Réflexions sur le dernier exploit « WannaCry » du NHS – pourrait-il se reproduire, pourrait-il être pire et quelles leçons peut-on en tirer ?
Exploit « WannaCry » du NHS – Cela pourrait se reproduire et être pire !
Cette semaine, nous avons été témoins du piratage à grande échelle de systèmes informatiques, ce qui a eu des implications étendues pour nous tous en tant qu’individus, au niveau le plus fondamental – notre santé.
Il s’agit d’une énorme sonnette d’alarme, principalement parce qu’une grande partie de ce qui s’est passé aurait pu être évitée. Heureusement, le virus n’a touché que les vieilles machines Windows XP, de sorte que sa cible était limitée.
Quel est le prochain grand risque ? Nous pensons que la lenteur de l’adoption des pare-feu applicatifs met de nombreuses applications en grave danger.
Le WAF (Web Application Firewall) existe depuis un certain temps, son rôle est de protéger les sites web et les applications contre des attaques spécifiques.
Un serveur web est une cible de choix pour une attaque car il est généralement accessible à partir de réseaux internes et publics. Ils fonctionnent sur du matériel serveur puissant et, contrairement à l’ordinateur d’un utilisateur, ils sont toujours allumés ! C’est l’endroit idéal pour lancer une attaque de logiciels malveillants, du type de celles récemment observées avec « WannaCry » et le NHS.
Bien qu’il s’agisse désormais d’un composant standard pour les entreprises, l’adoption par les utilisateurs des PME et du marché intermédiaire a été lente, en partie parce que les WAF ont été perçus comme complexes et inutiles à ce niveau.
Des normes telles que PCIDSS, qui spécifient que les pare-feu applicatifs sont nécessaires pour les systèmes de paiement par carte de crédit, ont accéléré l’adoption par les institutions financières, mais ce n’est qu’un domaine.
Qu’est-ce que cela signifie pour le reste d’entre nous ? Le fait est que des centaines et des milliers d’applications web sont vulnérables aux attaques web de la couche 7.
Alors que la plupart des entreprises disposent d’un pare-feu traditionnel qui bloque l’accès aux ports et aux applications pour les connexions externes, il existe également des applications conçues pour être accessibles au grand public. Un site web en est l’exemple le plus simple.
Cela signifie que vous pouvez ouvrir la porte et permettre à tout le monde d’accéder à votre serveur web. Comment savez-vous que ce qu’ils demandent à votre serveur web est valide ? Comment savez-vous qu’ils sont honnêtes ? Comment savez-vous qu’ils ne sont pas en train de pirater directement votre serveur et que votre seule défense (la dernière ligne de défense) est d’espérer que votre serveur dispose du dernier correctif et, en outre, que votre application ou votre site web est écrit par un développeur formé à la sécurité ?
Vous pouvez dire que votre site est sécurisé, éventuellement par un login utilisateur. Mais d’où vient ce défi de l’utilisateur ? À moins que vous n’utilisiez un serveur de préauthentification ou un SSO (comme jetNEXUS), votre défi de connexion proviendra du serveur que vous essayez de protéger.
Donc oui, c’est comme si vous laissiez entrer des gens dans votre maison mais que vous ne les laissiez pas entrer dans la cuisine à moins qu’ils ne vous donnent le bon mot de passe.
Le travail du pare-feu d’application Web est d’analyser ce que les utilisateurs demandent au serveur Web et aussi ce que le serveur Web répond à l’utilisateur. Ces réponses sont comparées aux types d’attaques connus et sont soit bloquées, soit autorisées (une liste des 10 principaux risques de sécurité des applications web est disponible à l’adresse suivante : https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project).
Cela est très différent d’un pare-feu normal et votre pare-feu actuel n’offrira probablement pas ce type de protection.
La bonne nouvelle est que vous n’avez peut-être pas encore été attaqué, car il s’agit peut-être d’une petite application qui n’est pas aussi intéressante ou digne d’intérêt qu’une banque mondiale ou une organisation gouvernementale. Malheureusement, nous avons constaté que de nombreuses applications et sites web de petite taille sont désormais attaqués. La raison en est, comme dans presque tous les domaines de l’informatique, que les coûts et la complexité diminuent. Qu’est-ce que je veux dire par là ? Il devient plus facile, moins cher et plus autonome de pirater des cibles vulnérables. Alors qu’auparavant, le fait d’être une cible moins » intéressante » signifiait que votre faux pas en matière de sécurité des applications pouvait passer inaperçu, ce n’est plus le cas.
Les WAF, tels qu’edgeNEXUS, deviennent de plus en plus simples à utiliser et sont très rentables. Vous pouvez même minimiser la perte de données en cas de violation par un autre système ou d’attaque de type « zero day ». Ceci a clairement des implications en relation avec le GDPR.
Ne soyez pas la prochaine victime d’une attaque évitable, utilisez la préauthentification et mettez en place un Web Application Firewall.
