attaques automatisées

Pleins feux sur les menaces : Attaques automatisées sur les applications web

Version imprimable, PDF et e-mail

La cybercriminalité est devenue une économie florissante. Les escrocs se tournent de plus en plus vers les bots et l'automatisation afin d'augmenter l'efficacité de leurs attaques et de diminuer les risques de détection.

En décembre, les chercheurs de Barracuda ont analysé un échantillon de données, collectées sur une période de deux mois et relevant les attaques d'applications Web bloquées par les systèmes Barracuda. Les attaques automatisées représentaient un nombre considérable de ces attaques, et celles effectuées à l'aide d'outils automatisés constituaient les cinq types principaux.

top 5 des types d'attaques visant les applications Web

Les attaques de fuzzing, se chargeant de détecter et d'exploiter les vulnérabilités des applications à l'aide d'outils automatisés, représentaient environ 20 % des attaques détectées. Les attaques par injection, quant à elles, constituaient plus de 12 % et étaient effectuées à l'aide d'outils automatisés comme SQLMap pour tenter d'accéder aux applications. Néanmoins, la plupart de ces attaques n'étaient que des tentatives maladroites, car elles étaient lancées sans aucune reconnaissance ni personnalisation préalable.

Les bots se faisant passer pour des bots Google (ou autres) se situaient en troisième position, regroupant 12 % des attaques d'applications Web analysées. Les attaques DDoS (déni de service distribué) visant la couche applicative étaient étonnamment présentes, car elles représentaient plus de 9 % des attaques analysées par les chercheurs de Barracuda et étaient effectuées dans toutes les zones géographiques. Enfin, moins de 2 % des attaques provenaient de bots bloqués par les administrateurs de sites.

Voici un aperçu plus détaillé des tendances identifiées par les chercheurs de Barracuda quant aux attaques d'applications Web et aux façons dont les attaques automatisées sont utilisées par les cybercriminels.

Menaces particulièrement importantes

Attaques automatisées : les attaques automatisées utilisent des bots pour essayer d'exploiter les vulnérabilités des applications Web. Ces attaques peuvent aller des faux bots, prétendant être des bots Google pour ne pas être détectés, aux attaques DDoS visant la couche applicative afin de faire tomber un site en surchargeant subtilement l'application.

Si le trafic de bots tend à s'intensifier, les cybercriminels n'ont pas pour autant renoncer à leurs vieilles habitudes. Une grande partie des attaques analysées par les chercheurs de Barracuda peut être qualifiée d'attaques classiques, telles que les attaques par injection (12 %) et les attaques de cross-site scripting (XSS) (1 %). La plupart des attaques provenaient d'outils de reconnaissance ou de fuzzing utilisés pour examiner les applications, comme nous l'avons mentionné précédemment.

Les attaques par injection figurent dans le Top 10 de l'OWASP depuis le début et sont en tête de la dernière liste établie. Il est peu probable que ces attaques disparaissent : d'une part, elles sont relativement faciles à exécuter et, d'autre part, elles offrent des profits substantiels aux cybercriminels. Les attaques de cross-site scripting (XSS) sont également assez populaires et représentent le troisième type d'attaque de cette catégorie.

Attaques classiques visant les applications Web

Les détails

Une part importante des attaques analysées visait les vulnérabilités de WordPress ou de PHP (en général les pages phpMyAdmin), représentant respectivement 6,1 % et 1,05 %. Un grand nombre de ces attaques ont été lancées contre des sites non-PHP ou non-WP, menant les chercheurs à la conclusion que certains pirates n'y connaissent pas grand-chose en script. Néanmoins, ils apprendront sans doute bientôt à effectuer une reconnaissance plus efficace avant de lancer leur attaque.

Les attaques de contrebande de requêtes (ou Request Smuggling) avaient considérablement diminué, jusqu'à la récente découverte des attaques HTTP Desync. Depuis, les attaques de type smuggling sont revenues en force. Les recherches de Barracuda ont révélé que plus de 60 % des attaques de type smuggling utilisaient un en-tête non valide. Un tiers montrait une longueur de contenu multiple, et 3 % une longueur de contenu malformée.

attaques de type smuggling

La plupart des attaques observées par les chercheurs de Barracuda contre les API JSON testaient les conditions des frontières. Autrement dit, il s'agissait de personnes tentant de brouiller les API. Dans 95 % de ce type d'attaque, la valeur maximale avait été dépassée, et dans presque 4 % de ces attaques, la valeur maximale de la longueur avait également été excédée. D'autres tentatives d'attaques avaient également été relevées dans le trafic (attaques XSS et attaques par injection SQL), mais le volume de celles-ci était très faible, voire négligeable. Or, selon les chercheurs, ce nombre devrait augmenter au cours de l'année prochaine.

