Prévisions AppSec 2021 : les attaques de la chaîne logistique représentent une menace plus importante pour tous les secteurs

Version imprimable, PDF et e-mail

Voici le troisième volet d'une série sur les prévisions en matière de sécurité des applications pour 2021. La série complète est disponible ici.

Chaque année (environ), je publie nos prévisions en matière de sécurité des applications en examinant les trois menaces les plus inquiétantes pour l'année à venir. Ces deux dernières années, les prévisions ont porté sur les attaques par credential stuffing/piratage de compte, les attaques visant les API et celles visant les chaînes logistiques. Cette année, nos prévisions reposent sur notre service de suivi des menaces (que nous avons enrichi récemment) et qui fait partie de Barracuda Advanced Bot Protection. Vous l'aurez donc compris, nous disposons de beaucoup plus de données nous permettant de formuler des conclusions.

Les attaques contre les chaînes logistiques s'étendent et font peser une plus grande menace sur l'ensemble des secteurs

Les attaques contre les chaînes logistiques visent essentiellement les chaînes logistiques logicielles. Bien qu'elles revêtent de nombreuses formes, ce webinaire porte uniquement sur les attaques perpétrées contre les applications Web. Découvertes aux alentours de 2018, elles ont été baptisées Magecart car elles ciblaient principalement les boutiques en ligne basées sur Magento. Les pirates informatiques ont tout d'abord identifié le JavaScript tiers couramment utilisé dans les pages de paiement. Ils en ont ensuite piraté les fichiers source et inséré leur code de skimming. Lorsqu'un utilisateur se connectait au site, le JavaScript, désormais malveillant, se chargeait et lui dérobait ses informations de carte bancaire.

Entre 2019 et 2020, ce groupe a mené plusieurs attaques de grande envergure, frappant des entreprises prestigieuses telles que British Airways. À ce jour, des milliers de boutiques compromises ont été identifiées, et de nombreux groupes cybercriminels opèrent avec ce stratagème. Certains de ces scripts compromis sont relativement avancés : si vous lancez un scanner de vulnérabilité Web, ils n'exécutent pas leur code malveillant et font mine de fonctionner normalement, empêchant ainsi toute détection. Cela signifie que des groupes plutôt évolués et organisés travaillent activement sur ce point. Ajoutons à cela le kit Inter Skimmer, l'outil le plus utilisé par les pirates informatiques qui souhaitent lancer ce type d'attaque. Comme pour les bots, il existe de véritables canaux de support, avec des travaux de recherche et de développement sérieux derrière les produits, le tout, doublé d'une économie souterraine.

Voici un exemple de skimmer détecté par Visa en août 2020. Comme vous pouvez le voir, les créateurs se sont donné beaucoup de mal pour éviter d'être découverts et retirés des sites qui utilisaient le JavaScript vulnérable.

La difficulté pour se prémunir contre ces attaques est que ces scripts sont ajoutés aux applications sans grande vérification. Une fois intégrés à votre site Web, ils sont téléchargés directement à partir de la source – qui bien souvent échappe à votre contrôle, par exemple GitHub – puis exécutés dans le navigateur. En règle générale, ces attaques sont détectées tardivement et la qualité des données exfiltrées est relativement élevée. Les systèmes de défense actuellement en place reposent habituellement sur des politiques de sécurité difficiles à mettre en œuvre et sujettes aux faux positifs. Et il y a de fortes chances que la configuration de votre CSP soit propice aux erreurs en raison de sa grande permissivité due à un grand nombre de faux positifs. En guise d'alternative, vous pouvez toujours analyser votre site, mais ces outils malveillants sont conçus pour détecter et éviter ce type d'analyses. Le code de ces scripts est masqué, met en œuvre des techniques anti-bot et attend que les utilisateurs effectuent des actions spécifiques (par exemple le mouseup). Des solutions personnalisées permettant de se défendre contre ces attaques sont en cours de développement, à noter qu'un certain nombre d'entre elles ont été mises sur le marché en 2020.

Ce graphique de HTTP Archive montre l'ampleur du problème : environ 80 % des sites analysés utilisaient des JavaScript tiers vulnérables.

Les attaques de ce type visant les chaînes logistiques sont encore méconnues, mais il faut s'attendre à ce qu'elles se développent lentement et génèrent subitement de véritables catastrophes !

La sécurité des applications reste un domaine d'intérêt en 2021

En ce qui concerne les bots et la revente, les autorités législatives ont décidé de prendre les choses en main. Par exemple, au Royaume-Uni, elles tentent d'empêcher la revente de produits au-dessus du prix de vente conseillé. Il existe d'ailleurs des précédents à cet égard. En 2015, les États-Unis ont adopté une loi contre le scalping de billets suite à l'explosion des plaintes contre les scalpers. Reste à savoir si ces nouvelles lois sont efficaces ou si les développeurs de bots parviennent encore à trouver des failles dans le système pour arriver à leurs fins.


 
Par ailleurs, le fait que des institutions financières incitent leurs clients (les sites marchands) à utiliser des solutions capables de bloquer ces attaques constitue une avancée intéressante. Nous avons déjà été approchés plusieurs fois à ce sujet. En outre, la dangerosité de ces attaques ne cesse d'augmenter dans la mesure où elles ne se limitent pas aux informations de carte bancaire, mais s'étendent à d'autres informations personnelles. Et les lois telles que le RGPD et le CCPA imposent de se protéger efficacement contre ce type d'attaques.

Prévisions 2021 en matière de sécurité des applications : attaques par bots et visant les API et les chaînes logistiques
Regardez le webinaire ici

Remonter en haut de page
Tweeter
Partager
Partager