 19 est lutilisation dune fonction de seacutecuriteacute introduite dans la speacutecification HTML5 sous la forme dun attribut sandbox iFrame que les attaquants peuvent exploiter pour deacutesactiver les protections de frame-busting de JavaScript
Figure 19 Attribut sandbox iFrame
ltiframe sandbox=rdquoallow-scriptsrdquo src=rdquohttpexamplecomrdquogtltiframegt
Lobjet de lattribut sandbox est daccorder lautorisation dexeacutecuter des scripts (allow-scripts) dans le contenu cibleacute A titre accessoire toutes les logiques de frame-busting employeacutees par examplecom sont effectivement deacutesactiveacutees en lui refusant lautorisation allow-top-navigation dans sa speacutecification sandbox
Gracircce agrave lattribut sandbox cette technique permet agrave un attaquant de deacutejouer de maniegravere efficace toutes les tentatives de frame-busting que megravenent les deacuteveloppeurs pour se proteacuteger de tout encadrement de site et toute opeacuteration de clickjacking par des tiers Les eacutediteurs de navigateurs ont introduit et valideacute une technique de preacutevention baseacutee sur des strateacutegies bien plus forte gracircce agrave len-tecircte X-Frame-Options Les deacuteveloppeurs peuvent se servir de cet en-tecircte pour dicter au navigateur les actions adeacutequates agrave entreprendre si leur site est inclus dans un iFrame Malheureusement ladoption de cette fonction parmi les deacuteveloppeurs est tregraves lente et offre aux attaquants un vaste terrain de sites potentiellement exploitables agrave mesure quils deacutecouvrent de nouvelles techniques pour contourner les scripts de frame-busting Ceci rend plus indispensable encore ladoption et la mise en œuvre de len-tecircte X-Frame-Options puisque ce dernier constitue la solution de facto agrave ce problegraveme et reste en vigueur mecircme lorsque le nouvel attribut sandbox HTML5 est utiliseacute Voilagrave donc ce qui motive notre projet de recherche et ce qui est agrave lorigine de notre question de deacutepart Combien de domaines incluent des en-tecirctes X-Frame-Options et combien le font correctement
Livre blanc | Rapport HP 2012 sur les cyber-risques
7 cvedetailscomcveCVE-2002-1217 8 httpsbugzillamozillaorgshow_bug
cgiid=154957
16
Collection de jeux deacutechantillons Dans le cadre de cette eacutetude le groupe HP Fortify Software Security Research a meneacute des recherches pour eacutevaluer agrave quel point les faibles pratiques de preacutevention des attaques XFS restent aujourdhui adopteacutees et font autoriteacute Nos reacutesultats soulignent eacutegalement la reacuteticence et le rythme dadoption tregraves lent dautres meacutethodes plus seacutecuriseacutees recommandeacutees par des speacutecialistes des navigateurs et des experts en seacutecuriteacute
Alexa9 fut utiliseacute pour renseigner une collection de 100 000 sites Web (les plus connus) et geacuteneacuterer une liste distribueacutee dans de nombreux secteurs diffeacuterents Une fois la liste de deacutepart creacuteeacutee avec ses 100 000 URL les demandes de niveau supeacuterieur furent assembleacutees en concateacutenant ldquohttprdquo dans lURL obtenue Par exemple
ldquohttprdquo + exemplecom = httpexemplecom
Ensuite la nouvelle URL composeacutee fut demandeacutee et la reacuteponse obtenue examineacutee de maniegravere passive agrave la recherche des eacuteleacutements suivants
bull La preacutesence dun en-tecircte X-Frame-Options et de ses valeurs respectives
bull La preacutesence dun champ de mot de passe dans la reacuteponse de la demande de niveau supeacuterieur Un champ de mot de passe est censeacute indiquer un niveau de sensibiliteacute qui doit ecirctre proteacutegeacute par lapplication
bull Si la preacutesence de len-tecircte neacutetait pas respecteacutee lURL cible eacutetait soumise agrave des tests suppleacutementaires afin de distinguer si une tentative de deacutejouer les attaques XFS avait eu lieu Le recours agrave la preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade a eacuteteacute enregistreacute pour une analyse ulteacuterieure
Reacutesultats90 des eacutechantillons analyseacutes nont jamais rien tenteacute pour se proteacuteger des attaques XFS De tous les domaines doteacutes dune protection active contre les attaques XFS 62 ont recours agrave des meacutecanismes de preacutevention faibles fondeacutes sur les scripts Sur les 100 000 domaines testeacutes 19 848 disposaient de champs de mot de passe dans la demande de niveau supeacuterieur avec seulement 101 domaines preacutecisant un en-tecircte X-Frame-Options Celasignifieque01 deseacutechantillonssontproteacutegeacutesDe plus plus de 99 des eacutechantillons oubliaient de speacutecifier un en-tecircte X-Frame-Options tandis que 19 dentre eux avaient une raison dinclure len-tecircte mais ne lont pas fait
Les reacutesultats montrent que soit les deacuteveloppeurs ne sont pas suffisamment informeacutes des risques que posent les vulneacuterabiliteacutes XFS soit ils ne souhaitent consacrer aucun effort agrave la protection de leurs visiteurs Si 2 307 eacutechantillons deacutevoilaient des protections contre les attaques XFS seulement 38 ont opteacute pour lutilisation de len-tecircte X-Frame-Options preacuteconiseacute 1 432 eacutechantillons ont montreacute quils employaient toujours des techniques de preacutevention et datteacutenuation fondeacutees sur JavaScript ou les feuilles de style en cascade qui se sont aveacutereacutees insuffisantes (voir la Figure 20)
Les 875 domaines fondeacutes sur len-tecircte X-Frame-Options affichaient la distribution de valeurs suivante
1 702 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur SAMEORIGIN
2 151 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur DENY
3 13 des 875 domaines eacutetaient deacutefinis avec lattribut Allow-from
4 8 des 875 valeurs fournies eacutetaient conformes agrave leacutebauche de lIETF10
Aucun des 13 domaines utilisant lattribut Allow-from ne preacutecisait un caractegravere geacuteneacuterique () reacuteduisant les risques lieacutes agrave une politique de libre accegraves La Figure 21 preacutesente ces valeurs sous forme de pourcentages
Livre blanc | Rapport HP 2012 sur les cyber-risques
9 httpsbugzillamozillaorgshow_bugcgiid=154957
10 httptoolsietforghtmldraft-ietf-websec-x-frame-options-01
Figure 20Preacutevention des risques lieacutes aux scripts sur plusieurs cadres
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade 62
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade
Options X-Frame 38
Options X-Frame
Figure 21Reacutepartition des valeurs den-tecircte X-Frame-Options fournies
REFUS 17 Allow-from
2 Autres (valeurs non en conformiteacute)1
MEcircME ORIGINE 80
17
Encadrementintersites conclusionIl est eacutevident que toutes les ressources nont pas besoin decirctre proteacutegeacutees contre les attaques XFS Cependant il demeure des situations ougrave la mise en place dune protection adeacutequate est justifieacutee et indispensable Une mesure employeacutee pour identifier ces cas au cours de cette eacutetude eacutetait la preacutesence dun champ de saisie de mot de passe dans un formulaire Les pages dauthentification sont les plus exposeacutees agrave une attaque de type clickjacking En se focalisant sur les pages munies de champs pour la saisie des mots de passe lanalyse tente deacutetablir un lien entre la sensibiliteacute dune ressource et les efforts investis pour la proteacuteger Une des statistiques les plus surprenantes dans lanalyse est que seulement 103 des 100 000 domaines proteacutegeaient comme il se doit les pages avec des champs de mots de passe confidentiels soit un taux exorbitant de 010 qui suggegravere que la puissance et lefficaciteacute de len-tecircte ont fait lobjet dune mauvaise promotion nont pas obtenu ladheacutesion des administrateurs des serveurs ou nont pas seacuteduit les deacuteveloppeurs
Il convient de souligner que si un peu plus de 80 des reacuteponses ne contenaient aucun champ de mot de passe cela ne veut pas dire pour autant quil ne faut pas proteacuteger le contenu Autrement dit leacutechantillon nincluait aucun champ de mot de passe dans la demande de niveau supeacuterieur Il est donc tregraves probable que beaucoup dautres sites sexposent agrave des risques en avanccedilant plus loin dans larborescence du site La mesure la plus importante agrave noter est le pourcentage remarquable de sites sans en-tecircte X-Frame-Options soit 99
Apregraves une analyse approfondie des reacutesultats des recherches speacutecialiseacutees consacreacutees aux attaques XFS la section qui suit se concentre agrave nouveau sur ce qui semble ecirctre le sujet de conversation le plus populaire en 2012 en matiegravere de seacutecuriteacute la seacutecuriteacute des applications mobiles
Seacutecuriteacutedesapplicationsmobiles
Dix secondes dans une file dattente nimporte ougrave suffisent pour se rendre compte que lutilisation dappareils mobiles a litteacuteralement exploseacute En fait pour la premiegravere fois 2012 est lanneacutee pendant laquelle le nombre de smartphones vendus a deacutepasseacute le nombre dordinateurs portables et dordinateurs de bureau agrave la fois11 Cette augmentation a eacuteteacute suivie aussi dune hausse proportionnelle des risques surtout au moment ougrave les entreprises essaient de mettre agrave profit les avantages quoffre la mobiliteacute Comme nous lavons vu plus haut lOSVDB a signaleacute une hausse de 68 du nombre de vulneacuterabiliteacutes signaleacutees pour les technologies mobiles depuis 2011 soit une augmentation de 787 sur les cinq derniegraveres anneacutees Lors de nos tests nous sommes toujours revenus au mecircme constat Si vous posseacutedez des donneacutees des attaquants chercheront agrave sen emparer
Pour eacutevaluer leacutetat actuel de la seacutecuriteacute des applications mobiles leacutequipe HP Fortify on Demand a rassembleacute les reacutesultats de plus de 70 applications mobiles agrave la recherche de failles de seacutecuriteacute Ce jeu deacutechantillons concernait plus de 50 organisations uniques et de nombreux secteurs au niveau local et international Il peut donc ecirctre consideacutereacute comme une repreacutesentation relativement preacutecise dune application mobile moyenne Les reacutesultats montrent que les vulneacuterabiliteacutes qui compromettent la seacutecuriteacute des applications mobiles sont les mecircmes que pour les applications classiques Ils montrent eacutegalement quun problegraveme surtout se distingue des autres Dans le paysage informatique actuel la fuite dinformation est un problegraveme particuliegraverement reacutepandu et neacutefaste La demande croissante dinformations des travailleurs mobiles allieacutee aux services de cloud de plus en plus omnipreacutesents et agrave une hausse des appareils grand public non geacutereacutes sur le reacuteseau dentreprise repreacutesente un deacutefi notable pour de nombreuses organisations
Fuite de donneacutees sensibles sur des canaux non seacutecuriseacutesLa fuite de donneacutees est un problegraveme de longue date pour les applications Web Si elle peut paraicirctre un problegraveme dampleur modeacutereacutee elle implique souvent une information en apparence inoffensive qui permet agrave un attaquant de renforcer sa strateacutegie dattaque pour mener une attaque plus dangereuse encore La mecircme chose vaut pour les applications mobiles Plus des trois quarts (77 ) des applications mobiles dans notre eacutetude eacutetaient vulneacuterables et en proie agrave des fuites dinformations Nous avons deacutecouvert que les donneacutees personnelles dun utilisateur eacutetaient souvent transmises via des protocoles reacuteseau non crypteacutes comme le protocole HTTP Il sagissait pour la plupart dinformations simples comme des noms des adresses et des numeacuteros de teacuteleacutephone Cependant dans notre jeu deacutechantillons ces donneacutees comprenaient eacutegalement lemplacement actuel de lutilisateur ainsi que lidentifiant unique de lappareil (eacutegalement appeleacute UDID)
Livre blanc | Rapport HP 2012 sur les cyber-risques
11 voiceswashingtonpostcomposttech201011smartphone_sales_to_pass_compuhtml
18
LUDID est primordial pour un appareil car il peut servir agrave des attaques extrecircmement cibleacutees contre des utilisateurs en particulier Si les donneacutees de geacuteolocalisation lidentifiant unique de lappareil et les donneacutees personnelles eacutetaient intercepteacutees sur une application vulneacuterable ce que cela implique dans la reacutealiteacute est eacutetonnant Un attaquant pourrait localiser une cible dans le monde reacuteel et les possibiliteacutes qui souvriraient alors agrave lui seraient illimiteacutees Cest la porte ouverte agrave un sceacutenario effroyable que la plupart des gens ne soupccedilonnent pas Bien entendu lexploitation dapplications simples et banales peut eacutegalement avoir lieu Imaginez le sceacutenario suivant Si lapplication transmet lUDID le nom complet ladresse et ainsi de suite agrave un service Web vulneacuterable et que ce dernier est la cible potentielle dune attaque par injection SQL on conccediloit aiseacutement que chaque bit de donneacutees sur cet appareil mobile soit accessible Il est eacutetonnant de voir jusquougrave une fuite dinformation peut mener un attaquant si les circonstances jouent en sa faveur et que tout alors est du domaine du probable voire du possible
Les donneacutees transmises sur des canaux non seacutecuriseacutes ne se limitaient pas aux donneacutees personnelles Les donneacutees applicatives elles non plus neacutetaient pas proteacutegeacutees Nous avons deacutecouvert que des informations de connexion des informations didentification utilisateur des ID de session des jetons et des donneacutees dentreprise sensibles eacutetaient transmises via des protocoles reacuteseau non crypteacutes agrave linstar du protocole HTTP Imaginez les conseacutequences pour une application bancaire vulneacuterable Si des informations didentification des identificateurs de session des informations didentification personnelle ou dautres donneacutees strateacutegiques sont transmises vers un serveur principal la transmission se doit decirctre seacutecuriseacutee sans quoi les donneacutees peuvent ecirctre intercepteacutees par un attaquant au moyen doutils ou dapplications de capture de paquets reacuteseau courants (par exemple DroidSheep)
Les recherches ont montreacute que 375 des applications pouvaient ecirctre la cible dune vulneacuterabiliteacute impliquant une forme quelconque dautorisation notamment des mots de passe en texte clair des mots de passe codeacutes en dur et des mots de passe inteacutegreacutes agrave la reacuteponse Ce pourcentage bien plus eacuteleveacute que pour les applications dites traditionnelles prouve eacutegalement que les deacuteveloppeurs dapplications mobiles doivent travailler davantage pour proteacuteger leurs donneacutees
Dautres vulneacuterabiliteacutes deacutetecteacutees en nombres importants incluaient les attaques de type stack-smashing Plus de la moitieacute des vulneacuterabiliteacutes (5545 ) noffraient aucune protection adeacutequate contre ce type dattaque Si cet oubli nentraicircne pas lexeacutecution du code il peut quand mecircme geacuteneacuterer une panne injustifieacutee de lapplication vulneacuterable
Qui plus est 135 des applications eacutetaient vulneacuterables agrave des attaques XSS Ceci fut une reacuteelle surprise puisque tous les autres ensembles dapplications que nous avons testeacutes mobiles et traditionnels reacuteveacutelaient des nombres de vulneacuterabiliteacutes XSS plus eacuteleveacutes Un examen plus attentif de ces nombres a montreacute que les applications vulneacuterables eacutetaient des applications destineacutees autant agrave la gestion de la finance que des bases de donneacutees En dautres termes le faible pourcentage ne reacuteduisait pas limpact potentiel
Les accegraves non autoriseacutes concernent quasiment la moitieacute des applications mobilesNous avons chercheacute dautres donneacutees en examinant les reacutesultats obtenus par notre partenaire Security Compass lors de ses tests sur dautres applications A de nombreux eacutegards ils confirment les chiffres eacutevoqueacutes preacuteceacutedemment
48 des applications eacutetaient la proie de vulneacuterabiliteacutes daccegraves non autoriseacute Elles valident les vulneacuterabiliteacutes dauthentification (375 ) que nous avons eacutevoqueacutees dans notre eacutechantillon plus haut Les chiffres montrent que les deacuteveloppeurs dapplications mobiles doivent autant se concentrer sur la preacutevention des accegraves non autoriseacutes sur les applications mobiles que sur les moyens de faciliter laccegraves pour les utilisateurs leacutegitimes
37 des applications posaient des problegravemes de divulgation dinformations sensibles 26 avaient recours agrave des pratiques de connexion meacutediocres et 19 affichaient des messages derreur de mauvaise qualiteacute qui reacuteveacutelaient des informations susceptibles decirctre exploiteacutees par des attaquants Ceci corrobore nos donneacutees preacuteceacutedentes car nous avons vu agrave quel point les fuites dinformations eacutetaient importantes Lors du codage des applications mobiles les deacuteveloppeurs ne tiennent pas compte de ce quimplique la seacutecuriteacute pour le stockage la transmission et laccegraves des donneacutees
33 des applications eacutetaient vulneacuterables agrave des attaques XSS Des tests reacutepeacutetitifs montrent que les attaques par script intersite (XSS) sont autant une menace pour les applications mobiles que pour les applications stationnaires Ces reacutesultats sont en phase avec ce que nous avons constateacute lors des tests des applications traditionnelles
Livre blanc | Rapport HP 2012 sur les cyber-risques
19
26 des applications employaient une meacutethode de cryptage inadapteacutee Le cryptage sur des ordinateurs dentreprise est aujourdhui une pratique standard pour la plupart des entreprises du classement Fortune 500 Il y a dix ans la presse regorgeait dhistoires de donneacutees deacuterobeacutees sur des ordinateurs perdus Les risques dans ce domaine se sont reacuteduits dune part gracircce aux mesures leacutegislatives mises en places et dautre part parce que les entreprises ont eu loccasion de lapprendre agrave leurs deacutepens Pourtant ces mecircmes pratiques standard ne sont pas appliqueacutees aux appareils mobiles et agrave legravere du BYOD (Bring your own device) cela peut saveacuterer dangereux
Les dix principales vulneacuterabiliteacutes des applications mobiles Le partenaire dHP Security Compass a eacutegalement analyseacute les vulneacuterabiliteacutes des applications mobiles et les a eacutetiqueteacutees par type (voir la Figure 22) Ainsi donc agrave quoi les applications moyennes sont-elles le plus vulneacuterables par ordre de preacutevalence des vulneacuterabiliteacutes A quels types dattaques par incident les applications mobiles sont-elles le plus vulneacuterables
Sur les dix principales vulneacuterabiliteacutes constateacutees en matiegravere dapplications mobiles XSS affichait le deuxiegraveme taux le plus eacuteleveacute et repreacutesentait 15 de toutes les vulneacuterabiliteacutes deacutecouvertes dans ce jeu deacutechantillons Les chiffres confirment eacutegalement que lorsquelles sont consigneacutees par ordre doccurrence les vulneacuterabiliteacutes de fuite dinformation et daccegraves non autoriseacuteauthentification indiquent aux deacuteveloppeurs dapplications mobiles comment ils peuvent mieux seacutecuriser leurs applications en concentrant davantage leurs efforts sur ces domaines
Rechercheentechnologiemobile lacommunicationenchampproche (NFC)pourlesapplicationsmobilesdepaiementNous avons constateacute que les vulneacuterabiliteacutes lieacutees aux applications mobiles eacutetaient en hausse constante mais il est indispensable eacutegalement danticiper et de connaicirctre les nouvelles vulneacuterabiliteacutes qui verront le jour Les nouvelles technologies introduisent en permanence des failles de seacutecuriteacute possibles La plate-forme mobile ne fait pas exception Lune de ces nouvelles technologies est la communication en champ proche (NFC) La communication en champ proche (NFC) deacutesigne une meacutethode de communication de donneacutees sans contact entre des appareils proches les uns des autres Elle a deacutejagrave eacuteteacute adopteacutee en Europe et en Asie et fait depuis peu des adeptes en Ameacuterique du Nord Le Forum NFC (consortium regroupant plusieurs membres tels que Sony Nokia et Philips) applique des normes strictes pour les fabricants dappareils compatibles NFC Les eacutediteurs dapplications disposent ainsi dune architecture seacutecuriseacutee et dune infrastructure compatible qui leur permettent dexploiter cette technologie pour des applications de paiement mobiles et le partage de donneacutees (par exemple leacutechange de devises entre homologues)
Il existe actuellement plusieurs smartphones compatibles NFC Cest le cas du Googletrade Nexus 5 du Samsung Galaxy S II et des BlackBerry Bold 9900 et 9930 Plusieurs socieacuteteacutes exploitent aujourdhui cette technologie
bull Google Wallet conteneur seacutecuriseacute pour les informations de carte de creacutedit qui facilite les transactions NFC
bull MasterCard PayPass service de paiement sans contact (actuellement pris en charge dans Google Wallet)
bull Visa payWave service de paiement sans contact
bull PayPal meacutethode bump (application Bump) pour le transfert dargent ou la reacutealisation de paiements entre utilisateurs
bull Apple iPhone prise en charge de la NFC attendue dans une prochaine version (non confirmeacutee)12
Problegravemes de seacutecuriteacutePlusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (donneacutees de carte de creacutedit ou numeacuteros de comptes) sont transmises via un canal NFC sur un appareil mobile Voici des exemples de cas reacuteels constateacutes reacutecemment dans le domaine de la seacutecuriteacute
Cas 1La technologie NFC est employeacutee dans le cadre de solutions de paiement grand public avec deux modes de mise en œuvre distincts
bull Puce NFC dans des cartes de creacutedit grand public telles que MasterCard PayPass et Visa payWave
bull NFC utiliseacutee dans des solutions de portefeuille mobile
Livre blanc | Rapport HP 2012 sur les cyber-risques
12 Il existe actuellement des eacutediteurs agrave linstar de DeviceFidelity qui proposent des composants tiers qui reproduisent la prise en charge de la communication en champ proche (NFC) pour les appareils iPhone
Figure 22Preacutevalence des dix principales vulneacuterabiliteacutes (en pourcentage)
Accegraves non autoriseacute 18
Scripts intersites 15
Divulgation dinformations sensibles 12
Traitementnon seacutecuriseacute des sessions 11
Vulneacuterabiliteacutes du traitement des cookies 9
Meacutethode de cryptage inadapteacutee 9
Pratiques de connexion meacutediocres 8
Saisie semi-automatique sur des formulaires agrave donneacutees sensibles 6
Informations didentificationen texte clair 6
Messages derreur de mauvaise qualiteacute 6
20
Le deacutefi du premier mode de mise en œuvre est double le premier est que pour la plupart des eacutemetteurs de cartes de creacutedit linstallation de la puce NFC est obligatoire le deuxiegraveme est que par deacutefinition la puce NFC est toujours activeacutee Par exemple si la carte de creacutedit dun utilisateur est dans le champ dun lecteur NFS actif comme celui que lon rencontre dans un terminal de point de vente la carte de creacutedit transmet automatiquement le numeacutero de carte de creacutedit de lutilisateur au lecteur NFS de reacuteception A preacutesent imaginez le sceacutenario pour les appareils mobiles les plus modernes eacutequipeacutes de puces NFS inteacutegreacutees Dans le monde dAndroid il existe des applications conccedilues pour activer la puce NFC de lappareil mobile pour reproduire le comportement du lecteur NFS dun terminal de point de vente A laide dun appareil mobile ou dune application de ce genre un attaquant peut potentiellement activer la puce NFC de son appareil Android croiser des gens dans un endroit peupleacute et tenter danalyser leurs cartes de creacutedit pour recueillir leur numeacutero de compte permanent (PAN)
Les solutions de portefeuille mobile NFC sont souvent vulneacuterables agrave ce mecircme type dattaque si la solution concerneacutee ne deacutesactive pas ou ne retire pas la puce NFC une fois lexeacutecution dune transaction termineacutee Heureusement cette vulneacuterabiliteacute peut facilement ecirctre reacutesolue par des deacuteveloppeurs de solutions de portefeuille mobile sils retirent la puce NFC apregraves usage
Cas 2Plusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (par exemple des donneacutees de carte de creacutedit ou des numeacuteros de comptes) sont transmises via un canal NFC
bull Ecoute tentative dintercepter la communication des donneacutees de transmission NFC (par exemple proxy NFC)
bull Manipulation des donneacutees tentative de manipuler la communication des donneacutees de transmission NFC (par exemple pour identifier des reacutesultats erroneacutes)
bull Attaques par interception tentative dexploitation des modes actifpassif de lappareil pour envoyer et recevoir la communication des donneacutees de transmission NFC
bull Vol tentative dacceacuteder sans autorisation agrave lapplication de paiement mobile (comme si lappareil a eacuteteacute voleacute ou perdu) et examen des fichiers stockeacutes sur lappareil agrave la recherche dinformations sensibles
Cas 3Au cœur mecircme de la fonction NFC se trouve un composant appeleacute eacuteleacutement seacutecuriseacute Deux types de mise en œuvre de cet eacuteleacutement sont possibles (1) les eacuteleacutements incorporeacutes dans lappareil et (2) les eacuteleacutements chargeacutes dans une carte SIM Dans les cas ougrave leacuteleacutement seacutecuriseacute est chargeacute dans une carte SIM il est possible que la carte SIM soit retireacutee et eacutechangeacutee sous les yeux dun utilisateur creacutedule Cette situation aboutit agrave des sceacutenarios dattaque semblables aux suivants
bull Echange de carte SIM avec un autre appareil (du mecircme type) pour tenter dacceacuteder au contenu de leacuteleacutement seacutecuriseacute Dans certains cas lutilisation dun appareil de type diffeacuterent peut offrir un accegraves suppleacutementaire aux informations de leacuteleacutement seacutecuriseacute sil nest pas mis en œuvre de maniegravere seacutecuriseacutee Par exemple il existe un risque de contournement de lapplication de paiement ou de la protection du mot de passe au niveau du teacuteleacutephone en cas deacutechange de carte SIM dans un teacuteleacutephone eacutequivalent avec lapplication de paiement et sans mot de passe
bull Identification des donneacutees contenant des informations sensibles dans leacuteleacutement seacutecuriseacute situeacute dans la carte SIM apregraves une opeacuteration de restauration sur un autre appareil Il peut sagir aussi dattaques visant agrave cloner ou copier la carte SIM au moyen dun mateacuteriel externe
Notez que la difficulteacute daccegraves agrave leacuteleacutement seacutecuriseacute offre une certaine garantie sur lenvironnement de seacutecuriteacute de leacuteleacutement seacutecuriseacute sur lappareil cible
Cas 4Dans certains cas il est possible que limpleacutementation de lapplet VMPA dans leacuteleacutement seacutecuriseacute nait pas tenu compte de tous les eacuteleacutements de seacutecuriteacute Il peut sagir par exemple dune signature et dun controcircle daccegraves insuffisants de lapplet VMPA qui permettent agrave une application quelconque de deacutemarrer et dy soumettre des requecirctes Cette situation peut offrir agrave une application non autoriseacutee la possibiliteacute dappeler lapplet VMPA via la commande APDU (JSR 177) Une requecircte bien formuleacutee peut potentiellement permettre dactiver la radio NFC et de transmettre des informations de carte de creacutedit
Livre blanc | Rapport HP 2012 sur les cyber-risques
21