Les tentatives de fuite de données dans l'échantillon prélevé se centraient principalement sur les tentatives de fuites de données sensibles, comme les numéros de carte de crédit ou les numéros de sécurité sociale. Dans l'échantillon, un nombre ahurissant des tentatives d'exfiltration visait les numéros de carte de crédit. Visa était la cible privilégiée, représentant plus des trois quarts de ces attaques. JCB suivait de loin avec plus de 20 %, puis Mastercard, Diners et American Express avec des volumes beaucoup plus faibles.

tentatives de fuite de données

État du chiffrement

Les chercheurs de Barracuda ont également analysé l'état actuel du chiffrement. Le chiffrement du trafic permet d'éviter de nombreuses attaques, comme celles de type « homme du milieu », et offre une couche de protection aux utilisateurs visitant des sites Web. Cela n'empêche pas, néanmoins, que des attaques puissent se produire dans le flux.

Près de 92 % du trafic analysé par les chercheurs de Barracuda en l'espace de deux mois, entre octobre et décembre 2020, relève du protocole HTTPS. Moins de 10 % du trafic est effectué via un protocole HTTP, signe de progrès très encourageant et bonne nouvelle quant à l'état de la sécurité des applications Web.    

Les fournisseurs de navigateurs ont accordé la priorité au protocole TLS1.3, incitant ainsi à l'adoption de protocoles plus sécurisés.

Les chercheurs de Barracuda ont constaté que peu d'entreprises se sont tournées vers l'ancien protocole SSLv3, son niveau de sécurité étant très insuffisant. Et lorsqu'elles l'ont fait, ces entreprises n'ont connu que très peu de trafic SSLv3. Il en va de même pour le TLS1.0 et TLS1.1, qui représentent moins de 1 % seulement du trafic analysé, étant donné que l'utilisation de ces protocoles diminue de plus en plus.

Pas moins de 65 % du trafic total analysé pour ce rapport a utilisé le protocole le plus sécurisé disponible aujourd'hui : le TLS1.3. Un tiers du trafic HTTPS utilise encore le TLS1.2, mais ce nombre connaît une lente diminution.        

TLS1.3

Lorsqu'on regarde les navigateurs qui utilisent le TLS1.3 (basé sur l'agent utilisateur signalé), Chrome est le navigateur le plus populaire, utilisé pour 47 % du trafic, suivi de Safari qui représente 34 % de l'utilisation de TLS1.3. Étonnamment, Edge a devancé Firefox et se retrouve en troisième position avec 16 % du trafic, tandis que Firefox ne représente plus que 3 % du trafic. La perte de terrain de Firefox face à Edge s'explique certainement par ces deux facteurs :

  • La prédominance de Chrome
  • Les systèmes d'entreprise qui préféraient Internet Explorer basculent vers Edge          

Le protocole TLS1.2 montre une tendance plus surprenante. L'utilisation d'Internet Explorer est supérieure à celle de Chrome, le premier représentant plus de la moitié du trafic et le deuxième moins de 40 %. En comparaison, Safari ne représente que 10 % de l'utilisation, et bien moins pour Firefox.       

TLS1.2

Les chercheurs de Barracuda ont découvert que les mises à jour automatiques de Chrome et Firefox sont assez souvent appliquées. La plupart des navigateurs analysés présentaient les dernières mises à jour, ou alors n'étaient qu'à une ou deux versions près.

Un bon nombre de personnes utilisent encore Internet Explorer. Cependant, la version IE11 est utilisée dans la grande majorité des cas, indiquant une tendance dans la bonne direction, c'est-à-dire, vers des navigateurs actualisés et sécurisés.

Par ailleurs, les chercheurs de Barracuda ont constaté que le trafic automatisé n'emploie pas beaucoup le protocole TLS1.3, mais plutôt le TLS1.2. Ce constat inclut des gestionnaires de site, des bots et des outils comme curl.

Se protéger contre les attaques automatisées

Lorsqu'il est question de se protéger contre des types d'attaques plus récentes, comme les bots et les attaques visant les API, les défenseurs peuvent parfois se sentir dépassés en raison du nombre de solutions requises. La bonne nouvelle, c'est que ces solutions se regroupent en solutions WAF/WAF-as-a-Service, également connues sous le nom de services cloud de protection des applications Web et des API (WAAP).

Comme l'explique Gartner dans son rapport WAF Magic Quadrant 2020 :

« Gartner définit les services WAAP comme l'évolution des services WAF dans le cloud. Les services WAAP combinent le déploiement de WAF dans le cloud en tant que service, l'atténuation de bots, la protection DDoS et la sécurité des API, avec un modèle d'abonnement. »

Les entreprises devraient rechercher une solution WAF-as-a-Service ou une solution WAAP comprenant l'atténuation de bots, la protection DDoS, la sécurité des API et la protection contre le credential stuffing, en plus d'être correctement configurée.

De plus, il est important de se tenir informé des menaces actuelles et de leur évolution. Par exemple, lors d'un webinaire récent (désormais disponible à la demande), Barracuda a partagé ses prévisions quant aux trois principaux types d'attaques que les applications allaient devoir affronter cette année : attaques de bots automatisées, attaques visant les API et attaques visant les chaînes logistiques logicielles. Il existe beaucoup moins de mécanismes de protection contre ces nouvelles attaques, qui sont plus susceptibles d'être négligées en raison du manque de compréhension des risques et, dans certains cas, d'applications fantômes qui sont déployées sans les mécanismes de protection appropriés.

Webinaire à la demande : prévisions 2021 sur la sécurité des applications

Remonter en haut de page
Tweeter
Partager
Partager