Qu'est-ce que la sécurité des applications web ?

La sécurité des applications web est importante pour toute entreprise. Découvrez les vulnérabilités des applications web courantes et comment les atténuer

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Découvrir les concepts fondamentaux de la sécurité des applications web
  • Étudier les vulnérabilités/exploitations courantes des applications web
  • Comprendre les méthodes habituelles d'atténuation des menaces

Copier le lien de l'article

Qu'est-ce que la sécurité des applications web ?

Sécurité des applications web

La nature mondiale du réseau expose les propriétés web à des attaques de diverses provenances, lancées à différents niveaux d'échelle et de complexité. En tant qu'élément central de n'importe quelle activité reposant sur Internet, la sécurité des applications web s'attache spécifiquement à la sécurisation des sites, applications et services web, tels que les API.

Quelles sont les vulnérabilités courantes en matière de sécurité des applications web ?

Les attaques visant les applications web vont de la manipulation ciblée de bases de données aux perturbations de réseaux à grande échelle. Examinons quelques méthodes d'attaque (ou « vecteurs ») couramment utilisées.

  • Cross-Site Scripting (XSS) : cette faille de sécurité permet à un pirate d'injecter des scripts au sein d'une page web, côté client, dans le but d'accéder directement à des informations importantes, d'usurper l'identité des utilisateurs ou de piéger ces derniers afin de les amener à révéler des informations importantes.
  • Injection SQL (SQi) : cette technique permet aux acteurs malveillants d'exploiter les vulnérabilités inhérentes à la manière dont une base de données exécute les requêtes de recherche. L'injection SQL permet ainsi d'accéder à des informations sans autorisation, de modifier ou de créer de nouvelles autorisations utilisateur, voire de manipuler ou détruire des données sensibles.
  • Attaques par déni de service (DoS) et déni de service distribué (DDoS) : en s'appuyant sur divers vecteurs, les pirates peuvent surcharger un serveur ciblé ou son infrastructure environnante sous différents types de trafic hostile. Un serveur incapable de traiter efficacement les requêtes entrantes réagira de plus en plus lentement et finira par refuser de répondre aux requêtes entrantes des utilisateurs légitimes.
  • Corruption de mémoire : une corruption survient lorsqu'un emplacement de la mémoire fait l'objet d'une modification involontaire, entraînant ainsi un comportement inattendu du logiciel. Les pirates peuvent essayer de détecter et d'exploiter le phénomène de corruption de mémoire par diverses méthodes, comme l'injection de code ou les attaques par débordement de tampon (buffer overflow).
  • Débordement de tampon : le phénomène de débordement de tampon désigne une anomalie qui se produit lorsqu'un logiciel écrit des données dans un espace défini de la mémoire, connu sous le nom de mémoire tampon. L'engorgement de cette dernière entraîne l'écrasement des données contenues dans les emplacements de mémoire adjacents par d'autres données. Ce comportement peut être exploité afin d'injecter du code malveillant dans la mémoire, créant ainsi une faille potentielle au sein de la machine cible.
  • Falsification de requêtes intersites (CSRF) : cette attaque a pour objectif de piéger une victime afin de l'amener à effectuer une requête utilisant ses identifiants ou son autorisation. L'exploitation des privilèges de compte d'un utilisateur permet à un acteur malveillant d'envoyer une requête en se faisant passer pour ce dernier. Une fois le compte d'un utilisateur compromis, le pirate peut exfiltrer, détruire ou modifier les informations importantes qu'il recèle. Les comptes aux privilèges les plus élevés, comme ceux des administrateurs ou des cadres, sont fréquemment pris pour cible.
  • Violation de données : à la différence des vecteurs d'attaque spécifiques, le terme général « violation de données » désigne la divulgation d'informations sensibles ou confidentielles. Ces fuites peuvent résulter d'actions malveillantes ou d'une erreur. Les menaces considérées comme de telles violations couvrent un champ assez large et peuvent aussi bien concerner une poignée de fichiers particulièrement précieux que des millions de comptes d'utilisateurs.

Quelles sont les meilleures pratiques à adopter pour atténuer les vulnérabilités ?

L'utilisation d'un protocole de chiffrement à jour constitue une des étapes importantes de la protection des applications web contre l'exploitation. Cette opération nécessite toutefois le déploiement de normes d'authentification appropriées, un processus de correction en continu des vulnérabilités découvertes et une bonne hygiène en matière de développement logiciel. Les pirates intelligents peuvent toutefois réussir à trouver des failles dans n'importe quel environnement de sécurité, même les plus robustes. Une stratégie de sécurité holistique est donc recommandée.

La sécurité des applications web peut être améliorée à l'aide de mesures de protection contre les attaques DDoS, les attaques sur la couche applicative et les attaques DNS.

Pare-feu WAF : une protection contre les attaques sur la couche applicative

Un pare-feu d'application web, ou pare-feu WAF, permet de protéger une application web contre le trafic HTTP malveillant. En instaurant un barrage filtrant entre le serveur ciblé et le pirate, le pare-feu WAF parvient à protéger les applications contre diverses attaques, comme la falsification de requêtes intersites, le Cross-Site Scripting et l'injection SQL. En savoir plus sur le pare-feu WAF de Cloudflare.

DDoS : fonctionnement d'un pare-feu WAF

Atténuation DDoS

L'un des moyens couramment utilisés pour déstabiliser une application web repose sur l'utilisation d'attaques par déni de service distribué ou DDoS. Cloudflare dispose de toute une gamme de stratégies pour atténuer ces attaques, notamment l'élimination du trafic hostile volumétrique en périphérie de notre réseau et l'utilisation de notre réseau Anycast pour acheminer correctement les demandes légitimes sans perte de service. Découvrez comment Cloudflare peut vous aider à protéger vos propriétés web contre les attaques DDoS.

Animation représentant une attaque DDoS par amplification DNS

Sécurité DNS : protection par DNSSEC

Le DNS (Domain Name System, système de nom de domaine) représente en quelque sorte le répertoire téléphonique d'Internet. Il désigne la procédure suivie par un outil Internet, comme un navigateur web, pour trouver le serveur approprié. Les pirates peuvent tenter de détourner le processus de requête DNS par plusieurs moyens, comme l'empoisonnement du cache DNS, les attaques de l'homme du milieu et d'autres méthodes visant à désorganiser le cycle de vie d'une recherche DNS. Si le DNS constitue l'annuaire d'Internet, les DNSSEC en sont les identifiants d'appel inviolables. Découvrez comment protéger une recherche DNS à l'aide de Cloudflare.

Service commercial