Bien que des informations et une analyse exactes peuvent ecirctre obtenues agrave partir dun appareil dinvestigation (si un accegraves agrave ce type de mateacuteriel est disponible) il nexiste pour lheure aucun outil autorisant laccegraves agrave des informations de leacuteleacutement seacutecuriseacute Leacuteleacutement seacutecuriseacute comme son nom lindique fournit des meacutecanismes de seacutecuriteacute preacutecis (par exemple controcircle daccegraves cryptage et reacutepartition) qui empecircchent lextraction dinformations sensibles eacuteventuelles Cest pourquoi un accegraves dinvestigation explicite agrave leacuteleacutement seacutecuriseacute nest actuellement pas possible mecircme avec un outil dinvestigation distribueacute par les leaders du marcheacute
RecommandationsIl existe des mesures que les organisations peuvent prendre pour reacuteduire les risques que posent les failles de seacutecuriteacute des applications mobiles Avant tout les applications doivent ecirctre manuellement controcircleacutees et eacutevalueacutees avant le lancement des produits afin de deacuteterminer la preacutesence de vulneacuterabiliteacutes dinjection ou de vulneacuterabiliteacutes de fuite dinformation Le code doit ecirctre analyseacute via une analyse statique au moment de le deacutevelopper pour y rechercher des failles Comme pour toutes les applications il est moins coucircteux de geacuterer des failles de seacutecuriteacute lors de la phase de deacuteveloppement quau moment de leur diffusion
Les normes de transmission seacutecuriseacutee des donneacutees doivent ecirctre incluses dans le cahier des charges de toutes les applications surtout si ces derniegraveres sont eacutelaboreacutees par des deacuteveloppeurs tiers Il en va de mecircme pour le stockage seacutecuriseacute des donneacutees et le journal des applications Des exigences raisonnables en matiegravere daffichage des communications entre applications et dautorisations dans ces derniegraveres doivent ecirctre rigoureusement deacutefinies Tous ces aspects doivent ecirctre geacutereacutes lors de la phase de deacutefinition des exigences et testeacutes lors du deacuteveloppement Au moment dexeacutecuter les tests de seacutecuriteacute et lanalyse sur les applications mobiles les services Web cocircteacute serveur et les API avec lesquels les clients mobiles communiquent doivent ecirctre pris dans leur contexte et analyseacutes pour y deacuteceler des vulneacuterabiliteacutes Des failles agrave haut risque peuvent passer agrave la trappe si ces deux eacuteleacutements sont testeacutes et compareacutes hors de leur contexte
Conclusions
Lobjectif de ce rapport est de fournir aux organisations toutes les informations de seacutecuriteacute qui les aideront agrave mieux comprendre comment deacuteployer les ressources limiteacutees dont elles disposent pour minimiser au maximum leurs risques en matiegravere de seacutecuriteacute A cet effet les tendances et les enseignements agrave tirer de lanneacutee 2012 sont nombreux et doivent ecirctre pris en compte pour la ou mecircme les anneacutees qui viennent
Militarisation des vulneacuterabiliteacutes Les attaquants ne cesseront jamais de militariser les vulneacuterabiliteacutes pour mener agrave bien leurs activiteacutes malveillantes Ceux qui eacutelaborent les kits dexploitation continueront de se focaliser sur des vulneacuterabiliteacutes dans les logiciels les plus reacutepandus ciblant le plus souvent des navigateurs et des plug-ins de navigateur tels que Oracle Java et Adobereg Flash De mecircme le nombre dattaques meneacutees publiquement agrave lencontre de technologies et dentreprises speacutecifiques continuera daugmenter Des organisations criminelles des Etats-nations et des hacktivistes se serviront toujours des cyber-attaques comme moyen duniformiser les regravegles du jeu contre des adversaires riches ou puissants mecircme si les reacuteelles motivations derriegravere ces attaques resteront souvent difficiles agrave deacuteterminer
Vulneacuterabiliteacutes des technologies mobilesLadoption croissante des technologies mobiles et leur utilisation au sein de lentreprise engendreront toujours des risques consideacuterables Nombre de gens lont deacutejagrave constateacute les programmes malveillants deacuteployeacutes sur les marcheacutes qui opposent Android et Apple poursuivent leur croissance Laggravation de ce problegraveme est essentiellement lieacutee au fait que les entreprises ne disposent pas du mecircme type de controcircle sur ces appareils que sur des PC Au moment ougrave le BYOD (Bring your own device) devient la norme et que ladoption des appareils mobiles prend de lampleur on peut sattendre agrave une hausse proportionnelle du nombre de failles chez les applications mobiles tendance qui devrait se maintenir dans un avenir preacutevisible
Livre blanc | Rapport HP 2012 sur les cyber-risques
22
DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables
Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications
Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables
Pourensavoirplusconsultezlapage Web hpcomgoSIRM
Livre blanc | Rapport HP 2012 sur les cyber-risques
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013
14
Creacuteationdemotsdepassedynamiquesagravecryptagefacilementreacuteversible lapplication cliente lourde testeacutee communiquait avec un service Web qui se chargeait dabord dauthentifier lutilisateur qui tentait de se connecter Ensuite lapplication demandait le mot de passe au serveur de base de donneacutees principal Au deacutepart le mot de passe eacutetait crypteacute pour la transmission mais simultaneacutement lors dune autre attaque SQL un indicateur de la base de donneacutees a eacuteteacute renverseacute deacutesactivant et annulant ainsi les effets du cryptage Il sest aveacutereacute que le systegraveme mettait en place des mots de passe dynamiques qui changeaient freacutequemment cependant apregraves regroupement des nombreux mots de passe un scheacutema eacutevident est apparu Le mot de passe suivait une chronologie et eacutetait donc facile agrave deviner Un accegraves direct agrave la base de donneacutees avec des autorisations administratives fut confirmeacute et compromit entiegraverement le systegraveme (voir la Figure 16)
Leservice Webautorisaitdesrequecirctes SQLdirectes une application autorisait des connexions agrave sa base de donneacutees principale via un interpreacuteteur Web accessible sur Internet sans authentification Avec des connaissances limiteacutees en SQL un attaquant pouvait aiseacutement extraire toutes les donneacutees enregistreacutees dans la base de donneacutees cliente y compris les deacutetails complets des comptes des utilisateurs noms dutilisateurs mots de passe adresses de messagerie et autres informations didentification personnelle
En partageant les reacutesultats de ces tests de peacuteneacutetration en conditions reacuteelles notre but est dattirer lattention sur la creacuteativiteacute sans bornes et la deacutetermination sans fin des attaquants malveillants Les testeurs de peacuteneacutetration cherchent agrave reproduire ces techniques pour tenter deacutevaluer avec efficaciteacute chaque commande de seacutecuriteacute et sassurer que les donneacutees sensibles et les fonctions applicatives sont proteacutegeacutees Comme le prouvent ces reacutesultats les tests de seacutecuriteacute automatiseacutes seuls ne mesurent pas inteacutegralement la politique globale dun environnement en matiegravere de seacutecuriteacute et doivent ecirctre compleacuteteacutes par une analyse manuelle
Dans la section suivante les chercheurs HP en seacutecuriteacute de logiciels cherchent agrave mettre agrave jour une vulneacuterabiliteacute cruciale souvent utiliseacutee conjointement avec les nombreuses attaques et techniques mentionneacutees plus haut et pour lesquelles une strateacutegie de preacutevention efficace reste globalement agrave mettre en place
En-tecircteX-Frame-Options eacutechecdelancementPour illustrer la nature toujours changeante de la seacutecuriteacute des applications Web les speacutecialistes du groupe HP Software Security Research ont examineacute une vulneacuterabiliteacute deacutejagrave reconnue et officiellement appeleacute script sur plusieurs cadres ou XFS XFS est un outil indispensable pour tout attaquant qui tente deacutelaborer une attaque de hameccedilonnage (phishing) ou dingeacutenierie sociale dans le but de charger un site Web vulneacuterable dans une balise iFrame HTML sur une page malveillante controcircleacutee par un attaquant Ce dernier peut alors extraire des eacuteveacutenements (des seacutequences de touches par exemple) appeleacutes par un utilisateur quelconque sur le site Web cibleacute
Les vulneacuterabiliteacutes XFS ouvrent eacutegalement la voie aux attaques de type clickjacking6 qui trompent les utilisateurs en les incitant agrave cliquer sur des eacuteleacutements preacutecis sur le site Web cibleacute chargeacute agrave linteacuterieur dune balise iFrame invisible Souvent ces reacutesultats aboutissent sur des actions non voulues voire privileacutegieacutees Depuis des anneacutees les chercheurs mettent en garde contre linefficaciteacute des protections par code frame-busting baseacute sur des scripts dans la preacutevention des menaces du XFS Pourtant les deacuteveloppeurs et les administrateurs de serveur qui les assistent ont toujours uniquement recours au meacutecanisme JavaScript (Figure 17) pour deacutetecter des attaques XFS
Les diverses meacutethodes de preacutevention contre XFS se sont maintes fois montreacutees incomplegravetes ou inefficaces Le plus reacutepandu de ces modes de preacutevention est la logique de frame-busting (destruction) de JavaScript ou plus preacuteciseacutement un script cocircteacute client qui ressemble agrave celui preacutesenteacute dans la Figure 175
Figure 17 Logique classique de frame-busting JavaScript
ltscriptgt
if (top=self) toplocationhref = selflocationhref
ltscriptgt
Livre blanc | Rapport HP 2012 sur les cyber-risques
6 cvedetailscomcveCVE-2002-1217
15
Outre les nombreuses variantes de cette technique quil est facile de deacutenicher en ligne des contre-mesures datteacutenuation ont eacutegalement eacuteteacute mises en place pour lutter aussi contre ces variantes avec des regravegles grosso modo eacutequivalentes agrave celles du jeu de la taupe
Comme le montre la Figure 18 la premiegravere vulneacuterabiliteacute XFS documenteacutee a eacuteteacute deacutecouverte il y a plus de 10 ans7 Depuis le clickjacking est devenu une vulneacuterabiliteacute reacutepandue et malgreacute cela moins de un pour cent de nos eacutechantillons incluait loutil de preacutevention le plus connu agrave savoir len-tecircte X-Frame-Options
Figure 18 Bref historique des eacuteveacutenements majeurs lieacutes agrave la deacutetection de failles de type XFS (script sur plusieurs cadres)
29062002Bug iFrame Jesse Rudermana
28102002Premier CVE XFS connub
16112005Echec des techniques de Framec
21052008Premiegravere mention publique de lattribut iFrame sandboxd
12092008Le terme clickjacking est inventeacutee
26012009Premier navigateur prenant en charge des options X-Framef
17062010Busting Frame Bustinga Study of ClickjackingVulnerabilities on Popular Sitesg
27012012Facebook poursuit uneentreprise de clickjackingh
11072012Dernier conseilXFS connui
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
a httpsbugzillamozillaorgshow_bugcgiid=154957 b httpwwwcvedetailscomcveCVE-2002-1217 c httpcryptostanfordeduframebust d httphtml5orgtoolsweb-apps-trackerfrom=1642ampto=1643 e httpwwwsectheorycomclickjackinghtm f httpblogsmsdncombiearchive20090126internet-explorer-8-release-candidate-now-availableaspx g httpcdnlytlpublicationsbusting-frame-busting-a-study-of-clickjacking-vulnerabilities-on-popular-sitespdf h httpwwwguardiancouktechnology2012jan27facebook-sues-clickjacking-firm-adscend i httposvdborgshowosvdb83762
Lhistoire du XFS (Cross-Frame Scripting ou scripts sur plusieurs cadres) remonte agrave la publication dun rapport relativement banal sur un comportement observeacute par Jesse Ruderman en 20028 et devenu aujourdhui un eacuteleacutement moteur dun autre pheacutenomegravene communeacutement appeleacute clickjacking Un eacuteleacutement cleacute de la reacutegression identifieacutee en matiegravere de seacutecuriteacute eacutetait la deacutecision dajouter lattribut sandbox agrave leacutebauche de la speacutecification HTML5 pour la balise iFrame au milieu de lanneacutee 2008
Les chercheurs ont deacutemontreacute que plusieurs contre-mesures datteacutenuation eacutetaient possibles avec des bugs des navigateurs ou des astuces JavaScript Le dernier eacuteleacutement ajouteacute agrave cette liste comme le montre la Figure 19 est lutilisation dune fonction de seacutecuriteacute introduite dans la speacutecification HTML5 sous la forme dun attribut sandbox iFrame que les attaquants peuvent exploiter pour deacutesactiver les protections de frame-busting de JavaScript
Figure 19 Attribut sandbox iFrame
ltiframe sandbox=rdquoallow-scriptsrdquo src=rdquohttpexamplecomrdquogtltiframegt
Lobjet de lattribut sandbox est daccorder lautorisation dexeacutecuter des scripts (allow-scripts) dans le contenu cibleacute A titre accessoire toutes les logiques de frame-busting employeacutees par examplecom sont effectivement deacutesactiveacutees en lui refusant lautorisation allow-top-navigation dans sa speacutecification sandbox
Gracircce agrave lattribut sandbox cette technique permet agrave un attaquant de deacutejouer de maniegravere efficace toutes les tentatives de frame-busting que megravenent les deacuteveloppeurs pour se proteacuteger de tout encadrement de site et toute opeacuteration de clickjacking par des tiers Les eacutediteurs de navigateurs ont introduit et valideacute une technique de preacutevention baseacutee sur des strateacutegies bien plus forte gracircce agrave len-tecircte X-Frame-Options Les deacuteveloppeurs peuvent se servir de cet en-tecircte pour dicter au navigateur les actions adeacutequates agrave entreprendre si leur site est inclus dans un iFrame Malheureusement ladoption de cette fonction parmi les deacuteveloppeurs est tregraves lente et offre aux attaquants un vaste terrain de sites potentiellement exploitables agrave mesure quils deacutecouvrent de nouvelles techniques pour contourner les scripts de frame-busting Ceci rend plus indispensable encore ladoption et la mise en œuvre de len-tecircte X-Frame-Options puisque ce dernier constitue la solution de facto agrave ce problegraveme et reste en vigueur mecircme lorsque le nouvel attribut sandbox HTML5 est utiliseacute Voilagrave donc ce qui motive notre projet de recherche et ce qui est agrave lorigine de notre question de deacutepart Combien de domaines incluent des en-tecirctes X-Frame-Options et combien le font correctement
Livre blanc | Rapport HP 2012 sur les cyber-risques
7 cvedetailscomcveCVE-2002-1217 8 httpsbugzillamozillaorgshow_bug
cgiid=154957
16
Collection de jeux deacutechantillons Dans le cadre de cette eacutetude le groupe HP Fortify Software Security Research a meneacute des recherches pour eacutevaluer agrave quel point les faibles pratiques de preacutevention des attaques XFS restent aujourdhui adopteacutees et font autoriteacute Nos reacutesultats soulignent eacutegalement la reacuteticence et le rythme dadoption tregraves lent dautres meacutethodes plus seacutecuriseacutees recommandeacutees par des speacutecialistes des navigateurs et des experts en seacutecuriteacute
Alexa9 fut utiliseacute pour renseigner une collection de 100 000 sites Web (les plus connus) et geacuteneacuterer une liste distribueacutee dans de nombreux secteurs diffeacuterents Une fois la liste de deacutepart creacuteeacutee avec ses 100 000 URL les demandes de niveau supeacuterieur furent assembleacutees en concateacutenant ldquohttprdquo dans lURL obtenue Par exemple
ldquohttprdquo + exemplecom = httpexemplecom
Ensuite la nouvelle URL composeacutee fut demandeacutee et la reacuteponse obtenue examineacutee de maniegravere passive agrave la recherche des eacuteleacutements suivants
bull La preacutesence dun en-tecircte X-Frame-Options et de ses valeurs respectives
bull La preacutesence dun champ de mot de passe dans la reacuteponse de la demande de niveau supeacuterieur Un champ de mot de passe est censeacute indiquer un niveau de sensibiliteacute qui doit ecirctre proteacutegeacute par lapplication
bull Si la preacutesence de len-tecircte neacutetait pas respecteacutee lURL cible eacutetait soumise agrave des tests suppleacutementaires afin de distinguer si une tentative de deacutejouer les attaques XFS avait eu lieu Le recours agrave la preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade a eacuteteacute enregistreacute pour une analyse ulteacuterieure
Reacutesultats90 des eacutechantillons analyseacutes nont jamais rien tenteacute pour se proteacuteger des attaques XFS De tous les domaines doteacutes dune protection active contre les attaques XFS 62 ont recours agrave des meacutecanismes de preacutevention faibles fondeacutes sur les scripts Sur les 100 000 domaines testeacutes 19 848 disposaient de champs de mot de passe dans la demande de niveau supeacuterieur avec seulement 101 domaines preacutecisant un en-tecircte X-Frame-Options Celasignifieque01 deseacutechantillonssontproteacutegeacutesDe plus plus de 99 des eacutechantillons oubliaient de speacutecifier un en-tecircte X-Frame-Options tandis que 19 dentre eux avaient une raison dinclure len-tecircte mais ne lont pas fait
Les reacutesultats montrent que soit les deacuteveloppeurs ne sont pas suffisamment informeacutes des risques que posent les vulneacuterabiliteacutes XFS soit ils ne souhaitent consacrer aucun effort agrave la protection de leurs visiteurs Si 2 307 eacutechantillons deacutevoilaient des protections contre les attaques XFS seulement 38 ont opteacute pour lutilisation de len-tecircte X-Frame-Options preacuteconiseacute 1 432 eacutechantillons ont montreacute quils employaient toujours des techniques de preacutevention et datteacutenuation fondeacutees sur JavaScript ou les feuilles de style en cascade qui se sont aveacutereacutees insuffisantes (voir la Figure 20)
Les 875 domaines fondeacutes sur len-tecircte X-Frame-Options affichaient la distribution de valeurs suivante
1 702 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur SAMEORIGIN
2 151 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur DENY
3 13 des 875 domaines eacutetaient deacutefinis avec lattribut Allow-from
4 8 des 875 valeurs fournies eacutetaient conformes agrave leacutebauche de lIETF10
Aucun des 13 domaines utilisant lattribut Allow-from ne preacutecisait un caractegravere geacuteneacuterique () reacuteduisant les risques lieacutes agrave une politique de libre accegraves La Figure 21 preacutesente ces valeurs sous forme de pourcentages
Livre blanc | Rapport HP 2012 sur les cyber-risques
9 httpsbugzillamozillaorgshow_bugcgiid=154957
10 httptoolsietforghtmldraft-ietf-websec-x-frame-options-01
Figure 20Preacutevention des risques lieacutes aux scripts sur plusieurs cadres
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade 62
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade
Options X-Frame 38
Options X-Frame
Figure 21Reacutepartition des valeurs den-tecircte X-Frame-Options fournies
REFUS 17 Allow-from
2 Autres (valeurs non en conformiteacute)1
MEcircME ORIGINE 80
17
Encadrementintersites conclusionIl est eacutevident que toutes les ressources nont pas besoin decirctre proteacutegeacutees contre les attaques XFS Cependant il demeure des situations ougrave la mise en place dune protection adeacutequate est justifieacutee et indispensable Une mesure employeacutee pour identifier ces cas au cours de cette eacutetude eacutetait la preacutesence dun champ de saisie de mot de passe dans un formulaire Les pages dauthentification sont les plus exposeacutees agrave une attaque de type clickjacking En se focalisant sur les pages munies de champs pour la saisie des mots de passe lanalyse tente deacutetablir un lien entre la sensibiliteacute dune ressource et les efforts investis pour la proteacuteger Une des statistiques les plus surprenantes dans lanalyse est que seulement 103 des 100 000 domaines proteacutegeaient comme il se doit les pages avec des champs de mots de passe confidentiels soit un taux exorbitant de 010 qui suggegravere que la puissance et lefficaciteacute de len-tecircte ont fait lobjet dune mauvaise promotion nont pas obtenu ladheacutesion des administrateurs des serveurs ou nont pas seacuteduit les deacuteveloppeurs
Il convient de souligner que si un peu plus de 80 des reacuteponses ne contenaient aucun champ de mot de passe cela ne veut pas dire pour autant quil ne faut pas proteacuteger le contenu Autrement dit leacutechantillon nincluait aucun champ de mot de passe dans la demande de niveau supeacuterieur Il est donc tregraves probable que beaucoup dautres sites sexposent agrave des risques en avanccedilant plus loin dans larborescence du site La mesure la plus importante agrave noter est le pourcentage remarquable de sites sans en-tecircte X-Frame-Options soit 99
Apregraves une analyse approfondie des reacutesultats des recherches speacutecialiseacutees consacreacutees aux attaques XFS la section qui suit se concentre agrave nouveau sur ce qui semble ecirctre le sujet de conversation le plus populaire en 2012 en matiegravere de seacutecuriteacute la seacutecuriteacute des applications mobiles
Seacutecuriteacutedesapplicationsmobiles
Dix secondes dans une file dattente nimporte ougrave suffisent pour se rendre compte que lutilisation dappareils mobiles a litteacuteralement exploseacute En fait pour la premiegravere fois 2012 est lanneacutee pendant laquelle le nombre de smartphones vendus a deacutepasseacute le nombre dordinateurs portables et dordinateurs de bureau agrave la fois11 Cette augmentation a eacuteteacute suivie aussi dune hausse proportionnelle des risques surtout au moment ougrave les entreprises essaient de mettre agrave profit les avantages quoffre la mobiliteacute Comme nous lavons vu plus haut lOSVDB a signaleacute une hausse de 68 du nombre de vulneacuterabiliteacutes signaleacutees pour les technologies mobiles depuis 2011 soit une augmentation de 787 sur les cinq derniegraveres anneacutees Lors de nos tests nous sommes toujours revenus au mecircme constat Si vous posseacutedez des donneacutees des attaquants chercheront agrave sen emparer
Pour eacutevaluer leacutetat actuel de la seacutecuriteacute des applications mobiles leacutequipe HP Fortify on Demand a rassembleacute les reacutesultats de plus de 70 applications mobiles agrave la recherche de failles de seacutecuriteacute Ce jeu deacutechantillons concernait plus de 50 organisations uniques et de nombreux secteurs au niveau local et international Il peut donc ecirctre consideacutereacute comme une repreacutesentation relativement preacutecise dune application mobile moyenne Les reacutesultats montrent que les vulneacuterabiliteacutes qui compromettent la seacutecuriteacute des applications mobiles sont les mecircmes que pour les applications classiques Ils montrent eacutegalement quun problegraveme surtout se distingue des autres Dans le paysage informatique actuel la fuite dinformation est un problegraveme particuliegraverement reacutepandu et neacutefaste La demande croissante dinformations des travailleurs mobiles allieacutee aux services de cloud de plus en plus omnipreacutesents et agrave une hausse des appareils grand public non geacutereacutes sur le reacuteseau dentreprise repreacutesente un deacutefi notable pour de nombreuses organisations
Fuite de donneacutees sensibles sur des canaux non seacutecuriseacutesLa fuite de donneacutees est un problegraveme de longue date pour les applications Web Si elle peut paraicirctre un problegraveme dampleur modeacutereacutee elle implique souvent une information en apparence inoffensive qui permet agrave un attaquant de renforcer sa strateacutegie dattaque pour mener une attaque plus dangereuse encore La mecircme chose vaut pour les applications mobiles Plus des trois quarts (77 ) des applications mobiles dans notre eacutetude eacutetaient vulneacuterables et en proie agrave des fuites dinformations Nous avons deacutecouvert que les donneacutees personnelles dun utilisateur eacutetaient souvent transmises via des protocoles reacuteseau non crypteacutes comme le protocole HTTP Il sagissait pour la plupart dinformations simples comme des noms des adresses et des numeacuteros de teacuteleacutephone Cependant dans notre jeu deacutechantillons ces donneacutees comprenaient eacutegalement lemplacement actuel de lutilisateur ainsi que lidentifiant unique de lappareil (eacutegalement appeleacute UDID)
Livre blanc | Rapport HP 2012 sur les cyber-risques
11 voiceswashingtonpostcomposttech201011smartphone_sales_to_pass_compuhtml
18
LUDID est primordial pour un appareil car il peut servir agrave des attaques extrecircmement cibleacutees contre des utilisateurs en particulier Si les donneacutees de geacuteolocalisation lidentifiant unique de lappareil et les donneacutees personnelles eacutetaient intercepteacutees sur une application vulneacuterable ce que cela implique dans la reacutealiteacute est eacutetonnant Un attaquant pourrait localiser une cible dans le monde reacuteel et les possibiliteacutes qui souvriraient alors agrave lui seraient illimiteacutees Cest la porte ouverte agrave un sceacutenario effroyable que la plupart des gens ne soupccedilonnent pas Bien entendu lexploitation dapplications simples et banales peut eacutegalement avoir lieu Imaginez le sceacutenario suivant Si lapplication transmet lUDID le nom complet ladresse et ainsi de suite agrave un service Web vulneacuterable et que ce dernier est la cible potentielle dune attaque par injection SQL on conccediloit aiseacutement que chaque bit de donneacutees sur cet appareil mobile soit accessible Il est eacutetonnant de voir jusquougrave une fuite dinformation peut mener un attaquant si les circonstances jouent en sa faveur et que tout alors est du domaine du probable voire du possible
Les donneacutees transmises sur des canaux non seacutecuriseacutes ne se limitaient pas aux donneacutees personnelles Les donneacutees applicatives elles non plus neacutetaient pas proteacutegeacutees Nous avons deacutecouvert que des informations de connexion des informations didentification utilisateur des ID de session des jetons et des donneacutees dentreprise sensibles eacutetaient transmises via des protocoles reacuteseau non crypteacutes agrave linstar du protocole HTTP Imaginez les conseacutequences pour une application bancaire vulneacuterable Si des informations didentification des identificateurs de session des informations didentification personnelle ou dautres donneacutees strateacutegiques sont transmises vers un serveur principal la transmission se doit decirctre seacutecuriseacutee sans quoi les donneacutees peuvent ecirctre intercepteacutees par un attaquant au moyen doutils ou dapplications de capture de paquets reacuteseau courants (par exemple DroidSheep)
Les recherches ont montreacute que 375 des applications pouvaient ecirctre la cible dune vulneacuterabiliteacute impliquant une forme quelconque dautorisation notamment des mots de passe en texte clair des mots de passe codeacutes en dur et des mots de passe inteacutegreacutes agrave la reacuteponse Ce pourcentage bien plus eacuteleveacute que pour les applications dites traditionnelles prouve eacutegalement que les deacuteveloppeurs dapplications mobiles doivent travailler davantage pour proteacuteger leurs donneacutees
Dautres vulneacuterabiliteacutes deacutetecteacutees en nombres importants incluaient les attaques de type stack-smashing Plus de la moitieacute des vulneacuterabiliteacutes (5545 ) noffraient aucune protection adeacutequate contre ce type dattaque Si cet oubli nentraicircne pas lexeacutecution du code il peut quand mecircme geacuteneacuterer une panne injustifieacutee de lapplication vulneacuterable
