Trop d’applications web non sécurisées par ignorance ou par manque de temps et de moyens, regrette CTG, pour qui trop peu d’attention est consacrée aux tests de sécurité.
Un manque de moyens au cours de la phase de développement et des délais trop serrés nuisent souvent à la sécurité des applications. Le prestataire de services ICT plaide donc pour l’introduction d’un label de qualité qui garantirait la sécurité des sites et des applications web.
«Il n’existe pas d’application web sans faille. Pourtant, les entreprises peuvent prendre des mesures préventives pour boucher les trous dans leur réseau IT», explique Jouri Dufour. En sa qualité de Security Test Consultant et hacker éthique chez CTG, il a analysé les entrées par lesquelles les pirates peuvent s’introduire le plus facilement dans une application ou un site internet.
«Les pirates savent bien que chaque application web a un point faible. Alors que ces derniers cherchent les faiblesses, les développeurs et les testeurs se concentrent davantage sur le bon fonctionnement de l’application web. Les tests fonctionnels sont bien intégrés, mais les tests de sécurité sont encore trop souvent négligés. Cela se voit au travers des nombreuses histoires de piratage que relèvent les médias.»
Au cours de leur carrière, les développeurs et les testeurs acquièrent leurs connaissances en matière de sécurité presque exclusivement de manière réactive. Ce manque de connaissances rend la sécurité du code et donc de l’application ou du site dépendante de la livraison. En outre, les développeurs ont souvent trop peu de temps pour la réalisation des applications ou les fonds sont insuffisants pour consacrer, en plus du développement, encore beaucoup de temps à la sécurité.
«Nous constatons bien que la sécurité prend de l’importance, en particulier dans le secteur public et les banques, poursuit Jouri Dufour. Mais, dans d’autres secteurs, c’est moins le cas dans la pratique. Chaque entreprise devrait exiger la preuve que son application web a été testée et validée au niveau sécurité. Ce devrait être la règle et non l’exception. Il n’est pas évident pour un testeur ou un développeur de rassembler les connaissances d’un pirate. C’est pourquoi il existe également des produits qui procèdent à des tests d’intrusion) ou à des revues de codes automatiques.»
Quatre mesures concrètes à prendre
> Prévoyez un Secure Sockets Layer (SSL) sécurisé – Le SSL, c’est à dire le protocole de cryptage qui sécurise la communication sur internet, tels que les achats en ligne, les transactions financières ou l’envoi des coordonnées personnelles, supporte encore souvent des anciennes versions. Un pirate peut dès lors intercepter des renseignements personnels sans trop de difficulté et les lire pendant le transfert vers un autre serveur. Ce sont surtout les banques qui sont confrontées à ce type de piratage.
> Soyez cohérent dans la gestion des messages d’erreur sur votre site – Les messages d’erreur qui ne sont pas correctement traités sont un cadeau pour les pirates. Les notifications de faute dans le nom d’utilisateur ou dans le mot de passe sont un exemple courant. Une mauvaise gestion des erreurs permet au pirate de facilement déchiffrer les informations de connexion de l’internaute.
> Ne laissez pas de cookies non sécurisés aux pirates – Les cookies sont utilisés entre autres pour se souvenir des logins ou pour collecter des informations de navigation mais, si les cookies ne sont pas suffisamment protégés, le pirate peut les utiliser comme accès aux données critiques.
> Ne louez pas vos applications web aux pirates – Certaines entreprises louent leur site web sans le vouloir aux pirates. Dans cette situation, le pirate va charger le site d’origine sur le sien sans que ce soit immédiatement visible. Le pirate n’a alors que très peu d’efforts à faire pour obtenir les renseignements personnels de l’internaute.
