De plus en plus souvent, les vols de données et les incidents liés aux applications Web font la une de l'actualité de la sécurité. Les attaques ont des conséquences qui peuvent être nuisibles à l'image de marque de l'entreprise, voire dans le pire des cas, au bon fonctionnement de son système d'information.

securite applicative

Dans ce contexte, nos experts vous apportent leurs savoir-faire en sécurité applicative. L'objectif visé est de garantir la sécurité sur le plan applicatif des applications Web, permettant ainsi de limiter fortement les risques liés à la possibilité de pouvoir modifier le contenu du site (action appelée « défacement » du site), de récupérer des informations confidentielles, d'usurper uneidentité, de pénétrer dans le réseau local, ou d'utiliser le site à des fins malveillantes. Une sécurité des applications bien pensée interdit donc à l’utilisateur mal intentionné de modifier le comportement de l’application initialement programmée.

Une analyse des faits montre de manière évidente que la sécurité au niveau de l'infrastructure réseau n'est pas suffisante, mais qu'il faut également sécuriser l'application Web elle-même. En effet, les pare-feux classiques peuvent se révéler inefficaces contre les offensives transitant par HTTP. L’agresseur de l’application utilise des requêtes valides en passant par des ports connus, de sorte que les pare-feux réseau, de par leur conception, autorisent volontairement ce trafic pourtant nuisible. L’élément nuisible n’est pas la requête elle-même mais les données qu’elle contient. Souvent, ces données dangereuses sont des données entrées par l’utilisateur, spécialement formatées dans le but de modifier le comportement de l’application.

Les vulnérabilités au niveau des applications Web sont nombreuses et les plus connues sont le Cross-Site Scripting et l'injection SQL.
Le Cross Site-Scripting est une technique de piratage qui repose sur un principe simple : certaines pages d’un site Web utilisent des données fournies par un utilisateur sans que leur contenu soit contrôlé. Un utilisateur mal-intentionné peut alors en profiter pour glisser dans ces données du code HTML et javascript pernicieux, qui s’exécutera sur le poste de la victime. Et en fonction du programme inséré, le degré de malveillance diffèrera : vol de session, accès audisque dur etc.

L’injection SQL permet à une personne mal-intentionnée d’utiliser l’application pour interagir avec la base de données. Le principe repose sur la modification du comportement d’un appel vers la base de donnée en y injectant des portions de code (par l’intermédiaire des paramètres d’un formulaire par exemple). On peut envisager ainsi, avec ce mécanisme, la récupération d’informations sensibles, leur modification voire leur destruction.

info Si vous souhaitez découvrir IBM Ratinal AppScan, nous vous conseillons la présentation produit à cette adresse

logo appscanNos experts certifiés IBM AppScan vous accompagnent afin de sécuriser vos applications. Fort de leurs expériences en sécurité applicative, ils vous assurent la pérénnité de vos informations et la continuité de service de vos SI.

Formulaire identification

Bienvenue sur le site de Qualixo. Merci d'utiliser l'identifiant et le mot de passe qui vous ont été fournis