Qui plus est 135 des applications eacutetaient vulneacuterables agrave des attaques XSS Ceci fut une reacuteelle surprise puisque tous les autres ensembles dapplications que nous avons testeacutes mobiles et traditionnels reacuteveacutelaient des nombres de vulneacuterabiliteacutes XSS plus eacuteleveacutes Un examen plus attentif de ces nombres a montreacute que les applications vulneacuterables eacutetaient des applications destineacutees autant agrave la gestion de la finance que des bases de donneacutees En dautres termes le faible pourcentage ne reacuteduisait pas limpact potentiel
Les accegraves non autoriseacutes concernent quasiment la moitieacute des applications mobilesNous avons chercheacute dautres donneacutees en examinant les reacutesultats obtenus par notre partenaire Security Compass lors de ses tests sur dautres applications A de nombreux eacutegards ils confirment les chiffres eacutevoqueacutes preacuteceacutedemment
48 des applications eacutetaient la proie de vulneacuterabiliteacutes daccegraves non autoriseacute Elles valident les vulneacuterabiliteacutes dauthentification (375 ) que nous avons eacutevoqueacutees dans notre eacutechantillon plus haut Les chiffres montrent que les deacuteveloppeurs dapplications mobiles doivent autant se concentrer sur la preacutevention des accegraves non autoriseacutes sur les applications mobiles que sur les moyens de faciliter laccegraves pour les utilisateurs leacutegitimes
37 des applications posaient des problegravemes de divulgation dinformations sensibles 26 avaient recours agrave des pratiques de connexion meacutediocres et 19 affichaient des messages derreur de mauvaise qualiteacute qui reacuteveacutelaient des informations susceptibles decirctre exploiteacutees par des attaquants Ceci corrobore nos donneacutees preacuteceacutedentes car nous avons vu agrave quel point les fuites dinformations eacutetaient importantes Lors du codage des applications mobiles les deacuteveloppeurs ne tiennent pas compte de ce quimplique la seacutecuriteacute pour le stockage la transmission et laccegraves des donneacutees
33 des applications eacutetaient vulneacuterables agrave des attaques XSS Des tests reacutepeacutetitifs montrent que les attaques par script intersite (XSS) sont autant une menace pour les applications mobiles que pour les applications stationnaires Ces reacutesultats sont en phase avec ce que nous avons constateacute lors des tests des applications traditionnelles
Livre blanc | Rapport HP 2012 sur les cyber-risques
19
26 des applications employaient une meacutethode de cryptage inadapteacutee Le cryptage sur des ordinateurs dentreprise est aujourdhui une pratique standard pour la plupart des entreprises du classement Fortune 500 Il y a dix ans la presse regorgeait dhistoires de donneacutees deacuterobeacutees sur des ordinateurs perdus Les risques dans ce domaine se sont reacuteduits dune part gracircce aux mesures leacutegislatives mises en places et dautre part parce que les entreprises ont eu loccasion de lapprendre agrave leurs deacutepens Pourtant ces mecircmes pratiques standard ne sont pas appliqueacutees aux appareils mobiles et agrave legravere du BYOD (Bring your own device) cela peut saveacuterer dangereux
Les dix principales vulneacuterabiliteacutes des applications mobiles Le partenaire dHP Security Compass a eacutegalement analyseacute les vulneacuterabiliteacutes des applications mobiles et les a eacutetiqueteacutees par type (voir la Figure 22) Ainsi donc agrave quoi les applications moyennes sont-elles le plus vulneacuterables par ordre de preacutevalence des vulneacuterabiliteacutes A quels types dattaques par incident les applications mobiles sont-elles le plus vulneacuterables
Sur les dix principales vulneacuterabiliteacutes constateacutees en matiegravere dapplications mobiles XSS affichait le deuxiegraveme taux le plus eacuteleveacute et repreacutesentait 15 de toutes les vulneacuterabiliteacutes deacutecouvertes dans ce jeu deacutechantillons Les chiffres confirment eacutegalement que lorsquelles sont consigneacutees par ordre doccurrence les vulneacuterabiliteacutes de fuite dinformation et daccegraves non autoriseacuteauthentification indiquent aux deacuteveloppeurs dapplications mobiles comment ils peuvent mieux seacutecuriser leurs applications en concentrant davantage leurs efforts sur ces domaines
Rechercheentechnologiemobile lacommunicationenchampproche (NFC)pourlesapplicationsmobilesdepaiementNous avons constateacute que les vulneacuterabiliteacutes lieacutees aux applications mobiles eacutetaient en hausse constante mais il est indispensable eacutegalement danticiper et de connaicirctre les nouvelles vulneacuterabiliteacutes qui verront le jour Les nouvelles technologies introduisent en permanence des failles de seacutecuriteacute possibles La plate-forme mobile ne fait pas exception Lune de ces nouvelles technologies est la communication en champ proche (NFC) La communication en champ proche (NFC) deacutesigne une meacutethode de communication de donneacutees sans contact entre des appareils proches les uns des autres Elle a deacutejagrave eacuteteacute adopteacutee en Europe et en Asie et fait depuis peu des adeptes en Ameacuterique du Nord Le Forum NFC (consortium regroupant plusieurs membres tels que Sony Nokia et Philips) applique des normes strictes pour les fabricants dappareils compatibles NFC Les eacutediteurs dapplications disposent ainsi dune architecture seacutecuriseacutee et dune infrastructure compatible qui leur permettent dexploiter cette technologie pour des applications de paiement mobiles et le partage de donneacutees (par exemple leacutechange de devises entre homologues)
Il existe actuellement plusieurs smartphones compatibles NFC Cest le cas du Googletrade Nexus 5 du Samsung Galaxy S II et des BlackBerry Bold 9900 et 9930 Plusieurs socieacuteteacutes exploitent aujourdhui cette technologie
bull Google Wallet conteneur seacutecuriseacute pour les informations de carte de creacutedit qui facilite les transactions NFC
bull MasterCard PayPass service de paiement sans contact (actuellement pris en charge dans Google Wallet)
bull Visa payWave service de paiement sans contact
bull PayPal meacutethode bump (application Bump) pour le transfert dargent ou la reacutealisation de paiements entre utilisateurs
bull Apple iPhone prise en charge de la NFC attendue dans une prochaine version (non confirmeacutee)12
Problegravemes de seacutecuriteacutePlusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (donneacutees de carte de creacutedit ou numeacuteros de comptes) sont transmises via un canal NFC sur un appareil mobile Voici des exemples de cas reacuteels constateacutes reacutecemment dans le domaine de la seacutecuriteacute
Cas 1La technologie NFC est employeacutee dans le cadre de solutions de paiement grand public avec deux modes de mise en œuvre distincts
bull Puce NFC dans des cartes de creacutedit grand public telles que MasterCard PayPass et Visa payWave
bull NFC utiliseacutee dans des solutions de portefeuille mobile
Livre blanc | Rapport HP 2012 sur les cyber-risques
12 Il existe actuellement des eacutediteurs agrave linstar de DeviceFidelity qui proposent des composants tiers qui reproduisent la prise en charge de la communication en champ proche (NFC) pour les appareils iPhone
Figure 22Preacutevalence des dix principales vulneacuterabiliteacutes (en pourcentage)
Accegraves non autoriseacute 18
Scripts intersites 15
Divulgation dinformations sensibles 12
Traitementnon seacutecuriseacute des sessions 11
Vulneacuterabiliteacutes du traitement des cookies 9
Meacutethode de cryptage inadapteacutee 9
Pratiques de connexion meacutediocres 8
Saisie semi-automatique sur des formulaires agrave donneacutees sensibles 6
Informations didentificationen texte clair 6
Messages derreur de mauvaise qualiteacute 6
20
Le deacutefi du premier mode de mise en œuvre est double le premier est que pour la plupart des eacutemetteurs de cartes de creacutedit linstallation de la puce NFC est obligatoire le deuxiegraveme est que par deacutefinition la puce NFC est toujours activeacutee Par exemple si la carte de creacutedit dun utilisateur est dans le champ dun lecteur NFS actif comme celui que lon rencontre dans un terminal de point de vente la carte de creacutedit transmet automatiquement le numeacutero de carte de creacutedit de lutilisateur au lecteur NFS de reacuteception A preacutesent imaginez le sceacutenario pour les appareils mobiles les plus modernes eacutequipeacutes de puces NFS inteacutegreacutees Dans le monde dAndroid il existe des applications conccedilues pour activer la puce NFC de lappareil mobile pour reproduire le comportement du lecteur NFS dun terminal de point de vente A laide dun appareil mobile ou dune application de ce genre un attaquant peut potentiellement activer la puce NFC de son appareil Android croiser des gens dans un endroit peupleacute et tenter danalyser leurs cartes de creacutedit pour recueillir leur numeacutero de compte permanent (PAN)
Les solutions de portefeuille mobile NFC sont souvent vulneacuterables agrave ce mecircme type dattaque si la solution concerneacutee ne deacutesactive pas ou ne retire pas la puce NFC une fois lexeacutecution dune transaction termineacutee Heureusement cette vulneacuterabiliteacute peut facilement ecirctre reacutesolue par des deacuteveloppeurs de solutions de portefeuille mobile sils retirent la puce NFC apregraves usage
Cas 2Plusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (par exemple des donneacutees de carte de creacutedit ou des numeacuteros de comptes) sont transmises via un canal NFC
bull Ecoute tentative dintercepter la communication des donneacutees de transmission NFC (par exemple proxy NFC)
bull Manipulation des donneacutees tentative de manipuler la communication des donneacutees de transmission NFC (par exemple pour identifier des reacutesultats erroneacutes)
bull Attaques par interception tentative dexploitation des modes actifpassif de lappareil pour envoyer et recevoir la communication des donneacutees de transmission NFC
bull Vol tentative dacceacuteder sans autorisation agrave lapplication de paiement mobile (comme si lappareil a eacuteteacute voleacute ou perdu) et examen des fichiers stockeacutes sur lappareil agrave la recherche dinformations sensibles
Cas 3Au cœur mecircme de la fonction NFC se trouve un composant appeleacute eacuteleacutement seacutecuriseacute Deux types de mise en œuvre de cet eacuteleacutement sont possibles (1) les eacuteleacutements incorporeacutes dans lappareil et (2) les eacuteleacutements chargeacutes dans une carte SIM Dans les cas ougrave leacuteleacutement seacutecuriseacute est chargeacute dans une carte SIM il est possible que la carte SIM soit retireacutee et eacutechangeacutee sous les yeux dun utilisateur creacutedule Cette situation aboutit agrave des sceacutenarios dattaque semblables aux suivants
bull Echange de carte SIM avec un autre appareil (du mecircme type) pour tenter dacceacuteder au contenu de leacuteleacutement seacutecuriseacute Dans certains cas lutilisation dun appareil de type diffeacuterent peut offrir un accegraves suppleacutementaire aux informations de leacuteleacutement seacutecuriseacute sil nest pas mis en œuvre de maniegravere seacutecuriseacutee Par exemple il existe un risque de contournement de lapplication de paiement ou de la protection du mot de passe au niveau du teacuteleacutephone en cas deacutechange de carte SIM dans un teacuteleacutephone eacutequivalent avec lapplication de paiement et sans mot de passe
bull Identification des donneacutees contenant des informations sensibles dans leacuteleacutement seacutecuriseacute situeacute dans la carte SIM apregraves une opeacuteration de restauration sur un autre appareil Il peut sagir aussi dattaques visant agrave cloner ou copier la carte SIM au moyen dun mateacuteriel externe
Notez que la difficulteacute daccegraves agrave leacuteleacutement seacutecuriseacute offre une certaine garantie sur lenvironnement de seacutecuriteacute de leacuteleacutement seacutecuriseacute sur lappareil cible
Cas 4Dans certains cas il est possible que limpleacutementation de lapplet VMPA dans leacuteleacutement seacutecuriseacute nait pas tenu compte de tous les eacuteleacutements de seacutecuriteacute Il peut sagir par exemple dune signature et dun controcircle daccegraves insuffisants de lapplet VMPA qui permettent agrave une application quelconque de deacutemarrer et dy soumettre des requecirctes Cette situation peut offrir agrave une application non autoriseacutee la possibiliteacute dappeler lapplet VMPA via la commande APDU (JSR 177) Une requecircte bien formuleacutee peut potentiellement permettre dactiver la radio NFC et de transmettre des informations de carte de creacutedit
Livre blanc | Rapport HP 2012 sur les cyber-risques
21
Bien que des informations et une analyse exactes peuvent ecirctre obtenues agrave partir dun appareil dinvestigation (si un accegraves agrave ce type de mateacuteriel est disponible) il nexiste pour lheure aucun outil autorisant laccegraves agrave des informations de leacuteleacutement seacutecuriseacute Leacuteleacutement seacutecuriseacute comme son nom lindique fournit des meacutecanismes de seacutecuriteacute preacutecis (par exemple controcircle daccegraves cryptage et reacutepartition) qui empecircchent lextraction dinformations sensibles eacuteventuelles Cest pourquoi un accegraves dinvestigation explicite agrave leacuteleacutement seacutecuriseacute nest actuellement pas possible mecircme avec un outil dinvestigation distribueacute par les leaders du marcheacute
RecommandationsIl existe des mesures que les organisations peuvent prendre pour reacuteduire les risques que posent les failles de seacutecuriteacute des applications mobiles Avant tout les applications doivent ecirctre manuellement controcircleacutees et eacutevalueacutees avant le lancement des produits afin de deacuteterminer la preacutesence de vulneacuterabiliteacutes dinjection ou de vulneacuterabiliteacutes de fuite dinformation Le code doit ecirctre analyseacute via une analyse statique au moment de le deacutevelopper pour y rechercher des failles Comme pour toutes les applications il est moins coucircteux de geacuterer des failles de seacutecuriteacute lors de la phase de deacuteveloppement quau moment de leur diffusion
Les normes de transmission seacutecuriseacutee des donneacutees doivent ecirctre incluses dans le cahier des charges de toutes les applications surtout si ces derniegraveres sont eacutelaboreacutees par des deacuteveloppeurs tiers Il en va de mecircme pour le stockage seacutecuriseacute des donneacutees et le journal des applications Des exigences raisonnables en matiegravere daffichage des communications entre applications et dautorisations dans ces derniegraveres doivent ecirctre rigoureusement deacutefinies Tous ces aspects doivent ecirctre geacutereacutes lors de la phase de deacutefinition des exigences et testeacutes lors du deacuteveloppement Au moment dexeacutecuter les tests de seacutecuriteacute et lanalyse sur les applications mobiles les services Web cocircteacute serveur et les API avec lesquels les clients mobiles communiquent doivent ecirctre pris dans leur contexte et analyseacutes pour y deacuteceler des vulneacuterabiliteacutes Des failles agrave haut risque peuvent passer agrave la trappe si ces deux eacuteleacutements sont testeacutes et compareacutes hors de leur contexte
Conclusions
Lobjectif de ce rapport est de fournir aux organisations toutes les informations de seacutecuriteacute qui les aideront agrave mieux comprendre comment deacuteployer les ressources limiteacutees dont elles disposent pour minimiser au maximum leurs risques en matiegravere de seacutecuriteacute A cet effet les tendances et les enseignements agrave tirer de lanneacutee 2012 sont nombreux et doivent ecirctre pris en compte pour la ou mecircme les anneacutees qui viennent
Militarisation des vulneacuterabiliteacutes Les attaquants ne cesseront jamais de militariser les vulneacuterabiliteacutes pour mener agrave bien leurs activiteacutes malveillantes Ceux qui eacutelaborent les kits dexploitation continueront de se focaliser sur des vulneacuterabiliteacutes dans les logiciels les plus reacutepandus ciblant le plus souvent des navigateurs et des plug-ins de navigateur tels que Oracle Java et Adobereg Flash De mecircme le nombre dattaques meneacutees publiquement agrave lencontre de technologies et dentreprises speacutecifiques continuera daugmenter Des organisations criminelles des Etats-nations et des hacktivistes se serviront toujours des cyber-attaques comme moyen duniformiser les regravegles du jeu contre des adversaires riches ou puissants mecircme si les reacuteelles motivations derriegravere ces attaques resteront souvent difficiles agrave deacuteterminer
Vulneacuterabiliteacutes des technologies mobilesLadoption croissante des technologies mobiles et leur utilisation au sein de lentreprise engendreront toujours des risques consideacuterables Nombre de gens lont deacutejagrave constateacute les programmes malveillants deacuteployeacutes sur les marcheacutes qui opposent Android et Apple poursuivent leur croissance Laggravation de ce problegraveme est essentiellement lieacutee au fait que les entreprises ne disposent pas du mecircme type de controcircle sur ces appareils que sur des PC Au moment ougrave le BYOD (Bring your own device) devient la norme et que ladoption des appareils mobiles prend de lampleur on peut sattendre agrave une hausse proportionnelle du nombre de failles chez les applications mobiles tendance qui devrait se maintenir dans un avenir preacutevisible
Livre blanc | Rapport HP 2012 sur les cyber-risques
22
DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables
Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications
Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables
Pourensavoirplusconsultezlapage Web hpcomgoSIRM
Livre blanc | Rapport HP 2012 sur les cyber-risques
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013
15
Outre les nombreuses variantes de cette technique quil est facile de deacutenicher en ligne des contre-mesures datteacutenuation ont eacutegalement eacuteteacute mises en place pour lutter aussi contre ces variantes avec des regravegles grosso modo eacutequivalentes agrave celles du jeu de la taupe
Comme le montre la Figure 18 la premiegravere vulneacuterabiliteacute XFS documenteacutee a eacuteteacute deacutecouverte il y a plus de 10 ans7 Depuis le clickjacking est devenu une vulneacuterabiliteacute reacutepandue et malgreacute cela moins de un pour cent de nos eacutechantillons incluait loutil de preacutevention le plus connu agrave savoir len-tecircte X-Frame-Options
Figure 18 Bref historique des eacuteveacutenements majeurs lieacutes agrave la deacutetection de failles de type XFS (script sur plusieurs cadres)
29062002Bug iFrame Jesse Rudermana
28102002Premier CVE XFS connub
16112005Echec des techniques de Framec
21052008Premiegravere mention publique de lattribut iFrame sandboxd
12092008Le terme clickjacking est inventeacutee
26012009Premier navigateur prenant en charge des options X-Framef
17062010Busting Frame Bustinga Study of ClickjackingVulnerabilities on Popular Sitesg
27012012Facebook poursuit uneentreprise de clickjackingh
11072012Dernier conseilXFS connui
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
a httpsbugzillamozillaorgshow_bugcgiid=154957 b httpwwwcvedetailscomcveCVE-2002-1217 c httpcryptostanfordeduframebust d httphtml5orgtoolsweb-apps-trackerfrom=1642ampto=1643 e httpwwwsectheorycomclickjackinghtm f httpblogsmsdncombiearchive20090126internet-explorer-8-release-candidate-now-availableaspx g httpcdnlytlpublicationsbusting-frame-busting-a-study-of-clickjacking-vulnerabilities-on-popular-sitespdf h httpwwwguardiancouktechnology2012jan27facebook-sues-clickjacking-firm-adscend i httposvdborgshowosvdb83762
Lhistoire du XFS (Cross-Frame Scripting ou scripts sur plusieurs cadres) remonte agrave la publication dun rapport relativement banal sur un comportement observeacute par Jesse Ruderman en 20028 et devenu aujourdhui un eacuteleacutement moteur dun autre pheacutenomegravene communeacutement appeleacute clickjacking Un eacuteleacutement cleacute de la reacutegression identifieacutee en matiegravere de seacutecuriteacute eacutetait la deacutecision dajouter lattribut sandbox agrave leacutebauche de la speacutecification HTML5 pour la balise iFrame au milieu de lanneacutee 2008
Les chercheurs ont deacutemontreacute que plusieurs contre-mesures datteacutenuation eacutetaient possibles avec des bugs des navigateurs ou des astuces JavaScript Le dernier eacuteleacutement ajouteacute agrave cette liste comme le montre la Figure 19 est lutilisation dune fonction de seacutecuriteacute introduite dans la speacutecification HTML5 sous la forme dun attribut sandbox iFrame que les attaquants peuvent exploiter pour deacutesactiver les protections de frame-busting de JavaScript
Figure 19 Attribut sandbox iFrame
ltiframe sandbox=rdquoallow-scriptsrdquo src=rdquohttpexamplecomrdquogtltiframegt
Lobjet de lattribut sandbox est daccorder lautorisation dexeacutecuter des scripts (allow-scripts) dans le contenu cibleacute A titre accessoire toutes les logiques de frame-busting employeacutees par examplecom sont effectivement deacutesactiveacutees en lui refusant lautorisation allow-top-navigation dans sa speacutecification sandbox
Gracircce agrave lattribut sandbox cette technique permet agrave un attaquant de deacutejouer de maniegravere efficace toutes les tentatives de frame-busting que megravenent les deacuteveloppeurs pour se proteacuteger de tout encadrement de site et toute opeacuteration de clickjacking par des tiers Les eacutediteurs de navigateurs ont introduit et valideacute une technique de preacutevention baseacutee sur des strateacutegies bien plus forte gracircce agrave len-tecircte X-Frame-Options Les deacuteveloppeurs peuvent se servir de cet en-tecircte pour dicter au navigateur les actions adeacutequates agrave entreprendre si leur site est inclus dans un iFrame Malheureusement ladoption de cette fonction parmi les deacuteveloppeurs est tregraves lente et offre aux attaquants un vaste terrain de sites potentiellement exploitables agrave mesure quils deacutecouvrent de nouvelles techniques pour contourner les scripts de frame-busting Ceci rend plus indispensable encore ladoption et la mise en œuvre de len-tecircte X-Frame-Options puisque ce dernier constitue la solution de facto agrave ce problegraveme et reste en vigueur mecircme lorsque le nouvel attribut sandbox HTML5 est utiliseacute Voilagrave donc ce qui motive notre projet de recherche et ce qui est agrave lorigine de notre question de deacutepart Combien de domaines incluent des en-tecirctes X-Frame-Options et combien le font correctement
Livre blanc | Rapport HP 2012 sur les cyber-risques
7 cvedetailscomcveCVE-2002-1217 8 httpsbugzillamozillaorgshow_bug
cgiid=154957
16
Collection de jeux deacutechantillons Dans le cadre de cette eacutetude le groupe HP Fortify Software Security Research a meneacute des recherches pour eacutevaluer agrave quel point les faibles pratiques de preacutevention des attaques XFS restent aujourdhui adopteacutees et font autoriteacute Nos reacutesultats soulignent eacutegalement la reacuteticence et le rythme dadoption tregraves lent dautres meacutethodes plus seacutecuriseacutees recommandeacutees par des speacutecialistes des navigateurs et des experts en seacutecuriteacute
Alexa9 fut utiliseacute pour renseigner une collection de 100 000 sites Web (les plus connus) et geacuteneacuterer une liste distribueacutee dans de nombreux secteurs diffeacuterents Une fois la liste de deacutepart creacuteeacutee avec ses 100 000 URL les demandes de niveau supeacuterieur furent assembleacutees en concateacutenant ldquohttprdquo dans lURL obtenue Par exemple
ldquohttprdquo + exemplecom = httpexemplecom
Ensuite la nouvelle URL composeacutee fut demandeacutee et la reacuteponse obtenue examineacutee de maniegravere passive agrave la recherche des eacuteleacutements suivants
bull La preacutesence dun en-tecircte X-Frame-Options et de ses valeurs respectives
bull La preacutesence dun champ de mot de passe dans la reacuteponse de la demande de niveau supeacuterieur Un champ de mot de passe est censeacute indiquer un niveau de sensibiliteacute qui doit ecirctre proteacutegeacute par lapplication
bull Si la preacutesence de len-tecircte neacutetait pas respecteacutee lURL cible eacutetait soumise agrave des tests suppleacutementaires afin de distinguer si une tentative de deacutejouer les attaques XFS avait eu lieu Le recours agrave la preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade a eacuteteacute enregistreacute pour une analyse ulteacuterieure
Reacutesultats90 des eacutechantillons analyseacutes nont jamais rien tenteacute pour se proteacuteger des attaques XFS De tous les domaines doteacutes dune protection active contre les attaques XFS 62 ont recours agrave des meacutecanismes de preacutevention faibles fondeacutes sur les scripts Sur les 100 000 domaines testeacutes 19 848 disposaient de champs de mot de passe dans la demande de niveau supeacuterieur avec seulement 101 domaines preacutecisant un en-tecircte X-Frame-Options Celasignifieque01 deseacutechantillonssontproteacutegeacutesDe plus plus de 99 des eacutechantillons oubliaient de speacutecifier un en-tecircte X-Frame-Options tandis que 19 dentre eux avaient une raison dinclure len-tecircte mais ne lont pas fait
Les reacutesultats montrent que soit les deacuteveloppeurs ne sont pas suffisamment informeacutes des risques que posent les vulneacuterabiliteacutes XFS soit ils ne souhaitent consacrer aucun effort agrave la protection de leurs visiteurs Si 2 307 eacutechantillons deacutevoilaient des protections contre les attaques XFS seulement 38 ont opteacute pour lutilisation de len-tecircte X-Frame-Options preacuteconiseacute 1 432 eacutechantillons ont montreacute quils employaient toujours des techniques de preacutevention et datteacutenuation fondeacutees sur JavaScript ou les feuilles de style en cascade qui se sont aveacutereacutees insuffisantes (voir la Figure 20)
Les 875 domaines fondeacutes sur len-tecircte X-Frame-Options affichaient la distribution de valeurs suivante
1 702 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur SAMEORIGIN
2 151 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur DENY
3 13 des 875 domaines eacutetaient deacutefinis avec lattribut Allow-from
4 8 des 875 valeurs fournies eacutetaient conformes agrave leacutebauche de lIETF10
Aucun des 13 domaines utilisant lattribut Allow-from ne preacutecisait un caractegravere geacuteneacuterique () reacuteduisant les risques lieacutes agrave une politique de libre accegraves La Figure 21 preacutesente ces valeurs sous forme de pourcentages
Livre blanc | Rapport HP 2012 sur les cyber-risques
9 httpsbugzillamozillaorgshow_bugcgiid=154957
10 httptoolsietforghtmldraft-ietf-websec-x-frame-options-01
Figure 20Preacutevention des risques lieacutes aux scripts sur plusieurs cadres
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade 62
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade
Options X-Frame 38
Options X-Frame
Figure 21Reacutepartition des valeurs den-tecircte X-Frame-Options fournies
REFUS 17 Allow-from
2 Autres (valeurs non en conformiteacute)1
MEcircME ORIGINE 80
17
Encadrementintersites conclusionIl est eacutevident que toutes les ressources nont pas besoin decirctre proteacutegeacutees contre les attaques XFS Cependant il demeure des situations ougrave la mise en place dune protection adeacutequate est justifieacutee et indispensable Une mesure employeacutee pour identifier ces cas au cours de cette eacutetude eacutetait la preacutesence dun champ de saisie de mot de passe dans un formulaire Les pages dauthentification sont les plus exposeacutees agrave une attaque de type clickjacking En se focalisant sur les pages munies de champs pour la saisie des mots de passe lanalyse tente deacutetablir un lien entre la sensibiliteacute dune ressource et les efforts investis pour la proteacuteger Une des statistiques les plus surprenantes dans lanalyse est que seulement 103 des 100 000 domaines proteacutegeaient comme il se doit les pages avec des champs de mots de passe confidentiels soit un taux exorbitant de 010 qui suggegravere que la puissance et lefficaciteacute de len-tecircte ont fait lobjet dune mauvaise promotion nont pas obtenu ladheacutesion des administrateurs des serveurs ou nont pas seacuteduit les deacuteveloppeurs
