Sécurité : Le 100 pourcent web est-il viable ?

75%. C'est la proportion, selon le Gartner, des attaques qui viseraient aujourd'hui les applications Web sur l'ensemble des attaques d'applications recensées. Il faut dire que les pirates, qui semblent désormais plus motivés par l'appât du gain que par le défi personnel, n'ont que l'embarras du choix, tant le nombre d'applications fondées sur des technologies Web ont explosé ces dernières années. Simples et rapides à mettre en œuvre, agiles et facilement accessibles pour les utilisateurs, elles ouvrent cependant la voie à des autoroutes de vulnérabilités.

Rien de grave (ou presque) lorsqu'il ne s'agissait que de sites vitrines. Plus ennuyeux quand des données confidentielles transitent par ces applications. Les conséquences peuvent alors être désastreuses pour l'entreprise, tant en termes financiers que d'image. Surtout quand on connaît la vitesse de propagation de l'information sur la Toile, et particulier quand elle est négative...

Des technologies ouvertes
Mais pourquoi se poser plus de questions qu'auparavant. Lé sécurité des systèmes d'information n'est, après tout, pas une problématique récente. Et depuis longtemps les DSI ont pris conscience des risques et des enjeux. Certes. A ceci près que les technologies Web sont construites de protocole, de langages et d'architectures entièrement ouvertes. Et que quelques clics sur Internet permettent d'en connaître les moindres secrets. Bref, un peu d'astuce et un simple navigateur permette à n'importe qui de trouver et d'exploiter les failles éventuelles d'un système.

Parmi les failles répandues dans les applications Web, on pensera notamment à la mauvaise gestion des authentifications bien sûr. Parfois trop simplistes, les méthodes d'authentification ne garantissent pas confidentialité et l'intégrité des données (usurpation d'identité par exemple). Mais de nombreuses autres failles peuvent donner à une application Web l'aspect d'un véritable gruyère. Il s'agit par exemple des attaques de type injections, qui consistent, via un simple proxy local (disponible gratuitement sur Internet), d'accéder au système pour récupérer toutes les informations qu'il contient. Encore plus simples pour les pirates, les « trous » dans la programmation, entre un segment sécurisé et un segment non sécurisé du programme par exemple.

Des boucliers dérisoires
Bien sûr des méthodes de protection propres aux technologies Web existent. Et d'aucun ne s'empêche de les utiliser. Tant mieux, c'est déjà ça. Mais un firewall est-il vraiment efficace dans le cadre de l'exploitation d'une faille applicative. La réponse est clairement non. Pourquoi ? Tout simplement parce que l'utilisation de ces failles s'opère par les ports ouverts pour l'application. CQFD. De même que le SSL, dans la mesure où certaines attaques peuvent être contenues dans le flux web en lui-même (et donc passer « tout simplement » dans le tuyau SSL). De quoi devenir parano...

Cloisonnons
S'il est évident que la chasse doit rester en permanence ouverte, ce n'est pas une raison pour faciliter le travail aux pirates. Et là, les « bonnes vieilles » règles de sécurité des systèmes d'information s'appliquent. A savoir une segmentation parfaite du réseau et des applications. D'autant plus avec des applications Web, dont le point d'entrée est le même que pour Internet, qui grouille de dangers : le navigateur. Et pour Laurent HAUSERMANN, Directeur Produits et Services d'Arkoon, la segmentation doit même aller plus loin : « les environnements virtualisés doivent impérativement être considérés comme des environnements classiques. Et cloisonnés au même titre, avec un firewall pour chaque serveur virtuel ».

De même, et bien qu'extérieures a priori au système d'information, les applications doivent faire partie intégrante de la politique de sécurité de la DSI, et ne pas transformer le système d'information en passoire. « En règle générale, les hébergeurs de ce type de solutions utilisent leur propre solution de certification, rappelle Axel TESSIER, senior software engineer de Qualys. Pour autant, un client pourrait parfaitement exiger de procéder à un audit sécurité de ses installations afin de s'assurer de leur cohérence avec sa propre politique de sécurité ».

Nouvelles menaces, même politique
Si les deux experts de Qualys et d'Arkoon se rejoignent parfaitement sur un point, c'est celui des précautions à prendre. S'ils admettent bien volontiers que les applications Web, en ce qu'elles utilisent des technologies récentes, ont sans aucun doute créé de nouvelles menaces, elles n'ont pas transfiguré le métier de la sécurité des systèmes d'information, « qui nécessite une politique et un management unifiés et cohérents sur l'ensemble du SI et une vraie proactivité afin d'identifier les failles et vulnérabilités du système avant qu'elles ne soient utilisées », concluent-ils en choeur.