Réflexions sur le dernier exploit « WannaCry » du NHS : pourrait-il se reproduire, pourrait-il être pire et quelles leçons peut-on en tirer ?
Exploit du NHS « WannaCry » – Cela pourrait se reproduire et être pire !
Cette semaine, nous avons assisté au piratage généralisé de systèmes informatiques, ce qui a eu des conséquences importantes pour nous tous en tant qu’individus, au niveau le plus fondamental – notre santé.
Il s’agit d’un signal d’alarme important, principalement parce qu’une grande partie de ce problème aurait pu être évitée. Heureusement, le problème n’a touché que les vieilles machines Windows XP, de sorte que sa cible était limitée.
Quel est le prochain risque majeur ? Nous pensons que la lenteur de l’adoption des pare-feu applicatifs fait courir un risque sérieux à de nombreuses applications.
Le WAF (Web Application Firewall) existe depuis un certain temps. Son rôle est de protéger les sites web et les applications contre des attaques spécifiques.
Un serveur web est une cible de choix pour une attaque car il est généralement accessible à partir de réseaux internes et publics. Ils fonctionnent sur du matériel serveur puissant et, contrairement à l’ordinateur d’un utilisateur, ils sont toujours allumés ! C’est donc l’endroit idéal pour lancer une attaque de logiciels malveillants, comme celle récemment observée avec « WannaCry » et le NHS.
Bien qu’il s’agisse désormais d’un composant standard pour les entreprises, l’adoption par les utilisateurs pour les PME et le marché intermédiaire a été lente, en partie parce que les WAF ont été perçus comme complexes et inutiles à ce niveau.
Des normes telles que PCIDSS, qui spécifient que des pare-feu applicatifs sont nécessaires pour les systèmes de paiement par carte de crédit, ont accéléré l’adoption par les institutions financières, mais ce n’est qu’un domaine parmi d’autres.
Qu’est-ce que cela signifie pour le reste d’entre nous ? Le fait est que des centaines et des milliers d’applications web sont vulnérables aux attaques web de Layer7.
Alors que la plupart des entreprises disposent d’un pare-feu traditionnel qui bloque l’accès aux ports et aux applications pour les connexions externes, il existe également des applications conçues pour être accessibles au grand public. Un site web en est l’exemple le plus simple.
Cela signifie que vous pouvez ouvrir la porte et permettre à tout le monde d’accéder à votre serveur web. Comment savez-vous que ce qu’ils demandent à votre serveur web est valable ? Comment savez-vous qu’ils sont honnêtes ? Comment savez-vous qu’ils ne sont pas en train de pirater directement votre serveur et que votre seule défense (la dernière ligne de défense) est l’espoir que votre serveur dispose du dernier correctif et, plus encore, que votre application ou votre site web soit écrit par un développeur formé à la sécurité.
Vous pouvez dire que votre site est sécurisé, éventuellement par un login utilisateur. Mais d’où vient ce défi de connexion de l’utilisateur ? À moins que vous n’utilisiez un serveur de préauthentification ou un SSO (comme jetNEXUS), votre défi de connexion proviendra du serveur que vous essayez de protéger.
Alors oui, c’est comme si vous laissiez entrer des gens dans votre maison mais que vous ne les laissiez pas entrer dans la cuisine à moins qu’ils ne vous donnent le bon mot de passe.
Le rôle du pare-feu d’application web est d’analyser ce que les utilisateurs demandent au serveur web et ce que le serveur web répond à l’utilisateur. Ces réponses sont comparées aux types d’attaques connus et sont soit bloquées, soit autorisées (une liste des 10 principaux risques de sécurité des applications web est disponible à l’adresse suivante : https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project).
C’est très différent d’un pare-feu normal et votre pare-feu actuel n’offrira probablement pas ce type de protection.
La bonne nouvelle, c’est que vous n’avez peut-être pas encore été attaqué, parce que vous êtes peut-être une petite application et que vous n « êtes pas aussi intéressant ou digne d’intérêt qu’une banque mondiale ou une organisation gouvernementale. Malheureusement, nous avons constaté que de nombreuses applications et sites web de petite taille sont désormais attaqués. La raison en est, comme dans presque tous les domaines de l’informatique, que les coûts et la complexité diminuent. Qu’est-ce que je veux dire par là ? Il devient plus facile, moins cher et plus autonome de pirater des cibles vulnérables. Alors qu’auparavant, le fait d » être une cible moins « intéressante » signifiait que votre faux pas en matière de sécurité des applications pouvait passer inaperçu, ce n’est plus le cas aujourd’hui.
Les WAF, tels que edgeNEXUS, sont de plus en plus simples à utiliser et sont très rentables. Vous pouvez même minimiser la perte de données en cas de violation par un autre système ou d’attaque de type « zero day ». Cela a des implications évidentes en ce qui concerne le GDPR.
Ne soyez pas la prochaine victime d’une attaque évitable, utilisez la préauthentification et mettez en place un Web Application Firewall.