Il convient de souligner que si un peu plus de 80 des reacuteponses ne contenaient aucun champ de mot de passe cela ne veut pas dire pour autant quil ne faut pas proteacuteger le contenu Autrement dit leacutechantillon nincluait aucun champ de mot de passe dans la demande de niveau supeacuterieur Il est donc tregraves probable que beaucoup dautres sites sexposent agrave des risques en avanccedilant plus loin dans larborescence du site La mesure la plus importante agrave noter est le pourcentage remarquable de sites sans en-tecircte X-Frame-Options soit 99
Apregraves une analyse approfondie des reacutesultats des recherches speacutecialiseacutees consacreacutees aux attaques XFS la section qui suit se concentre agrave nouveau sur ce qui semble ecirctre le sujet de conversation le plus populaire en 2012 en matiegravere de seacutecuriteacute la seacutecuriteacute des applications mobiles
Seacutecuriteacutedesapplicationsmobiles
Dix secondes dans une file dattente nimporte ougrave suffisent pour se rendre compte que lutilisation dappareils mobiles a litteacuteralement exploseacute En fait pour la premiegravere fois 2012 est lanneacutee pendant laquelle le nombre de smartphones vendus a deacutepasseacute le nombre dordinateurs portables et dordinateurs de bureau agrave la fois11 Cette augmentation a eacuteteacute suivie aussi dune hausse proportionnelle des risques surtout au moment ougrave les entreprises essaient de mettre agrave profit les avantages quoffre la mobiliteacute Comme nous lavons vu plus haut lOSVDB a signaleacute une hausse de 68 du nombre de vulneacuterabiliteacutes signaleacutees pour les technologies mobiles depuis 2011 soit une augmentation de 787 sur les cinq derniegraveres anneacutees Lors de nos tests nous sommes toujours revenus au mecircme constat Si vous posseacutedez des donneacutees des attaquants chercheront agrave sen emparer
Pour eacutevaluer leacutetat actuel de la seacutecuriteacute des applications mobiles leacutequipe HP Fortify on Demand a rassembleacute les reacutesultats de plus de 70 applications mobiles agrave la recherche de failles de seacutecuriteacute Ce jeu deacutechantillons concernait plus de 50 organisations uniques et de nombreux secteurs au niveau local et international Il peut donc ecirctre consideacutereacute comme une repreacutesentation relativement preacutecise dune application mobile moyenne Les reacutesultats montrent que les vulneacuterabiliteacutes qui compromettent la seacutecuriteacute des applications mobiles sont les mecircmes que pour les applications classiques Ils montrent eacutegalement quun problegraveme surtout se distingue des autres Dans le paysage informatique actuel la fuite dinformation est un problegraveme particuliegraverement reacutepandu et neacutefaste La demande croissante dinformations des travailleurs mobiles allieacutee aux services de cloud de plus en plus omnipreacutesents et agrave une hausse des appareils grand public non geacutereacutes sur le reacuteseau dentreprise repreacutesente un deacutefi notable pour de nombreuses organisations
Fuite de donneacutees sensibles sur des canaux non seacutecuriseacutesLa fuite de donneacutees est un problegraveme de longue date pour les applications Web Si elle peut paraicirctre un problegraveme dampleur modeacutereacutee elle implique souvent une information en apparence inoffensive qui permet agrave un attaquant de renforcer sa strateacutegie dattaque pour mener une attaque plus dangereuse encore La mecircme chose vaut pour les applications mobiles Plus des trois quarts (77 ) des applications mobiles dans notre eacutetude eacutetaient vulneacuterables et en proie agrave des fuites dinformations Nous avons deacutecouvert que les donneacutees personnelles dun utilisateur eacutetaient souvent transmises via des protocoles reacuteseau non crypteacutes comme le protocole HTTP Il sagissait pour la plupart dinformations simples comme des noms des adresses et des numeacuteros de teacuteleacutephone Cependant dans notre jeu deacutechantillons ces donneacutees comprenaient eacutegalement lemplacement actuel de lutilisateur ainsi que lidentifiant unique de lappareil (eacutegalement appeleacute UDID)
Livre blanc | Rapport HP 2012 sur les cyber-risques
11 voiceswashingtonpostcomposttech201011smartphone_sales_to_pass_compuhtml
18
LUDID est primordial pour un appareil car il peut servir agrave des attaques extrecircmement cibleacutees contre des utilisateurs en particulier Si les donneacutees de geacuteolocalisation lidentifiant unique de lappareil et les donneacutees personnelles eacutetaient intercepteacutees sur une application vulneacuterable ce que cela implique dans la reacutealiteacute est eacutetonnant Un attaquant pourrait localiser une cible dans le monde reacuteel et les possibiliteacutes qui souvriraient alors agrave lui seraient illimiteacutees Cest la porte ouverte agrave un sceacutenario effroyable que la plupart des gens ne soupccedilonnent pas Bien entendu lexploitation dapplications simples et banales peut eacutegalement avoir lieu Imaginez le sceacutenario suivant Si lapplication transmet lUDID le nom complet ladresse et ainsi de suite agrave un service Web vulneacuterable et que ce dernier est la cible potentielle dune attaque par injection SQL on conccediloit aiseacutement que chaque bit de donneacutees sur cet appareil mobile soit accessible Il est eacutetonnant de voir jusquougrave une fuite dinformation peut mener un attaquant si les circonstances jouent en sa faveur et que tout alors est du domaine du probable voire du possible
Les donneacutees transmises sur des canaux non seacutecuriseacutes ne se limitaient pas aux donneacutees personnelles Les donneacutees applicatives elles non plus neacutetaient pas proteacutegeacutees Nous avons deacutecouvert que des informations de connexion des informations didentification utilisateur des ID de session des jetons et des donneacutees dentreprise sensibles eacutetaient transmises via des protocoles reacuteseau non crypteacutes agrave linstar du protocole HTTP Imaginez les conseacutequences pour une application bancaire vulneacuterable Si des informations didentification des identificateurs de session des informations didentification personnelle ou dautres donneacutees strateacutegiques sont transmises vers un serveur principal la transmission se doit decirctre seacutecuriseacutee sans quoi les donneacutees peuvent ecirctre intercepteacutees par un attaquant au moyen doutils ou dapplications de capture de paquets reacuteseau courants (par exemple DroidSheep)
Les recherches ont montreacute que 375 des applications pouvaient ecirctre la cible dune vulneacuterabiliteacute impliquant une forme quelconque dautorisation notamment des mots de passe en texte clair des mots de passe codeacutes en dur et des mots de passe inteacutegreacutes agrave la reacuteponse Ce pourcentage bien plus eacuteleveacute que pour les applications dites traditionnelles prouve eacutegalement que les deacuteveloppeurs dapplications mobiles doivent travailler davantage pour proteacuteger leurs donneacutees
Dautres vulneacuterabiliteacutes deacutetecteacutees en nombres importants incluaient les attaques de type stack-smashing Plus de la moitieacute des vulneacuterabiliteacutes (5545 ) noffraient aucune protection adeacutequate contre ce type dattaque Si cet oubli nentraicircne pas lexeacutecution du code il peut quand mecircme geacuteneacuterer une panne injustifieacutee de lapplication vulneacuterable
Qui plus est 135 des applications eacutetaient vulneacuterables agrave des attaques XSS Ceci fut une reacuteelle surprise puisque tous les autres ensembles dapplications que nous avons testeacutes mobiles et traditionnels reacuteveacutelaient des nombres de vulneacuterabiliteacutes XSS plus eacuteleveacutes Un examen plus attentif de ces nombres a montreacute que les applications vulneacuterables eacutetaient des applications destineacutees autant agrave la gestion de la finance que des bases de donneacutees En dautres termes le faible pourcentage ne reacuteduisait pas limpact potentiel
Les accegraves non autoriseacutes concernent quasiment la moitieacute des applications mobilesNous avons chercheacute dautres donneacutees en examinant les reacutesultats obtenus par notre partenaire Security Compass lors de ses tests sur dautres applications A de nombreux eacutegards ils confirment les chiffres eacutevoqueacutes preacuteceacutedemment
48 des applications eacutetaient la proie de vulneacuterabiliteacutes daccegraves non autoriseacute Elles valident les vulneacuterabiliteacutes dauthentification (375 ) que nous avons eacutevoqueacutees dans notre eacutechantillon plus haut Les chiffres montrent que les deacuteveloppeurs dapplications mobiles doivent autant se concentrer sur la preacutevention des accegraves non autoriseacutes sur les applications mobiles que sur les moyens de faciliter laccegraves pour les utilisateurs leacutegitimes
37 des applications posaient des problegravemes de divulgation dinformations sensibles 26 avaient recours agrave des pratiques de connexion meacutediocres et 19 affichaient des messages derreur de mauvaise qualiteacute qui reacuteveacutelaient des informations susceptibles decirctre exploiteacutees par des attaquants Ceci corrobore nos donneacutees preacuteceacutedentes car nous avons vu agrave quel point les fuites dinformations eacutetaient importantes Lors du codage des applications mobiles les deacuteveloppeurs ne tiennent pas compte de ce quimplique la seacutecuriteacute pour le stockage la transmission et laccegraves des donneacutees
33 des applications eacutetaient vulneacuterables agrave des attaques XSS Des tests reacutepeacutetitifs montrent que les attaques par script intersite (XSS) sont autant une menace pour les applications mobiles que pour les applications stationnaires Ces reacutesultats sont en phase avec ce que nous avons constateacute lors des tests des applications traditionnelles
Livre blanc | Rapport HP 2012 sur les cyber-risques
19
26 des applications employaient une meacutethode de cryptage inadapteacutee Le cryptage sur des ordinateurs dentreprise est aujourdhui une pratique standard pour la plupart des entreprises du classement Fortune 500 Il y a dix ans la presse regorgeait dhistoires de donneacutees deacuterobeacutees sur des ordinateurs perdus Les risques dans ce domaine se sont reacuteduits dune part gracircce aux mesures leacutegislatives mises en places et dautre part parce que les entreprises ont eu loccasion de lapprendre agrave leurs deacutepens Pourtant ces mecircmes pratiques standard ne sont pas appliqueacutees aux appareils mobiles et agrave legravere du BYOD (Bring your own device) cela peut saveacuterer dangereux
Les dix principales vulneacuterabiliteacutes des applications mobiles Le partenaire dHP Security Compass a eacutegalement analyseacute les vulneacuterabiliteacutes des applications mobiles et les a eacutetiqueteacutees par type (voir la Figure 22) Ainsi donc agrave quoi les applications moyennes sont-elles le plus vulneacuterables par ordre de preacutevalence des vulneacuterabiliteacutes A quels types dattaques par incident les applications mobiles sont-elles le plus vulneacuterables
Sur les dix principales vulneacuterabiliteacutes constateacutees en matiegravere dapplications mobiles XSS affichait le deuxiegraveme taux le plus eacuteleveacute et repreacutesentait 15 de toutes les vulneacuterabiliteacutes deacutecouvertes dans ce jeu deacutechantillons Les chiffres confirment eacutegalement que lorsquelles sont consigneacutees par ordre doccurrence les vulneacuterabiliteacutes de fuite dinformation et daccegraves non autoriseacuteauthentification indiquent aux deacuteveloppeurs dapplications mobiles comment ils peuvent mieux seacutecuriser leurs applications en concentrant davantage leurs efforts sur ces domaines
Rechercheentechnologiemobile lacommunicationenchampproche (NFC)pourlesapplicationsmobilesdepaiementNous avons constateacute que les vulneacuterabiliteacutes lieacutees aux applications mobiles eacutetaient en hausse constante mais il est indispensable eacutegalement danticiper et de connaicirctre les nouvelles vulneacuterabiliteacutes qui verront le jour Les nouvelles technologies introduisent en permanence des failles de seacutecuriteacute possibles La plate-forme mobile ne fait pas exception Lune de ces nouvelles technologies est la communication en champ proche (NFC) La communication en champ proche (NFC) deacutesigne une meacutethode de communication de donneacutees sans contact entre des appareils proches les uns des autres Elle a deacutejagrave eacuteteacute adopteacutee en Europe et en Asie et fait depuis peu des adeptes en Ameacuterique du Nord Le Forum NFC (consortium regroupant plusieurs membres tels que Sony Nokia et Philips) applique des normes strictes pour les fabricants dappareils compatibles NFC Les eacutediteurs dapplications disposent ainsi dune architecture seacutecuriseacutee et dune infrastructure compatible qui leur permettent dexploiter cette technologie pour des applications de paiement mobiles et le partage de donneacutees (par exemple leacutechange de devises entre homologues)
Il existe actuellement plusieurs smartphones compatibles NFC Cest le cas du Googletrade Nexus 5 du Samsung Galaxy S II et des BlackBerry Bold 9900 et 9930 Plusieurs socieacuteteacutes exploitent aujourdhui cette technologie
bull Google Wallet conteneur seacutecuriseacute pour les informations de carte de creacutedit qui facilite les transactions NFC
bull MasterCard PayPass service de paiement sans contact (actuellement pris en charge dans Google Wallet)
bull Visa payWave service de paiement sans contact
bull PayPal meacutethode bump (application Bump) pour le transfert dargent ou la reacutealisation de paiements entre utilisateurs
bull Apple iPhone prise en charge de la NFC attendue dans une prochaine version (non confirmeacutee)12
Problegravemes de seacutecuriteacutePlusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (donneacutees de carte de creacutedit ou numeacuteros de comptes) sont transmises via un canal NFC sur un appareil mobile Voici des exemples de cas reacuteels constateacutes reacutecemment dans le domaine de la seacutecuriteacute
Cas 1La technologie NFC est employeacutee dans le cadre de solutions de paiement grand public avec deux modes de mise en œuvre distincts
bull Puce NFC dans des cartes de creacutedit grand public telles que MasterCard PayPass et Visa payWave
bull NFC utiliseacutee dans des solutions de portefeuille mobile
Livre blanc | Rapport HP 2012 sur les cyber-risques
12 Il existe actuellement des eacutediteurs agrave linstar de DeviceFidelity qui proposent des composants tiers qui reproduisent la prise en charge de la communication en champ proche (NFC) pour les appareils iPhone
Figure 22Preacutevalence des dix principales vulneacuterabiliteacutes (en pourcentage)
Accegraves non autoriseacute 18
Scripts intersites 15
Divulgation dinformations sensibles 12
Traitementnon seacutecuriseacute des sessions 11
Vulneacuterabiliteacutes du traitement des cookies 9
Meacutethode de cryptage inadapteacutee 9
Pratiques de connexion meacutediocres 8
Saisie semi-automatique sur des formulaires agrave donneacutees sensibles 6
Informations didentificationen texte clair 6
Messages derreur de mauvaise qualiteacute 6
20
Le deacutefi du premier mode de mise en œuvre est double le premier est que pour la plupart des eacutemetteurs de cartes de creacutedit linstallation de la puce NFC est obligatoire le deuxiegraveme est que par deacutefinition la puce NFC est toujours activeacutee Par exemple si la carte de creacutedit dun utilisateur est dans le champ dun lecteur NFS actif comme celui que lon rencontre dans un terminal de point de vente la carte de creacutedit transmet automatiquement le numeacutero de carte de creacutedit de lutilisateur au lecteur NFS de reacuteception A preacutesent imaginez le sceacutenario pour les appareils mobiles les plus modernes eacutequipeacutes de puces NFS inteacutegreacutees Dans le monde dAndroid il existe des applications conccedilues pour activer la puce NFC de lappareil mobile pour reproduire le comportement du lecteur NFS dun terminal de point de vente A laide dun appareil mobile ou dune application de ce genre un attaquant peut potentiellement activer la puce NFC de son appareil Android croiser des gens dans un endroit peupleacute et tenter danalyser leurs cartes de creacutedit pour recueillir leur numeacutero de compte permanent (PAN)
Les solutions de portefeuille mobile NFC sont souvent vulneacuterables agrave ce mecircme type dattaque si la solution concerneacutee ne deacutesactive pas ou ne retire pas la puce NFC une fois lexeacutecution dune transaction termineacutee Heureusement cette vulneacuterabiliteacute peut facilement ecirctre reacutesolue par des deacuteveloppeurs de solutions de portefeuille mobile sils retirent la puce NFC apregraves usage
Cas 2Plusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (par exemple des donneacutees de carte de creacutedit ou des numeacuteros de comptes) sont transmises via un canal NFC
bull Ecoute tentative dintercepter la communication des donneacutees de transmission NFC (par exemple proxy NFC)
bull Manipulation des donneacutees tentative de manipuler la communication des donneacutees de transmission NFC (par exemple pour identifier des reacutesultats erroneacutes)
bull Attaques par interception tentative dexploitation des modes actifpassif de lappareil pour envoyer et recevoir la communication des donneacutees de transmission NFC
bull Vol tentative dacceacuteder sans autorisation agrave lapplication de paiement mobile (comme si lappareil a eacuteteacute voleacute ou perdu) et examen des fichiers stockeacutes sur lappareil agrave la recherche dinformations sensibles
Cas 3Au cœur mecircme de la fonction NFC se trouve un composant appeleacute eacuteleacutement seacutecuriseacute Deux types de mise en œuvre de cet eacuteleacutement sont possibles (1) les eacuteleacutements incorporeacutes dans lappareil et (2) les eacuteleacutements chargeacutes dans une carte SIM Dans les cas ougrave leacuteleacutement seacutecuriseacute est chargeacute dans une carte SIM il est possible que la carte SIM soit retireacutee et eacutechangeacutee sous les yeux dun utilisateur creacutedule Cette situation aboutit agrave des sceacutenarios dattaque semblables aux suivants
bull Echange de carte SIM avec un autre appareil (du mecircme type) pour tenter dacceacuteder au contenu de leacuteleacutement seacutecuriseacute Dans certains cas lutilisation dun appareil de type diffeacuterent peut offrir un accegraves suppleacutementaire aux informations de leacuteleacutement seacutecuriseacute sil nest pas mis en œuvre de maniegravere seacutecuriseacutee Par exemple il existe un risque de contournement de lapplication de paiement ou de la protection du mot de passe au niveau du teacuteleacutephone en cas deacutechange de carte SIM dans un teacuteleacutephone eacutequivalent avec lapplication de paiement et sans mot de passe
bull Identification des donneacutees contenant des informations sensibles dans leacuteleacutement seacutecuriseacute situeacute dans la carte SIM apregraves une opeacuteration de restauration sur un autre appareil Il peut sagir aussi dattaques visant agrave cloner ou copier la carte SIM au moyen dun mateacuteriel externe
Notez que la difficulteacute daccegraves agrave leacuteleacutement seacutecuriseacute offre une certaine garantie sur lenvironnement de seacutecuriteacute de leacuteleacutement seacutecuriseacute sur lappareil cible
Cas 4Dans certains cas il est possible que limpleacutementation de lapplet VMPA dans leacuteleacutement seacutecuriseacute nait pas tenu compte de tous les eacuteleacutements de seacutecuriteacute Il peut sagir par exemple dune signature et dun controcircle daccegraves insuffisants de lapplet VMPA qui permettent agrave une application quelconque de deacutemarrer et dy soumettre des requecirctes Cette situation peut offrir agrave une application non autoriseacutee la possibiliteacute dappeler lapplet VMPA via la commande APDU (JSR 177) Une requecircte bien formuleacutee peut potentiellement permettre dactiver la radio NFC et de transmettre des informations de carte de creacutedit
Livre blanc | Rapport HP 2012 sur les cyber-risques
21
Bien que des informations et une analyse exactes peuvent ecirctre obtenues agrave partir dun appareil dinvestigation (si un accegraves agrave ce type de mateacuteriel est disponible) il nexiste pour lheure aucun outil autorisant laccegraves agrave des informations de leacuteleacutement seacutecuriseacute Leacuteleacutement seacutecuriseacute comme son nom lindique fournit des meacutecanismes de seacutecuriteacute preacutecis (par exemple controcircle daccegraves cryptage et reacutepartition) qui empecircchent lextraction dinformations sensibles eacuteventuelles Cest pourquoi un accegraves dinvestigation explicite agrave leacuteleacutement seacutecuriseacute nest actuellement pas possible mecircme avec un outil dinvestigation distribueacute par les leaders du marcheacute
RecommandationsIl existe des mesures que les organisations peuvent prendre pour reacuteduire les risques que posent les failles de seacutecuriteacute des applications mobiles Avant tout les applications doivent ecirctre manuellement controcircleacutees et eacutevalueacutees avant le lancement des produits afin de deacuteterminer la preacutesence de vulneacuterabiliteacutes dinjection ou de vulneacuterabiliteacutes de fuite dinformation Le code doit ecirctre analyseacute via une analyse statique au moment de le deacutevelopper pour y rechercher des failles Comme pour toutes les applications il est moins coucircteux de geacuterer des failles de seacutecuriteacute lors de la phase de deacuteveloppement quau moment de leur diffusion
Les normes de transmission seacutecuriseacutee des donneacutees doivent ecirctre incluses dans le cahier des charges de toutes les applications surtout si ces derniegraveres sont eacutelaboreacutees par des deacuteveloppeurs tiers Il en va de mecircme pour le stockage seacutecuriseacute des donneacutees et le journal des applications Des exigences raisonnables en matiegravere daffichage des communications entre applications et dautorisations dans ces derniegraveres doivent ecirctre rigoureusement deacutefinies Tous ces aspects doivent ecirctre geacutereacutes lors de la phase de deacutefinition des exigences et testeacutes lors du deacuteveloppement Au moment dexeacutecuter les tests de seacutecuriteacute et lanalyse sur les applications mobiles les services Web cocircteacute serveur et les API avec lesquels les clients mobiles communiquent doivent ecirctre pris dans leur contexte et analyseacutes pour y deacuteceler des vulneacuterabiliteacutes Des failles agrave haut risque peuvent passer agrave la trappe si ces deux eacuteleacutements sont testeacutes et compareacutes hors de leur contexte
Conclusions
Lobjectif de ce rapport est de fournir aux organisations toutes les informations de seacutecuriteacute qui les aideront agrave mieux comprendre comment deacuteployer les ressources limiteacutees dont elles disposent pour minimiser au maximum leurs risques en matiegravere de seacutecuriteacute A cet effet les tendances et les enseignements agrave tirer de lanneacutee 2012 sont nombreux et doivent ecirctre pris en compte pour la ou mecircme les anneacutees qui viennent
Militarisation des vulneacuterabiliteacutes Les attaquants ne cesseront jamais de militariser les vulneacuterabiliteacutes pour mener agrave bien leurs activiteacutes malveillantes Ceux qui eacutelaborent les kits dexploitation continueront de se focaliser sur des vulneacuterabiliteacutes dans les logiciels les plus reacutepandus ciblant le plus souvent des navigateurs et des plug-ins de navigateur tels que Oracle Java et Adobereg Flash De mecircme le nombre dattaques meneacutees publiquement agrave lencontre de technologies et dentreprises speacutecifiques continuera daugmenter Des organisations criminelles des Etats-nations et des hacktivistes se serviront toujours des cyber-attaques comme moyen duniformiser les regravegles du jeu contre des adversaires riches ou puissants mecircme si les reacuteelles motivations derriegravere ces attaques resteront souvent difficiles agrave deacuteterminer
Vulneacuterabiliteacutes des technologies mobilesLadoption croissante des technologies mobiles et leur utilisation au sein de lentreprise engendreront toujours des risques consideacuterables Nombre de gens lont deacutejagrave constateacute les programmes malveillants deacuteployeacutes sur les marcheacutes qui opposent Android et Apple poursuivent leur croissance Laggravation de ce problegraveme est essentiellement lieacutee au fait que les entreprises ne disposent pas du mecircme type de controcircle sur ces appareils que sur des PC Au moment ougrave le BYOD (Bring your own device) devient la norme et que ladoption des appareils mobiles prend de lampleur on peut sattendre agrave une hausse proportionnelle du nombre de failles chez les applications mobiles tendance qui devrait se maintenir dans un avenir preacutevisible
Livre blanc | Rapport HP 2012 sur les cyber-risques
22
DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables
Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications
Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables
Pourensavoirplusconsultezlapage Web hpcomgoSIRM
Livre blanc | Rapport HP 2012 sur les cyber-risques
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013
16
Collection de jeux deacutechantillons Dans le cadre de cette eacutetude le groupe HP Fortify Software Security Research a meneacute des recherches pour eacutevaluer agrave quel point les faibles pratiques de preacutevention des attaques XFS restent aujourdhui adopteacutees et font autoriteacute Nos reacutesultats soulignent eacutegalement la reacuteticence et le rythme dadoption tregraves lent dautres meacutethodes plus seacutecuriseacutees recommandeacutees par des speacutecialistes des navigateurs et des experts en seacutecuriteacute
Alexa9 fut utiliseacute pour renseigner une collection de 100 000 sites Web (les plus connus) et geacuteneacuterer une liste distribueacutee dans de nombreux secteurs diffeacuterents Une fois la liste de deacutepart creacuteeacutee avec ses 100 000 URL les demandes de niveau supeacuterieur furent assembleacutees en concateacutenant ldquohttprdquo dans lURL obtenue Par exemple
ldquohttprdquo + exemplecom = httpexemplecom
Ensuite la nouvelle URL composeacutee fut demandeacutee et la reacuteponse obtenue examineacutee de maniegravere passive agrave la recherche des eacuteleacutements suivants
bull La preacutesence dun en-tecircte X-Frame-Options et de ses valeurs respectives
bull La preacutesence dun champ de mot de passe dans la reacuteponse de la demande de niveau supeacuterieur Un champ de mot de passe est censeacute indiquer un niveau de sensibiliteacute qui doit ecirctre proteacutegeacute par lapplication
bull Si la preacutesence de len-tecircte neacutetait pas respecteacutee lURL cible eacutetait soumise agrave des tests suppleacutementaires afin de distinguer si une tentative de deacutejouer les attaques XFS avait eu lieu Le recours agrave la preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade a eacuteteacute enregistreacute pour une analyse ulteacuterieure
Reacutesultats90 des eacutechantillons analyseacutes nont jamais rien tenteacute pour se proteacuteger des attaques XFS De tous les domaines doteacutes dune protection active contre les attaques XFS 62 ont recours agrave des meacutecanismes de preacutevention faibles fondeacutes sur les scripts Sur les 100 000 domaines testeacutes 19 848 disposaient de champs de mot de passe dans la demande de niveau supeacuterieur avec seulement 101 domaines preacutecisant un en-tecircte X-Frame-Options Celasignifieque01 deseacutechantillonssontproteacutegeacutesDe plus plus de 99 des eacutechantillons oubliaient de speacutecifier un en-tecircte X-Frame-Options tandis que 19 dentre eux avaient une raison dinclure len-tecircte mais ne lont pas fait
Les reacutesultats montrent que soit les deacuteveloppeurs ne sont pas suffisamment informeacutes des risques que posent les vulneacuterabiliteacutes XFS soit ils ne souhaitent consacrer aucun effort agrave la protection de leurs visiteurs Si 2 307 eacutechantillons deacutevoilaient des protections contre les attaques XFS seulement 38 ont opteacute pour lutilisation de len-tecircte X-Frame-Options preacuteconiseacute 1 432 eacutechantillons ont montreacute quils employaient toujours des techniques de preacutevention et datteacutenuation fondeacutees sur JavaScript ou les feuilles de style en cascade qui se sont aveacutereacutees insuffisantes (voir la Figure 20)
Les 875 domaines fondeacutes sur len-tecircte X-Frame-Options affichaient la distribution de valeurs suivante
1 702 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur SAMEORIGIN
2 151 des 875 domaines speacutecifieacutes avec un en-tecircte X-Frame-Options avaient la valeur DENY
3 13 des 875 domaines eacutetaient deacutefinis avec lattribut Allow-from
4 8 des 875 valeurs fournies eacutetaient conformes agrave leacutebauche de lIETF10
Aucun des 13 domaines utilisant lattribut Allow-from ne preacutecisait un caractegravere geacuteneacuterique () reacuteduisant les risques lieacutes agrave une politique de libre accegraves La Figure 21 preacutesente ces valeurs sous forme de pourcentages
Livre blanc | Rapport HP 2012 sur les cyber-risques
9 httpsbugzillamozillaorgshow_bugcgiid=154957
10 httptoolsietforghtmldraft-ietf-websec-x-frame-options-01
Figure 20Preacutevention des risques lieacutes aux scripts sur plusieurs cadres
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade 62
Preacutevention des risques lieacutes agrave JavaScript et aux feuilles de style en cascade
Options X-Frame 38
Options X-Frame
Figure 21Reacutepartition des valeurs den-tecircte X-Frame-Options fournies
REFUS 17 Allow-from
2 Autres (valeurs non en conformiteacute)1
MEcircME ORIGINE 80
17
Encadrementintersites conclusionIl est eacutevident que toutes les ressources nont pas besoin decirctre proteacutegeacutees contre les attaques XFS Cependant il demeure des situations ougrave la mise en place dune protection adeacutequate est justifieacutee et indispensable Une mesure employeacutee pour identifier ces cas au cours de cette eacutetude eacutetait la preacutesence dun champ de saisie de mot de passe dans un formulaire Les pages dauthentification sont les plus exposeacutees agrave une attaque de type clickjacking En se focalisant sur les pages munies de champs pour la saisie des mots de passe lanalyse tente deacutetablir un lien entre la sensibiliteacute dune ressource et les efforts investis pour la proteacuteger Une des statistiques les plus surprenantes dans lanalyse est que seulement 103 des 100 000 domaines proteacutegeaient comme il se doit les pages avec des champs de mots de passe confidentiels soit un taux exorbitant de 010 qui suggegravere que la puissance et lefficaciteacute de len-tecircte ont fait lobjet dune mauvaise promotion nont pas obtenu ladheacutesion des administrateurs des serveurs ou nont pas seacuteduit les deacuteveloppeurs
Il convient de souligner que si un peu plus de 80 des reacuteponses ne contenaient aucun champ de mot de passe cela ne veut pas dire pour autant quil ne faut pas proteacuteger le contenu Autrement dit leacutechantillon nincluait aucun champ de mot de passe dans la demande de niveau supeacuterieur Il est donc tregraves probable que beaucoup dautres sites sexposent agrave des risques en avanccedilant plus loin dans larborescence du site La mesure la plus importante agrave noter est le pourcentage remarquable de sites sans en-tecircte X-Frame-Options soit 99
Apregraves une analyse approfondie des reacutesultats des recherches speacutecialiseacutees consacreacutees aux attaques XFS la section qui suit se concentre agrave nouveau sur ce qui semble ecirctre le sujet de conversation le plus populaire en 2012 en matiegravere de seacutecuriteacute la seacutecuriteacute des applications mobiles
Seacutecuriteacutedesapplicationsmobiles
Dix secondes dans une file dattente nimporte ougrave suffisent pour se rendre compte que lutilisation dappareils mobiles a litteacuteralement exploseacute En fait pour la premiegravere fois 2012 est lanneacutee pendant laquelle le nombre de smartphones vendus a deacutepasseacute le nombre dordinateurs portables et dordinateurs de bureau agrave la fois11 Cette augmentation a eacuteteacute suivie aussi dune hausse proportionnelle des risques surtout au moment ougrave les entreprises essaient de mettre agrave profit les avantages quoffre la mobiliteacute Comme nous lavons vu plus haut lOSVDB a signaleacute une hausse de 68 du nombre de vulneacuterabiliteacutes signaleacutees pour les technologies mobiles depuis 2011 soit une augmentation de 787 sur les cinq derniegraveres anneacutees Lors de nos tests nous sommes toujours revenus au mecircme constat Si vous posseacutedez des donneacutees des attaquants chercheront agrave sen emparer
Pour eacutevaluer leacutetat actuel de la seacutecuriteacute des applications mobiles leacutequipe HP Fortify on Demand a rassembleacute les reacutesultats de plus de 70 applications mobiles agrave la recherche de failles de seacutecuriteacute Ce jeu deacutechantillons concernait plus de 50 organisations uniques et de nombreux secteurs au niveau local et international Il peut donc ecirctre consideacutereacute comme une repreacutesentation relativement preacutecise dune application mobile moyenne Les reacutesultats montrent que les vulneacuterabiliteacutes qui compromettent la seacutecuriteacute des applications mobiles sont les mecircmes que pour les applications classiques Ils montrent eacutegalement quun problegraveme surtout se distingue des autres Dans le paysage informatique actuel la fuite dinformation est un problegraveme particuliegraverement reacutepandu et neacutefaste La demande croissante dinformations des travailleurs mobiles allieacutee aux services de cloud de plus en plus omnipreacutesents et agrave une hausse des appareils grand public non geacutereacutes sur le reacuteseau dentreprise repreacutesente un deacutefi notable pour de nombreuses organisations
Fuite de donneacutees sensibles sur des canaux non seacutecuriseacutesLa fuite de donneacutees est un problegraveme de longue date pour les applications Web Si elle peut paraicirctre un problegraveme dampleur modeacutereacutee elle implique souvent une information en apparence inoffensive qui permet agrave un attaquant de renforcer sa strateacutegie dattaque pour mener une attaque plus dangereuse encore La mecircme chose vaut pour les applications mobiles Plus des trois quarts (77 ) des applications mobiles dans notre eacutetude eacutetaient vulneacuterables et en proie agrave des fuites dinformations Nous avons deacutecouvert que les donneacutees personnelles dun utilisateur eacutetaient souvent transmises via des protocoles reacuteseau non crypteacutes comme le protocole HTTP Il sagissait pour la plupart dinformations simples comme des noms des adresses et des numeacuteros de teacuteleacutephone Cependant dans notre jeu deacutechantillons ces donneacutees comprenaient eacutegalement lemplacement actuel de lutilisateur ainsi que lidentifiant unique de lappareil (eacutegalement appeleacute UDID)
Livre blanc | Rapport HP 2012 sur les cyber-risques
11 voiceswashingtonpostcomposttech201011smartphone_sales_to_pass_compuhtml
18
LUDID est primordial pour un appareil car il peut servir agrave des attaques extrecircmement cibleacutees contre des utilisateurs en particulier Si les donneacutees de geacuteolocalisation lidentifiant unique de lappareil et les donneacutees personnelles eacutetaient intercepteacutees sur une application vulneacuterable ce que cela implique dans la reacutealiteacute est eacutetonnant Un attaquant pourrait localiser une cible dans le monde reacuteel et les possibiliteacutes qui souvriraient alors agrave lui seraient illimiteacutees Cest la porte ouverte agrave un sceacutenario effroyable que la plupart des gens ne soupccedilonnent pas Bien entendu lexploitation dapplications simples et banales peut eacutegalement avoir lieu Imaginez le sceacutenario suivant Si lapplication transmet lUDID le nom complet ladresse et ainsi de suite agrave un service Web vulneacuterable et que ce dernier est la cible potentielle dune attaque par injection SQL on conccediloit aiseacutement que chaque bit de donneacutees sur cet appareil mobile soit accessible Il est eacutetonnant de voir jusquougrave une fuite dinformation peut mener un attaquant si les circonstances jouent en sa faveur et que tout alors est du domaine du probable voire du possible
Les donneacutees transmises sur des canaux non seacutecuriseacutes ne se limitaient pas aux donneacutees personnelles Les donneacutees applicatives elles non plus neacutetaient pas proteacutegeacutees Nous avons deacutecouvert que des informations de connexion des informations didentification utilisateur des ID de session des jetons et des donneacutees dentreprise sensibles eacutetaient transmises via des protocoles reacuteseau non crypteacutes agrave linstar du protocole HTTP Imaginez les conseacutequences pour une application bancaire vulneacuterable Si des informations didentification des identificateurs de session des informations didentification personnelle ou dautres donneacutees strateacutegiques sont transmises vers un serveur principal la transmission se doit decirctre seacutecuriseacutee sans quoi les donneacutees peuvent ecirctre intercepteacutees par un attaquant au moyen doutils ou dapplications de capture de paquets reacuteseau courants (par exemple DroidSheep)
Les recherches ont montreacute que 375 des applications pouvaient ecirctre la cible dune vulneacuterabiliteacute impliquant une forme quelconque dautorisation notamment des mots de passe en texte clair des mots de passe codeacutes en dur et des mots de passe inteacutegreacutes agrave la reacuteponse Ce pourcentage bien plus eacuteleveacute que pour les applications dites traditionnelles prouve eacutegalement que les deacuteveloppeurs dapplications mobiles doivent travailler davantage pour proteacuteger leurs donneacutees
Dautres vulneacuterabiliteacutes deacutetecteacutees en nombres importants incluaient les attaques de type stack-smashing Plus de la moitieacute des vulneacuterabiliteacutes (5545 ) noffraient aucune protection adeacutequate contre ce type dattaque Si cet oubli nentraicircne pas lexeacutecution du code il peut quand mecircme geacuteneacuterer une panne injustifieacutee de lapplication vulneacuterable
Qui plus est 135 des applications eacutetaient vulneacuterables agrave des attaques XSS Ceci fut une reacuteelle surprise puisque tous les autres ensembles dapplications que nous avons testeacutes mobiles et traditionnels reacuteveacutelaient des nombres de vulneacuterabiliteacutes XSS plus eacuteleveacutes Un examen plus attentif de ces nombres a montreacute que les applications vulneacuterables eacutetaient des applications destineacutees autant agrave la gestion de la finance que des bases de donneacutees En dautres termes le faible pourcentage ne reacuteduisait pas limpact potentiel
Les accegraves non autoriseacutes concernent quasiment la moitieacute des applications mobilesNous avons chercheacute dautres donneacutees en examinant les reacutesultats obtenus par notre partenaire Security Compass lors de ses tests sur dautres applications A de nombreux eacutegards ils confirment les chiffres eacutevoqueacutes preacuteceacutedemment
48 des applications eacutetaient la proie de vulneacuterabiliteacutes daccegraves non autoriseacute Elles valident les vulneacuterabiliteacutes dauthentification (375 ) que nous avons eacutevoqueacutees dans notre eacutechantillon plus haut Les chiffres montrent que les deacuteveloppeurs dapplications mobiles doivent autant se concentrer sur la preacutevention des accegraves non autoriseacutes sur les applications mobiles que sur les moyens de faciliter laccegraves pour les utilisateurs leacutegitimes
37 des applications posaient des problegravemes de divulgation dinformations sensibles 26 avaient recours agrave des pratiques de connexion meacutediocres et 19 affichaient des messages derreur de mauvaise qualiteacute qui reacuteveacutelaient des informations susceptibles decirctre exploiteacutees par des attaquants Ceci corrobore nos donneacutees preacuteceacutedentes car nous avons vu agrave quel point les fuites dinformations eacutetaient importantes Lors du codage des applications mobiles les deacuteveloppeurs ne tiennent pas compte de ce quimplique la seacutecuriteacute pour le stockage la transmission et laccegraves des donneacutees
33 des applications eacutetaient vulneacuterables agrave des attaques XSS Des tests reacutepeacutetitifs montrent que les attaques par script intersite (XSS) sont autant une menace pour les applications mobiles que pour les applications stationnaires Ces reacutesultats sont en phase avec ce que nous avons constateacute lors des tests des applications traditionnelles
Livre blanc | Rapport HP 2012 sur les cyber-risques
19
26 des applications employaient une meacutethode de cryptage inadapteacutee Le cryptage sur des ordinateurs dentreprise est aujourdhui une pratique standard pour la plupart des entreprises du classement Fortune 500 Il y a dix ans la presse regorgeait dhistoires de donneacutees deacuterobeacutees sur des ordinateurs perdus Les risques dans ce domaine se sont reacuteduits dune part gracircce aux mesures leacutegislatives mises en places et dautre part parce que les entreprises ont eu loccasion de lapprendre agrave leurs deacutepens Pourtant ces mecircmes pratiques standard ne sont pas appliqueacutees aux appareils mobiles et agrave legravere du BYOD (Bring your own device) cela peut saveacuterer dangereux
Les dix principales vulneacuterabiliteacutes des applications mobiles Le partenaire dHP Security Compass a eacutegalement analyseacute les vulneacuterabiliteacutes des applications mobiles et les a eacutetiqueteacutees par type (voir la Figure 22) Ainsi donc agrave quoi les applications moyennes sont-elles le plus vulneacuterables par ordre de preacutevalence des vulneacuterabiliteacutes A quels types dattaques par incident les applications mobiles sont-elles le plus vulneacuterables
Sur les dix principales vulneacuterabiliteacutes constateacutees en matiegravere dapplications mobiles XSS affichait le deuxiegraveme taux le plus eacuteleveacute et repreacutesentait 15 de toutes les vulneacuterabiliteacutes deacutecouvertes dans ce jeu deacutechantillons Les chiffres confirment eacutegalement que lorsquelles sont consigneacutees par ordre doccurrence les vulneacuterabiliteacutes de fuite dinformation et daccegraves non autoriseacuteauthentification indiquent aux deacuteveloppeurs dapplications mobiles comment ils peuvent mieux seacutecuriser leurs applications en concentrant davantage leurs efforts sur ces domaines
Rechercheentechnologiemobile lacommunicationenchampproche (NFC)pourlesapplicationsmobilesdepaiementNous avons constateacute que les vulneacuterabiliteacutes lieacutees aux applications mobiles eacutetaient en hausse constante mais il est indispensable eacutegalement danticiper et de connaicirctre les nouvelles vulneacuterabiliteacutes qui verront le jour Les nouvelles technologies introduisent en permanence des failles de seacutecuriteacute possibles La plate-forme mobile ne fait pas exception Lune de ces nouvelles technologies est la communication en champ proche (NFC) La communication en champ proche (NFC) deacutesigne une meacutethode de communication de donneacutees sans contact entre des appareils proches les uns des autres Elle a deacutejagrave eacuteteacute adopteacutee en Europe et en Asie et fait depuis peu des adeptes en Ameacuterique du Nord Le Forum NFC (consortium regroupant plusieurs membres tels que Sony Nokia et Philips) applique des normes strictes pour les fabricants dappareils compatibles NFC Les eacutediteurs dapplications disposent ainsi dune architecture seacutecuriseacutee et dune infrastructure compatible qui leur permettent dexploiter cette technologie pour des applications de paiement mobiles et le partage de donneacutees (par exemple leacutechange de devises entre homologues)
Il existe actuellement plusieurs smartphones compatibles NFC Cest le cas du Googletrade Nexus 5 du Samsung Galaxy S II et des BlackBerry Bold 9900 et 9930 Plusieurs socieacuteteacutes exploitent aujourdhui cette technologie
bull Google Wallet conteneur seacutecuriseacute pour les informations de carte de creacutedit qui facilite les transactions NFC
bull MasterCard PayPass service de paiement sans contact (actuellement pris en charge dans Google Wallet)
bull Visa payWave service de paiement sans contact
bull PayPal meacutethode bump (application Bump) pour le transfert dargent ou la reacutealisation de paiements entre utilisateurs
bull Apple iPhone prise en charge de la NFC attendue dans une prochaine version (non confirmeacutee)12
Problegravemes de seacutecuriteacutePlusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (donneacutees de carte de creacutedit ou numeacuteros de comptes) sont transmises via un canal NFC sur un appareil mobile Voici des exemples de cas reacuteels constateacutes reacutecemment dans le domaine de la seacutecuriteacute
Cas 1La technologie NFC est employeacutee dans le cadre de solutions de paiement grand public avec deux modes de mise en œuvre distincts
bull Puce NFC dans des cartes de creacutedit grand public telles que MasterCard PayPass et Visa payWave
bull NFC utiliseacutee dans des solutions de portefeuille mobile
Livre blanc | Rapport HP 2012 sur les cyber-risques
12 Il existe actuellement des eacutediteurs agrave linstar de DeviceFidelity qui proposent des composants tiers qui reproduisent la prise en charge de la communication en champ proche (NFC) pour les appareils iPhone
Figure 22Preacutevalence des dix principales vulneacuterabiliteacutes (en pourcentage)
Accegraves non autoriseacute 18
Scripts intersites 15
Divulgation dinformations sensibles 12
Traitementnon seacutecuriseacute des sessions 11
Vulneacuterabiliteacutes du traitement des cookies 9
Meacutethode de cryptage inadapteacutee 9
Pratiques de connexion meacutediocres 8
Saisie semi-automatique sur des formulaires agrave donneacutees sensibles 6
Informations didentificationen texte clair 6
Messages derreur de mauvaise qualiteacute 6
20
Le deacutefi du premier mode de mise en œuvre est double le premier est que pour la plupart des eacutemetteurs de cartes de creacutedit linstallation de la puce NFC est obligatoire le deuxiegraveme est que par deacutefinition la puce NFC est toujours activeacutee Par exemple si la carte de creacutedit dun utilisateur est dans le champ dun lecteur NFS actif comme celui que lon rencontre dans un terminal de point de vente la carte de creacutedit transmet automatiquement le numeacutero de carte de creacutedit de lutilisateur au lecteur NFS de reacuteception A preacutesent imaginez le sceacutenario pour les appareils mobiles les plus modernes eacutequipeacutes de puces NFS inteacutegreacutees Dans le monde dAndroid il existe des applications conccedilues pour activer la puce NFC de lappareil mobile pour reproduire le comportement du lecteur NFS dun terminal de point de vente A laide dun appareil mobile ou dune application de ce genre un attaquant peut potentiellement activer la puce NFC de son appareil Android croiser des gens dans un endroit peupleacute et tenter danalyser leurs cartes de creacutedit pour recueillir leur numeacutero de compte permanent (PAN)
Les solutions de portefeuille mobile NFC sont souvent vulneacuterables agrave ce mecircme type dattaque si la solution concerneacutee ne deacutesactive pas ou ne retire pas la puce NFC une fois lexeacutecution dune transaction termineacutee Heureusement cette vulneacuterabiliteacute peut facilement ecirctre reacutesolue par des deacuteveloppeurs de solutions de portefeuille mobile sils retirent la puce NFC apregraves usage
Cas 2Plusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (par exemple des donneacutees de carte de creacutedit ou des numeacuteros de comptes) sont transmises via un canal NFC
bull Ecoute tentative dintercepter la communication des donneacutees de transmission NFC (par exemple proxy NFC)
bull Manipulation des donneacutees tentative de manipuler la communication des donneacutees de transmission NFC (par exemple pour identifier des reacutesultats erroneacutes)
bull Attaques par interception tentative dexploitation des modes actifpassif de lappareil pour envoyer et recevoir la communication des donneacutees de transmission NFC
bull Vol tentative dacceacuteder sans autorisation agrave lapplication de paiement mobile (comme si lappareil a eacuteteacute voleacute ou perdu) et examen des fichiers stockeacutes sur lappareil agrave la recherche dinformations sensibles
Cas 3Au cœur mecircme de la fonction NFC se trouve un composant appeleacute eacuteleacutement seacutecuriseacute Deux types de mise en œuvre de cet eacuteleacutement sont possibles (1) les eacuteleacutements incorporeacutes dans lappareil et (2) les eacuteleacutements chargeacutes dans une carte SIM Dans les cas ougrave leacuteleacutement seacutecuriseacute est chargeacute dans une carte SIM il est possible que la carte SIM soit retireacutee et eacutechangeacutee sous les yeux dun utilisateur creacutedule Cette situation aboutit agrave des sceacutenarios dattaque semblables aux suivants
bull Echange de carte SIM avec un autre appareil (du mecircme type) pour tenter dacceacuteder au contenu de leacuteleacutement seacutecuriseacute Dans certains cas lutilisation dun appareil de type diffeacuterent peut offrir un accegraves suppleacutementaire aux informations de leacuteleacutement seacutecuriseacute sil nest pas mis en œuvre de maniegravere seacutecuriseacutee Par exemple il existe un risque de contournement de lapplication de paiement ou de la protection du mot de passe au niveau du teacuteleacutephone en cas deacutechange de carte SIM dans un teacuteleacutephone eacutequivalent avec lapplication de paiement et sans mot de passe
bull Identification des donneacutees contenant des informations sensibles dans leacuteleacutement seacutecuriseacute situeacute dans la carte SIM apregraves une opeacuteration de restauration sur un autre appareil Il peut sagir aussi dattaques visant agrave cloner ou copier la carte SIM au moyen dun mateacuteriel externe
Notez que la difficulteacute daccegraves agrave leacuteleacutement seacutecuriseacute offre une certaine garantie sur lenvironnement de seacutecuriteacute de leacuteleacutement seacutecuriseacute sur lappareil cible
Cas 4Dans certains cas il est possible que limpleacutementation de lapplet VMPA dans leacuteleacutement seacutecuriseacute nait pas tenu compte de tous les eacuteleacutements de seacutecuriteacute Il peut sagir par exemple dune signature et dun controcircle daccegraves insuffisants de lapplet VMPA qui permettent agrave une application quelconque de deacutemarrer et dy soumettre des requecirctes Cette situation peut offrir agrave une application non autoriseacutee la possibiliteacute dappeler lapplet VMPA via la commande APDU (JSR 177) Une requecircte bien formuleacutee peut potentiellement permettre dactiver la radio NFC et de transmettre des informations de carte de creacutedit
Livre blanc | Rapport HP 2012 sur les cyber-risques
21
Bien que des informations et une analyse exactes peuvent ecirctre obtenues agrave partir dun appareil dinvestigation (si un accegraves agrave ce type de mateacuteriel est disponible) il nexiste pour lheure aucun outil autorisant laccegraves agrave des informations de leacuteleacutement seacutecuriseacute Leacuteleacutement seacutecuriseacute comme son nom lindique fournit des meacutecanismes de seacutecuriteacute preacutecis (par exemple controcircle daccegraves cryptage et reacutepartition) qui empecircchent lextraction dinformations sensibles eacuteventuelles Cest pourquoi un accegraves dinvestigation explicite agrave leacuteleacutement seacutecuriseacute nest actuellement pas possible mecircme avec un outil dinvestigation distribueacute par les leaders du marcheacute
RecommandationsIl existe des mesures que les organisations peuvent prendre pour reacuteduire les risques que posent les failles de seacutecuriteacute des applications mobiles Avant tout les applications doivent ecirctre manuellement controcircleacutees et eacutevalueacutees avant le lancement des produits afin de deacuteterminer la preacutesence de vulneacuterabiliteacutes dinjection ou de vulneacuterabiliteacutes de fuite dinformation Le code doit ecirctre analyseacute via une analyse statique au moment de le deacutevelopper pour y rechercher des failles Comme pour toutes les applications il est moins coucircteux de geacuterer des failles de seacutecuriteacute lors de la phase de deacuteveloppement quau moment de leur diffusion
Les normes de transmission seacutecuriseacutee des donneacutees doivent ecirctre incluses dans le cahier des charges de toutes les applications surtout si ces derniegraveres sont eacutelaboreacutees par des deacuteveloppeurs tiers Il en va de mecircme pour le stockage seacutecuriseacute des donneacutees et le journal des applications Des exigences raisonnables en matiegravere daffichage des communications entre applications et dautorisations dans ces derniegraveres doivent ecirctre rigoureusement deacutefinies Tous ces aspects doivent ecirctre geacutereacutes lors de la phase de deacutefinition des exigences et testeacutes lors du deacuteveloppement Au moment dexeacutecuter les tests de seacutecuriteacute et lanalyse sur les applications mobiles les services Web cocircteacute serveur et les API avec lesquels les clients mobiles communiquent doivent ecirctre pris dans leur contexte et analyseacutes pour y deacuteceler des vulneacuterabiliteacutes Des failles agrave haut risque peuvent passer agrave la trappe si ces deux eacuteleacutements sont testeacutes et compareacutes hors de leur contexte
Conclusions
Lobjectif de ce rapport est de fournir aux organisations toutes les informations de seacutecuriteacute qui les aideront agrave mieux comprendre comment deacuteployer les ressources limiteacutees dont elles disposent pour minimiser au maximum leurs risques en matiegravere de seacutecuriteacute A cet effet les tendances et les enseignements agrave tirer de lanneacutee 2012 sont nombreux et doivent ecirctre pris en compte pour la ou mecircme les anneacutees qui viennent
Militarisation des vulneacuterabiliteacutes Les attaquants ne cesseront jamais de militariser les vulneacuterabiliteacutes pour mener agrave bien leurs activiteacutes malveillantes Ceux qui eacutelaborent les kits dexploitation continueront de se focaliser sur des vulneacuterabiliteacutes dans les logiciels les plus reacutepandus ciblant le plus souvent des navigateurs et des plug-ins de navigateur tels que Oracle Java et Adobereg Flash De mecircme le nombre dattaques meneacutees publiquement agrave lencontre de technologies et dentreprises speacutecifiques continuera daugmenter Des organisations criminelles des Etats-nations et des hacktivistes se serviront toujours des cyber-attaques comme moyen duniformiser les regravegles du jeu contre des adversaires riches ou puissants mecircme si les reacuteelles motivations derriegravere ces attaques resteront souvent difficiles agrave deacuteterminer
Vulneacuterabiliteacutes des technologies mobilesLadoption croissante des technologies mobiles et leur utilisation au sein de lentreprise engendreront toujours des risques consideacuterables Nombre de gens lont deacutejagrave constateacute les programmes malveillants deacuteployeacutes sur les marcheacutes qui opposent Android et Apple poursuivent leur croissance Laggravation de ce problegraveme est essentiellement lieacutee au fait que les entreprises ne disposent pas du mecircme type de controcircle sur ces appareils que sur des PC Au moment ougrave le BYOD (Bring your own device) devient la norme et que ladoption des appareils mobiles prend de lampleur on peut sattendre agrave une hausse proportionnelle du nombre de failles chez les applications mobiles tendance qui devrait se maintenir dans un avenir preacutevisible
Livre blanc | Rapport HP 2012 sur les cyber-risques
22
DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables
Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications
Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables
Pourensavoirplusconsultezlapage Web hpcomgoSIRM
Livre blanc | Rapport HP 2012 sur les cyber-risques
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013
17
Encadrementintersites conclusionIl est eacutevident que toutes les ressources nont pas besoin decirctre proteacutegeacutees contre les attaques XFS Cependant il demeure des situations ougrave la mise en place dune protection adeacutequate est justifieacutee et indispensable Une mesure employeacutee pour identifier ces cas au cours de cette eacutetude eacutetait la preacutesence dun champ de saisie de mot de passe dans un formulaire Les pages dauthentification sont les plus exposeacutees agrave une attaque de type clickjacking En se focalisant sur les pages munies de champs pour la saisie des mots de passe lanalyse tente deacutetablir un lien entre la sensibiliteacute dune ressource et les efforts investis pour la proteacuteger Une des statistiques les plus surprenantes dans lanalyse est que seulement 103 des 100 000 domaines proteacutegeaient comme il se doit les pages avec des champs de mots de passe confidentiels soit un taux exorbitant de 010 qui suggegravere que la puissance et lefficaciteacute de len-tecircte ont fait lobjet dune mauvaise promotion nont pas obtenu ladheacutesion des administrateurs des serveurs ou nont pas seacuteduit les deacuteveloppeurs
Il convient de souligner que si un peu plus de 80 des reacuteponses ne contenaient aucun champ de mot de passe cela ne veut pas dire pour autant quil ne faut pas proteacuteger le contenu Autrement dit leacutechantillon nincluait aucun champ de mot de passe dans la demande de niveau supeacuterieur Il est donc tregraves probable que beaucoup dautres sites sexposent agrave des risques en avanccedilant plus loin dans larborescence du site La mesure la plus importante agrave noter est le pourcentage remarquable de sites sans en-tecircte X-Frame-Options soit 99
Apregraves une analyse approfondie des reacutesultats des recherches speacutecialiseacutees consacreacutees aux attaques XFS la section qui suit se concentre agrave nouveau sur ce qui semble ecirctre le sujet de conversation le plus populaire en 2012 en matiegravere de seacutecuriteacute la seacutecuriteacute des applications mobiles
Seacutecuriteacutedesapplicationsmobiles
Dix secondes dans une file dattente nimporte ougrave suffisent pour se rendre compte que lutilisation dappareils mobiles a litteacuteralement exploseacute En fait pour la premiegravere fois 2012 est lanneacutee pendant laquelle le nombre de smartphones vendus a deacutepasseacute le nombre dordinateurs portables et dordinateurs de bureau agrave la fois11 Cette augmentation a eacuteteacute suivie aussi dune hausse proportionnelle des risques surtout au moment ougrave les entreprises essaient de mettre agrave profit les avantages quoffre la mobiliteacute Comme nous lavons vu plus haut lOSVDB a signaleacute une hausse de 68 du nombre de vulneacuterabiliteacutes signaleacutees pour les technologies mobiles depuis 2011 soit une augmentation de 787 sur les cinq derniegraveres anneacutees Lors de nos tests nous sommes toujours revenus au mecircme constat Si vous posseacutedez des donneacutees des attaquants chercheront agrave sen emparer
Pour eacutevaluer leacutetat actuel de la seacutecuriteacute des applications mobiles leacutequipe HP Fortify on Demand a rassembleacute les reacutesultats de plus de 70 applications mobiles agrave la recherche de failles de seacutecuriteacute Ce jeu deacutechantillons concernait plus de 50 organisations uniques et de nombreux secteurs au niveau local et international Il peut donc ecirctre consideacutereacute comme une repreacutesentation relativement preacutecise dune application mobile moyenne Les reacutesultats montrent que les vulneacuterabiliteacutes qui compromettent la seacutecuriteacute des applications mobiles sont les mecircmes que pour les applications classiques Ils montrent eacutegalement quun problegraveme surtout se distingue des autres Dans le paysage informatique actuel la fuite dinformation est un problegraveme particuliegraverement reacutepandu et neacutefaste La demande croissante dinformations des travailleurs mobiles allieacutee aux services de cloud de plus en plus omnipreacutesents et agrave une hausse des appareils grand public non geacutereacutes sur le reacuteseau dentreprise repreacutesente un deacutefi notable pour de nombreuses organisations
Fuite de donneacutees sensibles sur des canaux non seacutecuriseacutesLa fuite de donneacutees est un problegraveme de longue date pour les applications Web Si elle peut paraicirctre un problegraveme dampleur modeacutereacutee elle implique souvent une information en apparence inoffensive qui permet agrave un attaquant de renforcer sa strateacutegie dattaque pour mener une attaque plus dangereuse encore La mecircme chose vaut pour les applications mobiles Plus des trois quarts (77 ) des applications mobiles dans notre eacutetude eacutetaient vulneacuterables et en proie agrave des fuites dinformations Nous avons deacutecouvert que les donneacutees personnelles dun utilisateur eacutetaient souvent transmises via des protocoles reacuteseau non crypteacutes comme le protocole HTTP Il sagissait pour la plupart dinformations simples comme des noms des adresses et des numeacuteros de teacuteleacutephone Cependant dans notre jeu deacutechantillons ces donneacutees comprenaient eacutegalement lemplacement actuel de lutilisateur ainsi que lidentifiant unique de lappareil (eacutegalement appeleacute UDID)
Livre blanc | Rapport HP 2012 sur les cyber-risques
11 voiceswashingtonpostcomposttech201011smartphone_sales_to_pass_compuhtml
18
LUDID est primordial pour un appareil car il peut servir agrave des attaques extrecircmement cibleacutees contre des utilisateurs en particulier Si les donneacutees de geacuteolocalisation lidentifiant unique de lappareil et les donneacutees personnelles eacutetaient intercepteacutees sur une application vulneacuterable ce que cela implique dans la reacutealiteacute est eacutetonnant Un attaquant pourrait localiser une cible dans le monde reacuteel et les possibiliteacutes qui souvriraient alors agrave lui seraient illimiteacutees Cest la porte ouverte agrave un sceacutenario effroyable que la plupart des gens ne soupccedilonnent pas Bien entendu lexploitation dapplications simples et banales peut eacutegalement avoir lieu Imaginez le sceacutenario suivant Si lapplication transmet lUDID le nom complet ladresse et ainsi de suite agrave un service Web vulneacuterable et que ce dernier est la cible potentielle dune attaque par injection SQL on conccediloit aiseacutement que chaque bit de donneacutees sur cet appareil mobile soit accessible Il est eacutetonnant de voir jusquougrave une fuite dinformation peut mener un attaquant si les circonstances jouent en sa faveur et que tout alors est du domaine du probable voire du possible
Les donneacutees transmises sur des canaux non seacutecuriseacutes ne se limitaient pas aux donneacutees personnelles Les donneacutees applicatives elles non plus neacutetaient pas proteacutegeacutees Nous avons deacutecouvert que des informations de connexion des informations didentification utilisateur des ID de session des jetons et des donneacutees dentreprise sensibles eacutetaient transmises via des protocoles reacuteseau non crypteacutes agrave linstar du protocole HTTP Imaginez les conseacutequences pour une application bancaire vulneacuterable Si des informations didentification des identificateurs de session des informations didentification personnelle ou dautres donneacutees strateacutegiques sont transmises vers un serveur principal la transmission se doit decirctre seacutecuriseacutee sans quoi les donneacutees peuvent ecirctre intercepteacutees par un attaquant au moyen doutils ou dapplications de capture de paquets reacuteseau courants (par exemple DroidSheep)
Les recherches ont montreacute que 375 des applications pouvaient ecirctre la cible dune vulneacuterabiliteacute impliquant une forme quelconque dautorisation notamment des mots de passe en texte clair des mots de passe codeacutes en dur et des mots de passe inteacutegreacutes agrave la reacuteponse Ce pourcentage bien plus eacuteleveacute que pour les applications dites traditionnelles prouve eacutegalement que les deacuteveloppeurs dapplications mobiles doivent travailler davantage pour proteacuteger leurs donneacutees
Dautres vulneacuterabiliteacutes deacutetecteacutees en nombres importants incluaient les attaques de type stack-smashing Plus de la moitieacute des vulneacuterabiliteacutes (5545 ) noffraient aucune protection adeacutequate contre ce type dattaque Si cet oubli nentraicircne pas lexeacutecution du code il peut quand mecircme geacuteneacuterer une panne injustifieacutee de lapplication vulneacuterable
Qui plus est 135 des applications eacutetaient vulneacuterables agrave des attaques XSS Ceci fut une reacuteelle surprise puisque tous les autres ensembles dapplications que nous avons testeacutes mobiles et traditionnels reacuteveacutelaient des nombres de vulneacuterabiliteacutes XSS plus eacuteleveacutes Un examen plus attentif de ces nombres a montreacute que les applications vulneacuterables eacutetaient des applications destineacutees autant agrave la gestion de la finance que des bases de donneacutees En dautres termes le faible pourcentage ne reacuteduisait pas limpact potentiel
Les accegraves non autoriseacutes concernent quasiment la moitieacute des applications mobilesNous avons chercheacute dautres donneacutees en examinant les reacutesultats obtenus par notre partenaire Security Compass lors de ses tests sur dautres applications A de nombreux eacutegards ils confirment les chiffres eacutevoqueacutes preacuteceacutedemment
48 des applications eacutetaient la proie de vulneacuterabiliteacutes daccegraves non autoriseacute Elles valident les vulneacuterabiliteacutes dauthentification (375 ) que nous avons eacutevoqueacutees dans notre eacutechantillon plus haut Les chiffres montrent que les deacuteveloppeurs dapplications mobiles doivent autant se concentrer sur la preacutevention des accegraves non autoriseacutes sur les applications mobiles que sur les moyens de faciliter laccegraves pour les utilisateurs leacutegitimes
37 des applications posaient des problegravemes de divulgation dinformations sensibles 26 avaient recours agrave des pratiques de connexion meacutediocres et 19 affichaient des messages derreur de mauvaise qualiteacute qui reacuteveacutelaient des informations susceptibles decirctre exploiteacutees par des attaquants Ceci corrobore nos donneacutees preacuteceacutedentes car nous avons vu agrave quel point les fuites dinformations eacutetaient importantes Lors du codage des applications mobiles les deacuteveloppeurs ne tiennent pas compte de ce quimplique la seacutecuriteacute pour le stockage la transmission et laccegraves des donneacutees
33 des applications eacutetaient vulneacuterables agrave des attaques XSS Des tests reacutepeacutetitifs montrent que les attaques par script intersite (XSS) sont autant une menace pour les applications mobiles que pour les applications stationnaires Ces reacutesultats sont en phase avec ce que nous avons constateacute lors des tests des applications traditionnelles
Livre blanc | Rapport HP 2012 sur les cyber-risques
19
26 des applications employaient une meacutethode de cryptage inadapteacutee Le cryptage sur des ordinateurs dentreprise est aujourdhui une pratique standard pour la plupart des entreprises du classement Fortune 500 Il y a dix ans la presse regorgeait dhistoires de donneacutees deacuterobeacutees sur des ordinateurs perdus Les risques dans ce domaine se sont reacuteduits dune part gracircce aux mesures leacutegislatives mises en places et dautre part parce que les entreprises ont eu loccasion de lapprendre agrave leurs deacutepens Pourtant ces mecircmes pratiques standard ne sont pas appliqueacutees aux appareils mobiles et agrave legravere du BYOD (Bring your own device) cela peut saveacuterer dangereux
Les dix principales vulneacuterabiliteacutes des applications mobiles Le partenaire dHP Security Compass a eacutegalement analyseacute les vulneacuterabiliteacutes des applications mobiles et les a eacutetiqueteacutees par type (voir la Figure 22) Ainsi donc agrave quoi les applications moyennes sont-elles le plus vulneacuterables par ordre de preacutevalence des vulneacuterabiliteacutes A quels types dattaques par incident les applications mobiles sont-elles le plus vulneacuterables
Sur les dix principales vulneacuterabiliteacutes constateacutees en matiegravere dapplications mobiles XSS affichait le deuxiegraveme taux le plus eacuteleveacute et repreacutesentait 15 de toutes les vulneacuterabiliteacutes deacutecouvertes dans ce jeu deacutechantillons Les chiffres confirment eacutegalement que lorsquelles sont consigneacutees par ordre doccurrence les vulneacuterabiliteacutes de fuite dinformation et daccegraves non autoriseacuteauthentification indiquent aux deacuteveloppeurs dapplications mobiles comment ils peuvent mieux seacutecuriser leurs applications en concentrant davantage leurs efforts sur ces domaines
Rechercheentechnologiemobile lacommunicationenchampproche (NFC)pourlesapplicationsmobilesdepaiementNous avons constateacute que les vulneacuterabiliteacutes lieacutees aux applications mobiles eacutetaient en hausse constante mais il est indispensable eacutegalement danticiper et de connaicirctre les nouvelles vulneacuterabiliteacutes qui verront le jour Les nouvelles technologies introduisent en permanence des failles de seacutecuriteacute possibles La plate-forme mobile ne fait pas exception Lune de ces nouvelles technologies est la communication en champ proche (NFC) La communication en champ proche (NFC) deacutesigne une meacutethode de communication de donneacutees sans contact entre des appareils proches les uns des autres Elle a deacutejagrave eacuteteacute adopteacutee en Europe et en Asie et fait depuis peu des adeptes en Ameacuterique du Nord Le Forum NFC (consortium regroupant plusieurs membres tels que Sony Nokia et Philips) applique des normes strictes pour les fabricants dappareils compatibles NFC Les eacutediteurs dapplications disposent ainsi dune architecture seacutecuriseacutee et dune infrastructure compatible qui leur permettent dexploiter cette technologie pour des applications de paiement mobiles et le partage de donneacutees (par exemple leacutechange de devises entre homologues)
Il existe actuellement plusieurs smartphones compatibles NFC Cest le cas du Googletrade Nexus 5 du Samsung Galaxy S II et des BlackBerry Bold 9900 et 9930 Plusieurs socieacuteteacutes exploitent aujourdhui cette technologie
bull Google Wallet conteneur seacutecuriseacute pour les informations de carte de creacutedit qui facilite les transactions NFC
bull MasterCard PayPass service de paiement sans contact (actuellement pris en charge dans Google Wallet)
bull Visa payWave service de paiement sans contact
bull PayPal meacutethode bump (application Bump) pour le transfert dargent ou la reacutealisation de paiements entre utilisateurs
bull Apple iPhone prise en charge de la NFC attendue dans une prochaine version (non confirmeacutee)12
Problegravemes de seacutecuriteacutePlusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (donneacutees de carte de creacutedit ou numeacuteros de comptes) sont transmises via un canal NFC sur un appareil mobile Voici des exemples de cas reacuteels constateacutes reacutecemment dans le domaine de la seacutecuriteacute
Cas 1La technologie NFC est employeacutee dans le cadre de solutions de paiement grand public avec deux modes de mise en œuvre distincts
bull Puce NFC dans des cartes de creacutedit grand public telles que MasterCard PayPass et Visa payWave
bull NFC utiliseacutee dans des solutions de portefeuille mobile
Livre blanc | Rapport HP 2012 sur les cyber-risques
12 Il existe actuellement des eacutediteurs agrave linstar de DeviceFidelity qui proposent des composants tiers qui reproduisent la prise en charge de la communication en champ proche (NFC) pour les appareils iPhone
Figure 22Preacutevalence des dix principales vulneacuterabiliteacutes (en pourcentage)
Accegraves non autoriseacute 18
Scripts intersites 15
Divulgation dinformations sensibles 12
Traitementnon seacutecuriseacute des sessions 11
Vulneacuterabiliteacutes du traitement des cookies 9
Meacutethode de cryptage inadapteacutee 9
Pratiques de connexion meacutediocres 8
Saisie semi-automatique sur des formulaires agrave donneacutees sensibles 6
Informations didentificationen texte clair 6
Messages derreur de mauvaise qualiteacute 6
20
Le deacutefi du premier mode de mise en œuvre est double le premier est que pour la plupart des eacutemetteurs de cartes de creacutedit linstallation de la puce NFC est obligatoire le deuxiegraveme est que par deacutefinition la puce NFC est toujours activeacutee Par exemple si la carte de creacutedit dun utilisateur est dans le champ dun lecteur NFS actif comme celui que lon rencontre dans un terminal de point de vente la carte de creacutedit transmet automatiquement le numeacutero de carte de creacutedit de lutilisateur au lecteur NFS de reacuteception A preacutesent imaginez le sceacutenario pour les appareils mobiles les plus modernes eacutequipeacutes de puces NFS inteacutegreacutees Dans le monde dAndroid il existe des applications conccedilues pour activer la puce NFC de lappareil mobile pour reproduire le comportement du lecteur NFS dun terminal de point de vente A laide dun appareil mobile ou dune application de ce genre un attaquant peut potentiellement activer la puce NFC de son appareil Android croiser des gens dans un endroit peupleacute et tenter danalyser leurs cartes de creacutedit pour recueillir leur numeacutero de compte permanent (PAN)
Les solutions de portefeuille mobile NFC sont souvent vulneacuterables agrave ce mecircme type dattaque si la solution concerneacutee ne deacutesactive pas ou ne retire pas la puce NFC une fois lexeacutecution dune transaction termineacutee Heureusement cette vulneacuterabiliteacute peut facilement ecirctre reacutesolue par des deacuteveloppeurs de solutions de portefeuille mobile sils retirent la puce NFC apregraves usage
Cas 2Plusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (par exemple des donneacutees de carte de creacutedit ou des numeacuteros de comptes) sont transmises via un canal NFC
bull Ecoute tentative dintercepter la communication des donneacutees de transmission NFC (par exemple proxy NFC)
bull Manipulation des donneacutees tentative de manipuler la communication des donneacutees de transmission NFC (par exemple pour identifier des reacutesultats erroneacutes)
bull Attaques par interception tentative dexploitation des modes actifpassif de lappareil pour envoyer et recevoir la communication des donneacutees de transmission NFC
bull Vol tentative dacceacuteder sans autorisation agrave lapplication de paiement mobile (comme si lappareil a eacuteteacute voleacute ou perdu) et examen des fichiers stockeacutes sur lappareil agrave la recherche dinformations sensibles
Cas 3Au cœur mecircme de la fonction NFC se trouve un composant appeleacute eacuteleacutement seacutecuriseacute Deux types de mise en œuvre de cet eacuteleacutement sont possibles (1) les eacuteleacutements incorporeacutes dans lappareil et (2) les eacuteleacutements chargeacutes dans une carte SIM Dans les cas ougrave leacuteleacutement seacutecuriseacute est chargeacute dans une carte SIM il est possible que la carte SIM soit retireacutee et eacutechangeacutee sous les yeux dun utilisateur creacutedule Cette situation aboutit agrave des sceacutenarios dattaque semblables aux suivants
bull Echange de carte SIM avec un autre appareil (du mecircme type) pour tenter dacceacuteder au contenu de leacuteleacutement seacutecuriseacute Dans certains cas lutilisation dun appareil de type diffeacuterent peut offrir un accegraves suppleacutementaire aux informations de leacuteleacutement seacutecuriseacute sil nest pas mis en œuvre de maniegravere seacutecuriseacutee Par exemple il existe un risque de contournement de lapplication de paiement ou de la protection du mot de passe au niveau du teacuteleacutephone en cas deacutechange de carte SIM dans un teacuteleacutephone eacutequivalent avec lapplication de paiement et sans mot de passe
bull Identification des donneacutees contenant des informations sensibles dans leacuteleacutement seacutecuriseacute situeacute dans la carte SIM apregraves une opeacuteration de restauration sur un autre appareil Il peut sagir aussi dattaques visant agrave cloner ou copier la carte SIM au moyen dun mateacuteriel externe
Notez que la difficulteacute daccegraves agrave leacuteleacutement seacutecuriseacute offre une certaine garantie sur lenvironnement de seacutecuriteacute de leacuteleacutement seacutecuriseacute sur lappareil cible
Cas 4Dans certains cas il est possible que limpleacutementation de lapplet VMPA dans leacuteleacutement seacutecuriseacute nait pas tenu compte de tous les eacuteleacutements de seacutecuriteacute Il peut sagir par exemple dune signature et dun controcircle daccegraves insuffisants de lapplet VMPA qui permettent agrave une application quelconque de deacutemarrer et dy soumettre des requecirctes Cette situation peut offrir agrave une application non autoriseacutee la possibiliteacute dappeler lapplet VMPA via la commande APDU (JSR 177) Une requecircte bien formuleacutee peut potentiellement permettre dactiver la radio NFC et de transmettre des informations de carte de creacutedit
Livre blanc | Rapport HP 2012 sur les cyber-risques
21
Bien que des informations et une analyse exactes peuvent ecirctre obtenues agrave partir dun appareil dinvestigation (si un accegraves agrave ce type de mateacuteriel est disponible) il nexiste pour lheure aucun outil autorisant laccegraves agrave des informations de leacuteleacutement seacutecuriseacute Leacuteleacutement seacutecuriseacute comme son nom lindique fournit des meacutecanismes de seacutecuriteacute preacutecis (par exemple controcircle daccegraves cryptage et reacutepartition) qui empecircchent lextraction dinformations sensibles eacuteventuelles Cest pourquoi un accegraves dinvestigation explicite agrave leacuteleacutement seacutecuriseacute nest actuellement pas possible mecircme avec un outil dinvestigation distribueacute par les leaders du marcheacute
RecommandationsIl existe des mesures que les organisations peuvent prendre pour reacuteduire les risques que posent les failles de seacutecuriteacute des applications mobiles Avant tout les applications doivent ecirctre manuellement controcircleacutees et eacutevalueacutees avant le lancement des produits afin de deacuteterminer la preacutesence de vulneacuterabiliteacutes dinjection ou de vulneacuterabiliteacutes de fuite dinformation Le code doit ecirctre analyseacute via une analyse statique au moment de le deacutevelopper pour y rechercher des failles Comme pour toutes les applications il est moins coucircteux de geacuterer des failles de seacutecuriteacute lors de la phase de deacuteveloppement quau moment de leur diffusion
Les normes de transmission seacutecuriseacutee des donneacutees doivent ecirctre incluses dans le cahier des charges de toutes les applications surtout si ces derniegraveres sont eacutelaboreacutees par des deacuteveloppeurs tiers Il en va de mecircme pour le stockage seacutecuriseacute des donneacutees et le journal des applications Des exigences raisonnables en matiegravere daffichage des communications entre applications et dautorisations dans ces derniegraveres doivent ecirctre rigoureusement deacutefinies Tous ces aspects doivent ecirctre geacutereacutes lors de la phase de deacutefinition des exigences et testeacutes lors du deacuteveloppement Au moment dexeacutecuter les tests de seacutecuriteacute et lanalyse sur les applications mobiles les services Web cocircteacute serveur et les API avec lesquels les clients mobiles communiquent doivent ecirctre pris dans leur contexte et analyseacutes pour y deacuteceler des vulneacuterabiliteacutes Des failles agrave haut risque peuvent passer agrave la trappe si ces deux eacuteleacutements sont testeacutes et compareacutes hors de leur contexte
Conclusions
Lobjectif de ce rapport est de fournir aux organisations toutes les informations de seacutecuriteacute qui les aideront agrave mieux comprendre comment deacuteployer les ressources limiteacutees dont elles disposent pour minimiser au maximum leurs risques en matiegravere de seacutecuriteacute A cet effet les tendances et les enseignements agrave tirer de lanneacutee 2012 sont nombreux et doivent ecirctre pris en compte pour la ou mecircme les anneacutees qui viennent
Militarisation des vulneacuterabiliteacutes Les attaquants ne cesseront jamais de militariser les vulneacuterabiliteacutes pour mener agrave bien leurs activiteacutes malveillantes Ceux qui eacutelaborent les kits dexploitation continueront de se focaliser sur des vulneacuterabiliteacutes dans les logiciels les plus reacutepandus ciblant le plus souvent des navigateurs et des plug-ins de navigateur tels que Oracle Java et Adobereg Flash De mecircme le nombre dattaques meneacutees publiquement agrave lencontre de technologies et dentreprises speacutecifiques continuera daugmenter Des organisations criminelles des Etats-nations et des hacktivistes se serviront toujours des cyber-attaques comme moyen duniformiser les regravegles du jeu contre des adversaires riches ou puissants mecircme si les reacuteelles motivations derriegravere ces attaques resteront souvent difficiles agrave deacuteterminer
Vulneacuterabiliteacutes des technologies mobilesLadoption croissante des technologies mobiles et leur utilisation au sein de lentreprise engendreront toujours des risques consideacuterables Nombre de gens lont deacutejagrave constateacute les programmes malveillants deacuteployeacutes sur les marcheacutes qui opposent Android et Apple poursuivent leur croissance Laggravation de ce problegraveme est essentiellement lieacutee au fait que les entreprises ne disposent pas du mecircme type de controcircle sur ces appareils que sur des PC Au moment ougrave le BYOD (Bring your own device) devient la norme et que ladoption des appareils mobiles prend de lampleur on peut sattendre agrave une hausse proportionnelle du nombre de failles chez les applications mobiles tendance qui devrait se maintenir dans un avenir preacutevisible
Livre blanc | Rapport HP 2012 sur les cyber-risques
22
DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables
Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications
Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables
Pourensavoirplusconsultezlapage Web hpcomgoSIRM
Livre blanc | Rapport HP 2012 sur les cyber-risques
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013
18
LUDID est primordial pour un appareil car il peut servir agrave des attaques extrecircmement cibleacutees contre des utilisateurs en particulier Si les donneacutees de geacuteolocalisation lidentifiant unique de lappareil et les donneacutees personnelles eacutetaient intercepteacutees sur une application vulneacuterable ce que cela implique dans la reacutealiteacute est eacutetonnant Un attaquant pourrait localiser une cible dans le monde reacuteel et les possibiliteacutes qui souvriraient alors agrave lui seraient illimiteacutees Cest la porte ouverte agrave un sceacutenario effroyable que la plupart des gens ne soupccedilonnent pas Bien entendu lexploitation dapplications simples et banales peut eacutegalement avoir lieu Imaginez le sceacutenario suivant Si lapplication transmet lUDID le nom complet ladresse et ainsi de suite agrave un service Web vulneacuterable et que ce dernier est la cible potentielle dune attaque par injection SQL on conccediloit aiseacutement que chaque bit de donneacutees sur cet appareil mobile soit accessible Il est eacutetonnant de voir jusquougrave une fuite dinformation peut mener un attaquant si les circonstances jouent en sa faveur et que tout alors est du domaine du probable voire du possible
Les donneacutees transmises sur des canaux non seacutecuriseacutes ne se limitaient pas aux donneacutees personnelles Les donneacutees applicatives elles non plus neacutetaient pas proteacutegeacutees Nous avons deacutecouvert que des informations de connexion des informations didentification utilisateur des ID de session des jetons et des donneacutees dentreprise sensibles eacutetaient transmises via des protocoles reacuteseau non crypteacutes agrave linstar du protocole HTTP Imaginez les conseacutequences pour une application bancaire vulneacuterable Si des informations didentification des identificateurs de session des informations didentification personnelle ou dautres donneacutees strateacutegiques sont transmises vers un serveur principal la transmission se doit decirctre seacutecuriseacutee sans quoi les donneacutees peuvent ecirctre intercepteacutees par un attaquant au moyen doutils ou dapplications de capture de paquets reacuteseau courants (par exemple DroidSheep)
Les recherches ont montreacute que 375 des applications pouvaient ecirctre la cible dune vulneacuterabiliteacute impliquant une forme quelconque dautorisation notamment des mots de passe en texte clair des mots de passe codeacutes en dur et des mots de passe inteacutegreacutes agrave la reacuteponse Ce pourcentage bien plus eacuteleveacute que pour les applications dites traditionnelles prouve eacutegalement que les deacuteveloppeurs dapplications mobiles doivent travailler davantage pour proteacuteger leurs donneacutees
Dautres vulneacuterabiliteacutes deacutetecteacutees en nombres importants incluaient les attaques de type stack-smashing Plus de la moitieacute des vulneacuterabiliteacutes (5545 ) noffraient aucune protection adeacutequate contre ce type dattaque Si cet oubli nentraicircne pas lexeacutecution du code il peut quand mecircme geacuteneacuterer une panne injustifieacutee de lapplication vulneacuterable
Qui plus est 135 des applications eacutetaient vulneacuterables agrave des attaques XSS Ceci fut une reacuteelle surprise puisque tous les autres ensembles dapplications que nous avons testeacutes mobiles et traditionnels reacuteveacutelaient des nombres de vulneacuterabiliteacutes XSS plus eacuteleveacutes Un examen plus attentif de ces nombres a montreacute que les applications vulneacuterables eacutetaient des applications destineacutees autant agrave la gestion de la finance que des bases de donneacutees En dautres termes le faible pourcentage ne reacuteduisait pas limpact potentiel
Les accegraves non autoriseacutes concernent quasiment la moitieacute des applications mobilesNous avons chercheacute dautres donneacutees en examinant les reacutesultats obtenus par notre partenaire Security Compass lors de ses tests sur dautres applications A de nombreux eacutegards ils confirment les chiffres eacutevoqueacutes preacuteceacutedemment
48 des applications eacutetaient la proie de vulneacuterabiliteacutes daccegraves non autoriseacute Elles valident les vulneacuterabiliteacutes dauthentification (375 ) que nous avons eacutevoqueacutees dans notre eacutechantillon plus haut Les chiffres montrent que les deacuteveloppeurs dapplications mobiles doivent autant se concentrer sur la preacutevention des accegraves non autoriseacutes sur les applications mobiles que sur les moyens de faciliter laccegraves pour les utilisateurs leacutegitimes
37 des applications posaient des problegravemes de divulgation dinformations sensibles 26 avaient recours agrave des pratiques de connexion meacutediocres et 19 affichaient des messages derreur de mauvaise qualiteacute qui reacuteveacutelaient des informations susceptibles decirctre exploiteacutees par des attaquants Ceci corrobore nos donneacutees preacuteceacutedentes car nous avons vu agrave quel point les fuites dinformations eacutetaient importantes Lors du codage des applications mobiles les deacuteveloppeurs ne tiennent pas compte de ce quimplique la seacutecuriteacute pour le stockage la transmission et laccegraves des donneacutees
33 des applications eacutetaient vulneacuterables agrave des attaques XSS Des tests reacutepeacutetitifs montrent que les attaques par script intersite (XSS) sont autant une menace pour les applications mobiles que pour les applications stationnaires Ces reacutesultats sont en phase avec ce que nous avons constateacute lors des tests des applications traditionnelles
Livre blanc | Rapport HP 2012 sur les cyber-risques
19
26 des applications employaient une meacutethode de cryptage inadapteacutee Le cryptage sur des ordinateurs dentreprise est aujourdhui une pratique standard pour la plupart des entreprises du classement Fortune 500 Il y a dix ans la presse regorgeait dhistoires de donneacutees deacuterobeacutees sur des ordinateurs perdus Les risques dans ce domaine se sont reacuteduits dune part gracircce aux mesures leacutegislatives mises en places et dautre part parce que les entreprises ont eu loccasion de lapprendre agrave leurs deacutepens Pourtant ces mecircmes pratiques standard ne sont pas appliqueacutees aux appareils mobiles et agrave legravere du BYOD (Bring your own device) cela peut saveacuterer dangereux
Les dix principales vulneacuterabiliteacutes des applications mobiles Le partenaire dHP Security Compass a eacutegalement analyseacute les vulneacuterabiliteacutes des applications mobiles et les a eacutetiqueteacutees par type (voir la Figure 22) Ainsi donc agrave quoi les applications moyennes sont-elles le plus vulneacuterables par ordre de preacutevalence des vulneacuterabiliteacutes A quels types dattaques par incident les applications mobiles sont-elles le plus vulneacuterables
Sur les dix principales vulneacuterabiliteacutes constateacutees en matiegravere dapplications mobiles XSS affichait le deuxiegraveme taux le plus eacuteleveacute et repreacutesentait 15 de toutes les vulneacuterabiliteacutes deacutecouvertes dans ce jeu deacutechantillons Les chiffres confirment eacutegalement que lorsquelles sont consigneacutees par ordre doccurrence les vulneacuterabiliteacutes de fuite dinformation et daccegraves non autoriseacuteauthentification indiquent aux deacuteveloppeurs dapplications mobiles comment ils peuvent mieux seacutecuriser leurs applications en concentrant davantage leurs efforts sur ces domaines
Rechercheentechnologiemobile lacommunicationenchampproche (NFC)pourlesapplicationsmobilesdepaiementNous avons constateacute que les vulneacuterabiliteacutes lieacutees aux applications mobiles eacutetaient en hausse constante mais il est indispensable eacutegalement danticiper et de connaicirctre les nouvelles vulneacuterabiliteacutes qui verront le jour Les nouvelles technologies introduisent en permanence des failles de seacutecuriteacute possibles La plate-forme mobile ne fait pas exception Lune de ces nouvelles technologies est la communication en champ proche (NFC) La communication en champ proche (NFC) deacutesigne une meacutethode de communication de donneacutees sans contact entre des appareils proches les uns des autres Elle a deacutejagrave eacuteteacute adopteacutee en Europe et en Asie et fait depuis peu des adeptes en Ameacuterique du Nord Le Forum NFC (consortium regroupant plusieurs membres tels que Sony Nokia et Philips) applique des normes strictes pour les fabricants dappareils compatibles NFC Les eacutediteurs dapplications disposent ainsi dune architecture seacutecuriseacutee et dune infrastructure compatible qui leur permettent dexploiter cette technologie pour des applications de paiement mobiles et le partage de donneacutees (par exemple leacutechange de devises entre homologues)
Il existe actuellement plusieurs smartphones compatibles NFC Cest le cas du Googletrade Nexus 5 du Samsung Galaxy S II et des BlackBerry Bold 9900 et 9930 Plusieurs socieacuteteacutes exploitent aujourdhui cette technologie
bull Google Wallet conteneur seacutecuriseacute pour les informations de carte de creacutedit qui facilite les transactions NFC
bull MasterCard PayPass service de paiement sans contact (actuellement pris en charge dans Google Wallet)
bull Visa payWave service de paiement sans contact
bull PayPal meacutethode bump (application Bump) pour le transfert dargent ou la reacutealisation de paiements entre utilisateurs
bull Apple iPhone prise en charge de la NFC attendue dans une prochaine version (non confirmeacutee)12
Problegravemes de seacutecuriteacutePlusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (donneacutees de carte de creacutedit ou numeacuteros de comptes) sont transmises via un canal NFC sur un appareil mobile Voici des exemples de cas reacuteels constateacutes reacutecemment dans le domaine de la seacutecuriteacute
Cas 1La technologie NFC est employeacutee dans le cadre de solutions de paiement grand public avec deux modes de mise en œuvre distincts
bull Puce NFC dans des cartes de creacutedit grand public telles que MasterCard PayPass et Visa payWave
bull NFC utiliseacutee dans des solutions de portefeuille mobile
Livre blanc | Rapport HP 2012 sur les cyber-risques
12 Il existe actuellement des eacutediteurs agrave linstar de DeviceFidelity qui proposent des composants tiers qui reproduisent la prise en charge de la communication en champ proche (NFC) pour les appareils iPhone
Figure 22Preacutevalence des dix principales vulneacuterabiliteacutes (en pourcentage)
Accegraves non autoriseacute 18
Scripts intersites 15
Divulgation dinformations sensibles 12
Traitementnon seacutecuriseacute des sessions 11
Vulneacuterabiliteacutes du traitement des cookies 9
Meacutethode de cryptage inadapteacutee 9
Pratiques de connexion meacutediocres 8
Saisie semi-automatique sur des formulaires agrave donneacutees sensibles 6
Informations didentificationen texte clair 6
Messages derreur de mauvaise qualiteacute 6
20
Le deacutefi du premier mode de mise en œuvre est double le premier est que pour la plupart des eacutemetteurs de cartes de creacutedit linstallation de la puce NFC est obligatoire le deuxiegraveme est que par deacutefinition la puce NFC est toujours activeacutee Par exemple si la carte de creacutedit dun utilisateur est dans le champ dun lecteur NFS actif comme celui que lon rencontre dans un terminal de point de vente la carte de creacutedit transmet automatiquement le numeacutero de carte de creacutedit de lutilisateur au lecteur NFS de reacuteception A preacutesent imaginez le sceacutenario pour les appareils mobiles les plus modernes eacutequipeacutes de puces NFS inteacutegreacutees Dans le monde dAndroid il existe des applications conccedilues pour activer la puce NFC de lappareil mobile pour reproduire le comportement du lecteur NFS dun terminal de point de vente A laide dun appareil mobile ou dune application de ce genre un attaquant peut potentiellement activer la puce NFC de son appareil Android croiser des gens dans un endroit peupleacute et tenter danalyser leurs cartes de creacutedit pour recueillir leur numeacutero de compte permanent (PAN)
Les solutions de portefeuille mobile NFC sont souvent vulneacuterables agrave ce mecircme type dattaque si la solution concerneacutee ne deacutesactive pas ou ne retire pas la puce NFC une fois lexeacutecution dune transaction termineacutee Heureusement cette vulneacuterabiliteacute peut facilement ecirctre reacutesolue par des deacuteveloppeurs de solutions de portefeuille mobile sils retirent la puce NFC apregraves usage
Cas 2Plusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (par exemple des donneacutees de carte de creacutedit ou des numeacuteros de comptes) sont transmises via un canal NFC
bull Ecoute tentative dintercepter la communication des donneacutees de transmission NFC (par exemple proxy NFC)
bull Manipulation des donneacutees tentative de manipuler la communication des donneacutees de transmission NFC (par exemple pour identifier des reacutesultats erroneacutes)
bull Attaques par interception tentative dexploitation des modes actifpassif de lappareil pour envoyer et recevoir la communication des donneacutees de transmission NFC
bull Vol tentative dacceacuteder sans autorisation agrave lapplication de paiement mobile (comme si lappareil a eacuteteacute voleacute ou perdu) et examen des fichiers stockeacutes sur lappareil agrave la recherche dinformations sensibles
Cas 3Au cœur mecircme de la fonction NFC se trouve un composant appeleacute eacuteleacutement seacutecuriseacute Deux types de mise en œuvre de cet eacuteleacutement sont possibles (1) les eacuteleacutements incorporeacutes dans lappareil et (2) les eacuteleacutements chargeacutes dans une carte SIM Dans les cas ougrave leacuteleacutement seacutecuriseacute est chargeacute dans une carte SIM il est possible que la carte SIM soit retireacutee et eacutechangeacutee sous les yeux dun utilisateur creacutedule Cette situation aboutit agrave des sceacutenarios dattaque semblables aux suivants
bull Echange de carte SIM avec un autre appareil (du mecircme type) pour tenter dacceacuteder au contenu de leacuteleacutement seacutecuriseacute Dans certains cas lutilisation dun appareil de type diffeacuterent peut offrir un accegraves suppleacutementaire aux informations de leacuteleacutement seacutecuriseacute sil nest pas mis en œuvre de maniegravere seacutecuriseacutee Par exemple il existe un risque de contournement de lapplication de paiement ou de la protection du mot de passe au niveau du teacuteleacutephone en cas deacutechange de carte SIM dans un teacuteleacutephone eacutequivalent avec lapplication de paiement et sans mot de passe
bull Identification des donneacutees contenant des informations sensibles dans leacuteleacutement seacutecuriseacute situeacute dans la carte SIM apregraves une opeacuteration de restauration sur un autre appareil Il peut sagir aussi dattaques visant agrave cloner ou copier la carte SIM au moyen dun mateacuteriel externe
Notez que la difficulteacute daccegraves agrave leacuteleacutement seacutecuriseacute offre une certaine garantie sur lenvironnement de seacutecuriteacute de leacuteleacutement seacutecuriseacute sur lappareil cible
Cas 4Dans certains cas il est possible que limpleacutementation de lapplet VMPA dans leacuteleacutement seacutecuriseacute nait pas tenu compte de tous les eacuteleacutements de seacutecuriteacute Il peut sagir par exemple dune signature et dun controcircle daccegraves insuffisants de lapplet VMPA qui permettent agrave une application quelconque de deacutemarrer et dy soumettre des requecirctes Cette situation peut offrir agrave une application non autoriseacutee la possibiliteacute dappeler lapplet VMPA via la commande APDU (JSR 177) Une requecircte bien formuleacutee peut potentiellement permettre dactiver la radio NFC et de transmettre des informations de carte de creacutedit
Livre blanc | Rapport HP 2012 sur les cyber-risques
21
Bien que des informations et une analyse exactes peuvent ecirctre obtenues agrave partir dun appareil dinvestigation (si un accegraves agrave ce type de mateacuteriel est disponible) il nexiste pour lheure aucun outil autorisant laccegraves agrave des informations de leacuteleacutement seacutecuriseacute Leacuteleacutement seacutecuriseacute comme son nom lindique fournit des meacutecanismes de seacutecuriteacute preacutecis (par exemple controcircle daccegraves cryptage et reacutepartition) qui empecircchent lextraction dinformations sensibles eacuteventuelles Cest pourquoi un accegraves dinvestigation explicite agrave leacuteleacutement seacutecuriseacute nest actuellement pas possible mecircme avec un outil dinvestigation distribueacute par les leaders du marcheacute
RecommandationsIl existe des mesures que les organisations peuvent prendre pour reacuteduire les risques que posent les failles de seacutecuriteacute des applications mobiles Avant tout les applications doivent ecirctre manuellement controcircleacutees et eacutevalueacutees avant le lancement des produits afin de deacuteterminer la preacutesence de vulneacuterabiliteacutes dinjection ou de vulneacuterabiliteacutes de fuite dinformation Le code doit ecirctre analyseacute via une analyse statique au moment de le deacutevelopper pour y rechercher des failles Comme pour toutes les applications il est moins coucircteux de geacuterer des failles de seacutecuriteacute lors de la phase de deacuteveloppement quau moment de leur diffusion
Les normes de transmission seacutecuriseacutee des donneacutees doivent ecirctre incluses dans le cahier des charges de toutes les applications surtout si ces derniegraveres sont eacutelaboreacutees par des deacuteveloppeurs tiers Il en va de mecircme pour le stockage seacutecuriseacute des donneacutees et le journal des applications Des exigences raisonnables en matiegravere daffichage des communications entre applications et dautorisations dans ces derniegraveres doivent ecirctre rigoureusement deacutefinies Tous ces aspects doivent ecirctre geacutereacutes lors de la phase de deacutefinition des exigences et testeacutes lors du deacuteveloppement Au moment dexeacutecuter les tests de seacutecuriteacute et lanalyse sur les applications mobiles les services Web cocircteacute serveur et les API avec lesquels les clients mobiles communiquent doivent ecirctre pris dans leur contexte et analyseacutes pour y deacuteceler des vulneacuterabiliteacutes Des failles agrave haut risque peuvent passer agrave la trappe si ces deux eacuteleacutements sont testeacutes et compareacutes hors de leur contexte
Conclusions
Lobjectif de ce rapport est de fournir aux organisations toutes les informations de seacutecuriteacute qui les aideront agrave mieux comprendre comment deacuteployer les ressources limiteacutees dont elles disposent pour minimiser au maximum leurs risques en matiegravere de seacutecuriteacute A cet effet les tendances et les enseignements agrave tirer de lanneacutee 2012 sont nombreux et doivent ecirctre pris en compte pour la ou mecircme les anneacutees qui viennent
Militarisation des vulneacuterabiliteacutes Les attaquants ne cesseront jamais de militariser les vulneacuterabiliteacutes pour mener agrave bien leurs activiteacutes malveillantes Ceux qui eacutelaborent les kits dexploitation continueront de se focaliser sur des vulneacuterabiliteacutes dans les logiciels les plus reacutepandus ciblant le plus souvent des navigateurs et des plug-ins de navigateur tels que Oracle Java et Adobereg Flash De mecircme le nombre dattaques meneacutees publiquement agrave lencontre de technologies et dentreprises speacutecifiques continuera daugmenter Des organisations criminelles des Etats-nations et des hacktivistes se serviront toujours des cyber-attaques comme moyen duniformiser les regravegles du jeu contre des adversaires riches ou puissants mecircme si les reacuteelles motivations derriegravere ces attaques resteront souvent difficiles agrave deacuteterminer
Vulneacuterabiliteacutes des technologies mobilesLadoption croissante des technologies mobiles et leur utilisation au sein de lentreprise engendreront toujours des risques consideacuterables Nombre de gens lont deacutejagrave constateacute les programmes malveillants deacuteployeacutes sur les marcheacutes qui opposent Android et Apple poursuivent leur croissance Laggravation de ce problegraveme est essentiellement lieacutee au fait que les entreprises ne disposent pas du mecircme type de controcircle sur ces appareils que sur des PC Au moment ougrave le BYOD (Bring your own device) devient la norme et que ladoption des appareils mobiles prend de lampleur on peut sattendre agrave une hausse proportionnelle du nombre de failles chez les applications mobiles tendance qui devrait se maintenir dans un avenir preacutevisible
Livre blanc | Rapport HP 2012 sur les cyber-risques
22
DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables
Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications
Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables
Pourensavoirplusconsultezlapage Web hpcomgoSIRM
Livre blanc | Rapport HP 2012 sur les cyber-risques
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013
19
26 des applications employaient une meacutethode de cryptage inadapteacutee Le cryptage sur des ordinateurs dentreprise est aujourdhui une pratique standard pour la plupart des entreprises du classement Fortune 500 Il y a dix ans la presse regorgeait dhistoires de donneacutees deacuterobeacutees sur des ordinateurs perdus Les risques dans ce domaine se sont reacuteduits dune part gracircce aux mesures leacutegislatives mises en places et dautre part parce que les entreprises ont eu loccasion de lapprendre agrave leurs deacutepens Pourtant ces mecircmes pratiques standard ne sont pas appliqueacutees aux appareils mobiles et agrave legravere du BYOD (Bring your own device) cela peut saveacuterer dangereux
Les dix principales vulneacuterabiliteacutes des applications mobiles Le partenaire dHP Security Compass a eacutegalement analyseacute les vulneacuterabiliteacutes des applications mobiles et les a eacutetiqueteacutees par type (voir la Figure 22) Ainsi donc agrave quoi les applications moyennes sont-elles le plus vulneacuterables par ordre de preacutevalence des vulneacuterabiliteacutes A quels types dattaques par incident les applications mobiles sont-elles le plus vulneacuterables
Sur les dix principales vulneacuterabiliteacutes constateacutees en matiegravere dapplications mobiles XSS affichait le deuxiegraveme taux le plus eacuteleveacute et repreacutesentait 15 de toutes les vulneacuterabiliteacutes deacutecouvertes dans ce jeu deacutechantillons Les chiffres confirment eacutegalement que lorsquelles sont consigneacutees par ordre doccurrence les vulneacuterabiliteacutes de fuite dinformation et daccegraves non autoriseacuteauthentification indiquent aux deacuteveloppeurs dapplications mobiles comment ils peuvent mieux seacutecuriser leurs applications en concentrant davantage leurs efforts sur ces domaines
Rechercheentechnologiemobile lacommunicationenchampproche (NFC)pourlesapplicationsmobilesdepaiementNous avons constateacute que les vulneacuterabiliteacutes lieacutees aux applications mobiles eacutetaient en hausse constante mais il est indispensable eacutegalement danticiper et de connaicirctre les nouvelles vulneacuterabiliteacutes qui verront le jour Les nouvelles technologies introduisent en permanence des failles de seacutecuriteacute possibles La plate-forme mobile ne fait pas exception Lune de ces nouvelles technologies est la communication en champ proche (NFC) La communication en champ proche (NFC) deacutesigne une meacutethode de communication de donneacutees sans contact entre des appareils proches les uns des autres Elle a deacutejagrave eacuteteacute adopteacutee en Europe et en Asie et fait depuis peu des adeptes en Ameacuterique du Nord Le Forum NFC (consortium regroupant plusieurs membres tels que Sony Nokia et Philips) applique des normes strictes pour les fabricants dappareils compatibles NFC Les eacutediteurs dapplications disposent ainsi dune architecture seacutecuriseacutee et dune infrastructure compatible qui leur permettent dexploiter cette technologie pour des applications de paiement mobiles et le partage de donneacutees (par exemple leacutechange de devises entre homologues)
Il existe actuellement plusieurs smartphones compatibles NFC Cest le cas du Googletrade Nexus 5 du Samsung Galaxy S II et des BlackBerry Bold 9900 et 9930 Plusieurs socieacuteteacutes exploitent aujourdhui cette technologie
bull Google Wallet conteneur seacutecuriseacute pour les informations de carte de creacutedit qui facilite les transactions NFC
bull MasterCard PayPass service de paiement sans contact (actuellement pris en charge dans Google Wallet)
bull Visa payWave service de paiement sans contact
bull PayPal meacutethode bump (application Bump) pour le transfert dargent ou la reacutealisation de paiements entre utilisateurs
bull Apple iPhone prise en charge de la NFC attendue dans une prochaine version (non confirmeacutee)12
Problegravemes de seacutecuriteacutePlusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (donneacutees de carte de creacutedit ou numeacuteros de comptes) sont transmises via un canal NFC sur un appareil mobile Voici des exemples de cas reacuteels constateacutes reacutecemment dans le domaine de la seacutecuriteacute
Cas 1La technologie NFC est employeacutee dans le cadre de solutions de paiement grand public avec deux modes de mise en œuvre distincts
bull Puce NFC dans des cartes de creacutedit grand public telles que MasterCard PayPass et Visa payWave
bull NFC utiliseacutee dans des solutions de portefeuille mobile
Livre blanc | Rapport HP 2012 sur les cyber-risques
12 Il existe actuellement des eacutediteurs agrave linstar de DeviceFidelity qui proposent des composants tiers qui reproduisent la prise en charge de la communication en champ proche (NFC) pour les appareils iPhone
Figure 22Preacutevalence des dix principales vulneacuterabiliteacutes (en pourcentage)
Accegraves non autoriseacute 18
Scripts intersites 15
Divulgation dinformations sensibles 12
Traitementnon seacutecuriseacute des sessions 11
Vulneacuterabiliteacutes du traitement des cookies 9
Meacutethode de cryptage inadapteacutee 9
Pratiques de connexion meacutediocres 8
Saisie semi-automatique sur des formulaires agrave donneacutees sensibles 6
Informations didentificationen texte clair 6
Messages derreur de mauvaise qualiteacute 6
20
Le deacutefi du premier mode de mise en œuvre est double le premier est que pour la plupart des eacutemetteurs de cartes de creacutedit linstallation de la puce NFC est obligatoire le deuxiegraveme est que par deacutefinition la puce NFC est toujours activeacutee Par exemple si la carte de creacutedit dun utilisateur est dans le champ dun lecteur NFS actif comme celui que lon rencontre dans un terminal de point de vente la carte de creacutedit transmet automatiquement le numeacutero de carte de creacutedit de lutilisateur au lecteur NFS de reacuteception A preacutesent imaginez le sceacutenario pour les appareils mobiles les plus modernes eacutequipeacutes de puces NFS inteacutegreacutees Dans le monde dAndroid il existe des applications conccedilues pour activer la puce NFC de lappareil mobile pour reproduire le comportement du lecteur NFS dun terminal de point de vente A laide dun appareil mobile ou dune application de ce genre un attaquant peut potentiellement activer la puce NFC de son appareil Android croiser des gens dans un endroit peupleacute et tenter danalyser leurs cartes de creacutedit pour recueillir leur numeacutero de compte permanent (PAN)
Les solutions de portefeuille mobile NFC sont souvent vulneacuterables agrave ce mecircme type dattaque si la solution concerneacutee ne deacutesactive pas ou ne retire pas la puce NFC une fois lexeacutecution dune transaction termineacutee Heureusement cette vulneacuterabiliteacute peut facilement ecirctre reacutesolue par des deacuteveloppeurs de solutions de portefeuille mobile sils retirent la puce NFC apregraves usage
Cas 2Plusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (par exemple des donneacutees de carte de creacutedit ou des numeacuteros de comptes) sont transmises via un canal NFC
bull Ecoute tentative dintercepter la communication des donneacutees de transmission NFC (par exemple proxy NFC)
bull Manipulation des donneacutees tentative de manipuler la communication des donneacutees de transmission NFC (par exemple pour identifier des reacutesultats erroneacutes)
bull Attaques par interception tentative dexploitation des modes actifpassif de lappareil pour envoyer et recevoir la communication des donneacutees de transmission NFC
bull Vol tentative dacceacuteder sans autorisation agrave lapplication de paiement mobile (comme si lappareil a eacuteteacute voleacute ou perdu) et examen des fichiers stockeacutes sur lappareil agrave la recherche dinformations sensibles
Cas 3Au cœur mecircme de la fonction NFC se trouve un composant appeleacute eacuteleacutement seacutecuriseacute Deux types de mise en œuvre de cet eacuteleacutement sont possibles (1) les eacuteleacutements incorporeacutes dans lappareil et (2) les eacuteleacutements chargeacutes dans une carte SIM Dans les cas ougrave leacuteleacutement seacutecuriseacute est chargeacute dans une carte SIM il est possible que la carte SIM soit retireacutee et eacutechangeacutee sous les yeux dun utilisateur creacutedule Cette situation aboutit agrave des sceacutenarios dattaque semblables aux suivants
bull Echange de carte SIM avec un autre appareil (du mecircme type) pour tenter dacceacuteder au contenu de leacuteleacutement seacutecuriseacute Dans certains cas lutilisation dun appareil de type diffeacuterent peut offrir un accegraves suppleacutementaire aux informations de leacuteleacutement seacutecuriseacute sil nest pas mis en œuvre de maniegravere seacutecuriseacutee Par exemple il existe un risque de contournement de lapplication de paiement ou de la protection du mot de passe au niveau du teacuteleacutephone en cas deacutechange de carte SIM dans un teacuteleacutephone eacutequivalent avec lapplication de paiement et sans mot de passe
bull Identification des donneacutees contenant des informations sensibles dans leacuteleacutement seacutecuriseacute situeacute dans la carte SIM apregraves une opeacuteration de restauration sur un autre appareil Il peut sagir aussi dattaques visant agrave cloner ou copier la carte SIM au moyen dun mateacuteriel externe
Notez que la difficulteacute daccegraves agrave leacuteleacutement seacutecuriseacute offre une certaine garantie sur lenvironnement de seacutecuriteacute de leacuteleacutement seacutecuriseacute sur lappareil cible
Cas 4Dans certains cas il est possible que limpleacutementation de lapplet VMPA dans leacuteleacutement seacutecuriseacute nait pas tenu compte de tous les eacuteleacutements de seacutecuriteacute Il peut sagir par exemple dune signature et dun controcircle daccegraves insuffisants de lapplet VMPA qui permettent agrave une application quelconque de deacutemarrer et dy soumettre des requecirctes Cette situation peut offrir agrave une application non autoriseacutee la possibiliteacute dappeler lapplet VMPA via la commande APDU (JSR 177) Une requecircte bien formuleacutee peut potentiellement permettre dactiver la radio NFC et de transmettre des informations de carte de creacutedit
Livre blanc | Rapport HP 2012 sur les cyber-risques
21
Bien que des informations et une analyse exactes peuvent ecirctre obtenues agrave partir dun appareil dinvestigation (si un accegraves agrave ce type de mateacuteriel est disponible) il nexiste pour lheure aucun outil autorisant laccegraves agrave des informations de leacuteleacutement seacutecuriseacute Leacuteleacutement seacutecuriseacute comme son nom lindique fournit des meacutecanismes de seacutecuriteacute preacutecis (par exemple controcircle daccegraves cryptage et reacutepartition) qui empecircchent lextraction dinformations sensibles eacuteventuelles Cest pourquoi un accegraves dinvestigation explicite agrave leacuteleacutement seacutecuriseacute nest actuellement pas possible mecircme avec un outil dinvestigation distribueacute par les leaders du marcheacute
RecommandationsIl existe des mesures que les organisations peuvent prendre pour reacuteduire les risques que posent les failles de seacutecuriteacute des applications mobiles Avant tout les applications doivent ecirctre manuellement controcircleacutees et eacutevalueacutees avant le lancement des produits afin de deacuteterminer la preacutesence de vulneacuterabiliteacutes dinjection ou de vulneacuterabiliteacutes de fuite dinformation Le code doit ecirctre analyseacute via une analyse statique au moment de le deacutevelopper pour y rechercher des failles Comme pour toutes les applications il est moins coucircteux de geacuterer des failles de seacutecuriteacute lors de la phase de deacuteveloppement quau moment de leur diffusion
Les normes de transmission seacutecuriseacutee des donneacutees doivent ecirctre incluses dans le cahier des charges de toutes les applications surtout si ces derniegraveres sont eacutelaboreacutees par des deacuteveloppeurs tiers Il en va de mecircme pour le stockage seacutecuriseacute des donneacutees et le journal des applications Des exigences raisonnables en matiegravere daffichage des communications entre applications et dautorisations dans ces derniegraveres doivent ecirctre rigoureusement deacutefinies Tous ces aspects doivent ecirctre geacutereacutes lors de la phase de deacutefinition des exigences et testeacutes lors du deacuteveloppement Au moment dexeacutecuter les tests de seacutecuriteacute et lanalyse sur les applications mobiles les services Web cocircteacute serveur et les API avec lesquels les clients mobiles communiquent doivent ecirctre pris dans leur contexte et analyseacutes pour y deacuteceler des vulneacuterabiliteacutes Des failles agrave haut risque peuvent passer agrave la trappe si ces deux eacuteleacutements sont testeacutes et compareacutes hors de leur contexte
Conclusions
Lobjectif de ce rapport est de fournir aux organisations toutes les informations de seacutecuriteacute qui les aideront agrave mieux comprendre comment deacuteployer les ressources limiteacutees dont elles disposent pour minimiser au maximum leurs risques en matiegravere de seacutecuriteacute A cet effet les tendances et les enseignements agrave tirer de lanneacutee 2012 sont nombreux et doivent ecirctre pris en compte pour la ou mecircme les anneacutees qui viennent
Militarisation des vulneacuterabiliteacutes Les attaquants ne cesseront jamais de militariser les vulneacuterabiliteacutes pour mener agrave bien leurs activiteacutes malveillantes Ceux qui eacutelaborent les kits dexploitation continueront de se focaliser sur des vulneacuterabiliteacutes dans les logiciels les plus reacutepandus ciblant le plus souvent des navigateurs et des plug-ins de navigateur tels que Oracle Java et Adobereg Flash De mecircme le nombre dattaques meneacutees publiquement agrave lencontre de technologies et dentreprises speacutecifiques continuera daugmenter Des organisations criminelles des Etats-nations et des hacktivistes se serviront toujours des cyber-attaques comme moyen duniformiser les regravegles du jeu contre des adversaires riches ou puissants mecircme si les reacuteelles motivations derriegravere ces attaques resteront souvent difficiles agrave deacuteterminer
Vulneacuterabiliteacutes des technologies mobilesLadoption croissante des technologies mobiles et leur utilisation au sein de lentreprise engendreront toujours des risques consideacuterables Nombre de gens lont deacutejagrave constateacute les programmes malveillants deacuteployeacutes sur les marcheacutes qui opposent Android et Apple poursuivent leur croissance Laggravation de ce problegraveme est essentiellement lieacutee au fait que les entreprises ne disposent pas du mecircme type de controcircle sur ces appareils que sur des PC Au moment ougrave le BYOD (Bring your own device) devient la norme et que ladoption des appareils mobiles prend de lampleur on peut sattendre agrave une hausse proportionnelle du nombre de failles chez les applications mobiles tendance qui devrait se maintenir dans un avenir preacutevisible
Livre blanc | Rapport HP 2012 sur les cyber-risques
22
DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables
Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications
Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables
Pourensavoirplusconsultezlapage Web hpcomgoSIRM
Livre blanc | Rapport HP 2012 sur les cyber-risques
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013
20
Le deacutefi du premier mode de mise en œuvre est double le premier est que pour la plupart des eacutemetteurs de cartes de creacutedit linstallation de la puce NFC est obligatoire le deuxiegraveme est que par deacutefinition la puce NFC est toujours activeacutee Par exemple si la carte de creacutedit dun utilisateur est dans le champ dun lecteur NFS actif comme celui que lon rencontre dans un terminal de point de vente la carte de creacutedit transmet automatiquement le numeacutero de carte de creacutedit de lutilisateur au lecteur NFS de reacuteception A preacutesent imaginez le sceacutenario pour les appareils mobiles les plus modernes eacutequipeacutes de puces NFS inteacutegreacutees Dans le monde dAndroid il existe des applications conccedilues pour activer la puce NFC de lappareil mobile pour reproduire le comportement du lecteur NFS dun terminal de point de vente A laide dun appareil mobile ou dune application de ce genre un attaquant peut potentiellement activer la puce NFC de son appareil Android croiser des gens dans un endroit peupleacute et tenter danalyser leurs cartes de creacutedit pour recueillir leur numeacutero de compte permanent (PAN)
Les solutions de portefeuille mobile NFC sont souvent vulneacuterables agrave ce mecircme type dattaque si la solution concerneacutee ne deacutesactive pas ou ne retire pas la puce NFC une fois lexeacutecution dune transaction termineacutee Heureusement cette vulneacuterabiliteacute peut facilement ecirctre reacutesolue par des deacuteveloppeurs de solutions de portefeuille mobile sils retirent la puce NFC apregraves usage
Cas 2Plusieurs sceacutenarios dattaque sont agrave envisager lorsque des donneacutees confidentielles (par exemple des donneacutees de carte de creacutedit ou des numeacuteros de comptes) sont transmises via un canal NFC
bull Ecoute tentative dintercepter la communication des donneacutees de transmission NFC (par exemple proxy NFC)
bull Manipulation des donneacutees tentative de manipuler la communication des donneacutees de transmission NFC (par exemple pour identifier des reacutesultats erroneacutes)
bull Attaques par interception tentative dexploitation des modes actifpassif de lappareil pour envoyer et recevoir la communication des donneacutees de transmission NFC
bull Vol tentative dacceacuteder sans autorisation agrave lapplication de paiement mobile (comme si lappareil a eacuteteacute voleacute ou perdu) et examen des fichiers stockeacutes sur lappareil agrave la recherche dinformations sensibles
Cas 3Au cœur mecircme de la fonction NFC se trouve un composant appeleacute eacuteleacutement seacutecuriseacute Deux types de mise en œuvre de cet eacuteleacutement sont possibles (1) les eacuteleacutements incorporeacutes dans lappareil et (2) les eacuteleacutements chargeacutes dans une carte SIM Dans les cas ougrave leacuteleacutement seacutecuriseacute est chargeacute dans une carte SIM il est possible que la carte SIM soit retireacutee et eacutechangeacutee sous les yeux dun utilisateur creacutedule Cette situation aboutit agrave des sceacutenarios dattaque semblables aux suivants
bull Echange de carte SIM avec un autre appareil (du mecircme type) pour tenter dacceacuteder au contenu de leacuteleacutement seacutecuriseacute Dans certains cas lutilisation dun appareil de type diffeacuterent peut offrir un accegraves suppleacutementaire aux informations de leacuteleacutement seacutecuriseacute sil nest pas mis en œuvre de maniegravere seacutecuriseacutee Par exemple il existe un risque de contournement de lapplication de paiement ou de la protection du mot de passe au niveau du teacuteleacutephone en cas deacutechange de carte SIM dans un teacuteleacutephone eacutequivalent avec lapplication de paiement et sans mot de passe
bull Identification des donneacutees contenant des informations sensibles dans leacuteleacutement seacutecuriseacute situeacute dans la carte SIM apregraves une opeacuteration de restauration sur un autre appareil Il peut sagir aussi dattaques visant agrave cloner ou copier la carte SIM au moyen dun mateacuteriel externe
Notez que la difficulteacute daccegraves agrave leacuteleacutement seacutecuriseacute offre une certaine garantie sur lenvironnement de seacutecuriteacute de leacuteleacutement seacutecuriseacute sur lappareil cible
Cas 4Dans certains cas il est possible que limpleacutementation de lapplet VMPA dans leacuteleacutement seacutecuriseacute nait pas tenu compte de tous les eacuteleacutements de seacutecuriteacute Il peut sagir par exemple dune signature et dun controcircle daccegraves insuffisants de lapplet VMPA qui permettent agrave une application quelconque de deacutemarrer et dy soumettre des requecirctes Cette situation peut offrir agrave une application non autoriseacutee la possibiliteacute dappeler lapplet VMPA via la commande APDU (JSR 177) Une requecircte bien formuleacutee peut potentiellement permettre dactiver la radio NFC et de transmettre des informations de carte de creacutedit
Livre blanc | Rapport HP 2012 sur les cyber-risques
21
Bien que des informations et une analyse exactes peuvent ecirctre obtenues agrave partir dun appareil dinvestigation (si un accegraves agrave ce type de mateacuteriel est disponible) il nexiste pour lheure aucun outil autorisant laccegraves agrave des informations de leacuteleacutement seacutecuriseacute Leacuteleacutement seacutecuriseacute comme son nom lindique fournit des meacutecanismes de seacutecuriteacute preacutecis (par exemple controcircle daccegraves cryptage et reacutepartition) qui empecircchent lextraction dinformations sensibles eacuteventuelles Cest pourquoi un accegraves dinvestigation explicite agrave leacuteleacutement seacutecuriseacute nest actuellement pas possible mecircme avec un outil dinvestigation distribueacute par les leaders du marcheacute
RecommandationsIl existe des mesures que les organisations peuvent prendre pour reacuteduire les risques que posent les failles de seacutecuriteacute des applications mobiles Avant tout les applications doivent ecirctre manuellement controcircleacutees et eacutevalueacutees avant le lancement des produits afin de deacuteterminer la preacutesence de vulneacuterabiliteacutes dinjection ou de vulneacuterabiliteacutes de fuite dinformation Le code doit ecirctre analyseacute via une analyse statique au moment de le deacutevelopper pour y rechercher des failles Comme pour toutes les applications il est moins coucircteux de geacuterer des failles de seacutecuriteacute lors de la phase de deacuteveloppement quau moment de leur diffusion
Les normes de transmission seacutecuriseacutee des donneacutees doivent ecirctre incluses dans le cahier des charges de toutes les applications surtout si ces derniegraveres sont eacutelaboreacutees par des deacuteveloppeurs tiers Il en va de mecircme pour le stockage seacutecuriseacute des donneacutees et le journal des applications Des exigences raisonnables en matiegravere daffichage des communications entre applications et dautorisations dans ces derniegraveres doivent ecirctre rigoureusement deacutefinies Tous ces aspects doivent ecirctre geacutereacutes lors de la phase de deacutefinition des exigences et testeacutes lors du deacuteveloppement Au moment dexeacutecuter les tests de seacutecuriteacute et lanalyse sur les applications mobiles les services Web cocircteacute serveur et les API avec lesquels les clients mobiles communiquent doivent ecirctre pris dans leur contexte et analyseacutes pour y deacuteceler des vulneacuterabiliteacutes Des failles agrave haut risque peuvent passer agrave la trappe si ces deux eacuteleacutements sont testeacutes et compareacutes hors de leur contexte
Conclusions
Lobjectif de ce rapport est de fournir aux organisations toutes les informations de seacutecuriteacute qui les aideront agrave mieux comprendre comment deacuteployer les ressources limiteacutees dont elles disposent pour minimiser au maximum leurs risques en matiegravere de seacutecuriteacute A cet effet les tendances et les enseignements agrave tirer de lanneacutee 2012 sont nombreux et doivent ecirctre pris en compte pour la ou mecircme les anneacutees qui viennent
Militarisation des vulneacuterabiliteacutes Les attaquants ne cesseront jamais de militariser les vulneacuterabiliteacutes pour mener agrave bien leurs activiteacutes malveillantes Ceux qui eacutelaborent les kits dexploitation continueront de se focaliser sur des vulneacuterabiliteacutes dans les logiciels les plus reacutepandus ciblant le plus souvent des navigateurs et des plug-ins de navigateur tels que Oracle Java et Adobereg Flash De mecircme le nombre dattaques meneacutees publiquement agrave lencontre de technologies et dentreprises speacutecifiques continuera daugmenter Des organisations criminelles des Etats-nations et des hacktivistes se serviront toujours des cyber-attaques comme moyen duniformiser les regravegles du jeu contre des adversaires riches ou puissants mecircme si les reacuteelles motivations derriegravere ces attaques resteront souvent difficiles agrave deacuteterminer
Vulneacuterabiliteacutes des technologies mobilesLadoption croissante des technologies mobiles et leur utilisation au sein de lentreprise engendreront toujours des risques consideacuterables Nombre de gens lont deacutejagrave constateacute les programmes malveillants deacuteployeacutes sur les marcheacutes qui opposent Android et Apple poursuivent leur croissance Laggravation de ce problegraveme est essentiellement lieacutee au fait que les entreprises ne disposent pas du mecircme type de controcircle sur ces appareils que sur des PC Au moment ougrave le BYOD (Bring your own device) devient la norme et que ladoption des appareils mobiles prend de lampleur on peut sattendre agrave une hausse proportionnelle du nombre de failles chez les applications mobiles tendance qui devrait se maintenir dans un avenir preacutevisible
Livre blanc | Rapport HP 2012 sur les cyber-risques
22
DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables
Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications
Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables
Pourensavoirplusconsultezlapage Web hpcomgoSIRM
Livre blanc | Rapport HP 2012 sur les cyber-risques
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013
21
Bien que des informations et une analyse exactes peuvent ecirctre obtenues agrave partir dun appareil dinvestigation (si un accegraves agrave ce type de mateacuteriel est disponible) il nexiste pour lheure aucun outil autorisant laccegraves agrave des informations de leacuteleacutement seacutecuriseacute Leacuteleacutement seacutecuriseacute comme son nom lindique fournit des meacutecanismes de seacutecuriteacute preacutecis (par exemple controcircle daccegraves cryptage et reacutepartition) qui empecircchent lextraction dinformations sensibles eacuteventuelles Cest pourquoi un accegraves dinvestigation explicite agrave leacuteleacutement seacutecuriseacute nest actuellement pas possible mecircme avec un outil dinvestigation distribueacute par les leaders du marcheacute
RecommandationsIl existe des mesures que les organisations peuvent prendre pour reacuteduire les risques que posent les failles de seacutecuriteacute des applications mobiles Avant tout les applications doivent ecirctre manuellement controcircleacutees et eacutevalueacutees avant le lancement des produits afin de deacuteterminer la preacutesence de vulneacuterabiliteacutes dinjection ou de vulneacuterabiliteacutes de fuite dinformation Le code doit ecirctre analyseacute via une analyse statique au moment de le deacutevelopper pour y rechercher des failles Comme pour toutes les applications il est moins coucircteux de geacuterer des failles de seacutecuriteacute lors de la phase de deacuteveloppement quau moment de leur diffusion
Les normes de transmission seacutecuriseacutee des donneacutees doivent ecirctre incluses dans le cahier des charges de toutes les applications surtout si ces derniegraveres sont eacutelaboreacutees par des deacuteveloppeurs tiers Il en va de mecircme pour le stockage seacutecuriseacute des donneacutees et le journal des applications Des exigences raisonnables en matiegravere daffichage des communications entre applications et dautorisations dans ces derniegraveres doivent ecirctre rigoureusement deacutefinies Tous ces aspects doivent ecirctre geacutereacutes lors de la phase de deacutefinition des exigences et testeacutes lors du deacuteveloppement Au moment dexeacutecuter les tests de seacutecuriteacute et lanalyse sur les applications mobiles les services Web cocircteacute serveur et les API avec lesquels les clients mobiles communiquent doivent ecirctre pris dans leur contexte et analyseacutes pour y deacuteceler des vulneacuterabiliteacutes Des failles agrave haut risque peuvent passer agrave la trappe si ces deux eacuteleacutements sont testeacutes et compareacutes hors de leur contexte
Conclusions
Lobjectif de ce rapport est de fournir aux organisations toutes les informations de seacutecuriteacute qui les aideront agrave mieux comprendre comment deacuteployer les ressources limiteacutees dont elles disposent pour minimiser au maximum leurs risques en matiegravere de seacutecuriteacute A cet effet les tendances et les enseignements agrave tirer de lanneacutee 2012 sont nombreux et doivent ecirctre pris en compte pour la ou mecircme les anneacutees qui viennent
Militarisation des vulneacuterabiliteacutes Les attaquants ne cesseront jamais de militariser les vulneacuterabiliteacutes pour mener agrave bien leurs activiteacutes malveillantes Ceux qui eacutelaborent les kits dexploitation continueront de se focaliser sur des vulneacuterabiliteacutes dans les logiciels les plus reacutepandus ciblant le plus souvent des navigateurs et des plug-ins de navigateur tels que Oracle Java et Adobereg Flash De mecircme le nombre dattaques meneacutees publiquement agrave lencontre de technologies et dentreprises speacutecifiques continuera daugmenter Des organisations criminelles des Etats-nations et des hacktivistes se serviront toujours des cyber-attaques comme moyen duniformiser les regravegles du jeu contre des adversaires riches ou puissants mecircme si les reacuteelles motivations derriegravere ces attaques resteront souvent difficiles agrave deacuteterminer
Vulneacuterabiliteacutes des technologies mobilesLadoption croissante des technologies mobiles et leur utilisation au sein de lentreprise engendreront toujours des risques consideacuterables Nombre de gens lont deacutejagrave constateacute les programmes malveillants deacuteployeacutes sur les marcheacutes qui opposent Android et Apple poursuivent leur croissance Laggravation de ce problegraveme est essentiellement lieacutee au fait que les entreprises ne disposent pas du mecircme type de controcircle sur ces appareils que sur des PC Au moment ougrave le BYOD (Bring your own device) devient la norme et que ladoption des appareils mobiles prend de lampleur on peut sattendre agrave une hausse proportionnelle du nombre de failles chez les applications mobiles tendance qui devrait se maintenir dans un avenir preacutevisible
Livre blanc | Rapport HP 2012 sur les cyber-risques
22
DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables
Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications
Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables
Pourensavoirplusconsultezlapage Web hpcomgoSIRM
Livre blanc | Rapport HP 2012 sur les cyber-risques
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013
22
DestechnologiesmaturestoujoursautantderisquesLes nouvelles technologies ne sont pas les seules agrave introduire de nouvelles vulneacuterabiliteacutes Les attaquants continuent dexploiter les technologies existantes et en apparence matures pour multiplier les risques au sein de lentreprise De la pousseacutee des vulneacuterabiliteacutes dans les systegravemes SCADA jusquagrave lannonce reacutecente du deacutepartement ameacutericain de la Seacutecuriteacute inteacuterieure preacuteconisant la deacutesactivation de la plate-forme Oracle Java Standard Edition (SE) dans tous les navigateurs Web des nouveaux modes dattaque sont en permanence deacutecouverts dans les anciennes technologies Lorsque ces eacuteveacutenements saccompagnent dun manque de pratiques adeacutequates face aux vulneacuterabiliteacutes actuelles (comme labsence de preacutevention pour les attaques par script sur plusieurs cadres) on voit aiseacutement que la seacutecuriteacute de lentreprise est encore plus difficile agrave assurer lorsque mecircme des technologies matures demeurent obstineacutement vulneacuterables
Lesapplications WebrestentvulneacuterablesDe nombreux individus et entreprises partent du principe que leurs sites Web nont aucun inteacuterecirct pour les attaquants Mais cest loin decirctre le cas En reacutealiteacute labsence de pratiques fiables et seacutecuriseacutees en matiegravere de programmation et de seacutecuriteacute informatique favorise la prolifeacuteration des programmes malveillants Qui plus est labsence dun nettoyage approprieacute des entreacutees utilisateur dans les applications Web tout comme les informations que divulguent ces derniegraveres montrent que les deacuteveloppeurs ont encore du pain sur la planche pour seacutecuriser comme il se doit leurs applications
Nombre des attaques recenseacutees en 2012 (et avant) quelles soient lœuvre dhacktivistes ou dindividus cherchant agrave promouvoir des programmes malveillants exploitent depuis longtemps certaines vulneacuterabiliteacutes comme linjection SQL Le taux de divulgation eacuteleveacute des vulneacuterabiliteacutes de type XSS associeacute agrave leur preacutesence freacutequente dans les tests qui sont meneacutes laisse entendre que leur populariteacute nest pas precircte de deacutecliner A lavenir on peut sattendre agrave des failles dinjection toujours plus freacutequentes (notamment linjection PHP) car les beacuteneacutefices agrave tirer dune exploitation meneacutee dans les regravegles de lart peuvent ecirctre consideacuterables
Pourensavoirplusconsultezlapage Web hpcomgoSIRM
Livre blanc | Rapport HP 2012 sur les cyber-risques
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013
Evaluer ce documentPartager avec des collegravegues
Abonnez-voussur hpcomgogetupdated
ImpressionnumeacuteriqueHPIndigo
Livre blanc | Rapport HP 2012 sur les cyber-risques
Contributeurs
Le rapport HP 2012 sur les cyber-risques est une collaboration annuelle de plusieurs groupes chargeacutes des produits au sein de HP Enterprise Security notamment les suivants HP Security Research (regroupant HP DVLabs HP Fortify Software Security Research et le programme HP Zero Day Initiative) HP TippingPoint et HP Fortify on Demand Nous tenons agrave remercier sincegraverement lOSDVB (Open Source Vulnerability Database) pour avoir autoriseacute la reproduction de ses donneacutees dans ce rapport Merci aussi tout particuliegraverement agrave Sahba Kazerooni Takeaki Chijiiwa Subramanian Ramanathan et Jevonne Peters de Security Compass partenaire HP pour leur contribution en matiegravere de contenu de recherche et de donneacutees
Contributeur Titre
Jason Haddix Directeur des tests de peacuteneacutetration HP Fortify on Demand
Brian Hein Chercheur en seacutecuriteacute HP Security Research
Patrick Hill Chef de produit senior HP DVLabs
Adam Hils Chef de produit senior HP TippingPoint
Praumljaktauml Jagdaumlleacute Chercheur en seacutecuriteacute des logiciels HP Security Research
Jason Lancaster Chercheur en seacutecuriteacute HP Security Research
Mark Painter Directeur Marketing Produits HP Fortify
John Pirc Directeur Seacutecuriteacute HP Security Research
Joe Sechman Directeur groupe HP Software Security Research HP Security Research
Sasi Muthurajan Siddharth Chercheur en seacutecuriteacute des logiciels HP Security Research
Ryan Strecker Directeur Marketing Produits HP TippingPoint
Jewel Timpe Directeur groupe Malware Research HP Security Research
copy Copyright 2013 Hewlett-Packard Development Company LP Les informations contenues dans ce document sont sujettes agrave modification sans notification preacutealable Les seules garanties relatives aux produits et services HP sont stipuleacutees dans les eacutenonceacutes de garantie expresse accompagnant ces produits et services Aucune deacuteclaration contenue dans ce document ne doit ecirctre interpreacuteteacutee comme constituant une garantie suppleacutementaire HP ne peut pas ecirctre tenu responsable des erreurs techniques ou de forme ou des omissions contenues dans ce document
Adobe est une marque commerciale de Adobe Systems Incorporated Apple est une marque commerciale de Apple Computer Inc aux Etats-Unis et dans dautres pays Google est une marque commerciale de Google Inc Microsoft est une marque deacuteposeacutee de Microsoft Corporation aux Etats-Unis et dans dautres pays Oracle et Java sont des marques deacuteposeacutees dOracle etou de ses filiales
4AA4-5495FRE feacutevrier 2013