Alors que les entreprises ont accéléré leur transformation numérique au cours de ces dernières années, les processus de production et de livraison numériques génèrent des connexions de données avec les fournisseurs, les clients et les entreprises partenaires. Parallèlement, l'informatique d'entreprise continue de gagner en complexité notamment avec l’émergence de nouveaux paradigmes, de la diversité fonctionnelle des infrastructures, de leur connectivité et de leurs options d'accès. Aujourd’hui la cybersécurité représente un enjeu de taille pour les équipes de sécurité. Par exemple, le nombre de cyberattaques par rançongiciels traitées par l’ANSSI a pratiquement été multiplié par quatre entre 2019 et 2020, passant de 54 à 192. Face à ce diagnostic, les entreprises doivent de toute urgence réfléchir à comment mieux protéger leur infrastructure informatique de cyberattaques de plus en plus sophistiquées.
Les fournisseurs de solutions informatiques œuvrent par ailleurs sans relâche pour mettre sur le marché les systèmes les plus sécurisés possibles. Les systèmes sont ainsi testés et examinés. Chaque interface, chaque variable est vérifiée dans le but de détecter la moindre faille potentielle. Cette phase d’examen n’est que la partie émergée de l’iceberg. En effet, vient aussi la configuration de la solution qui est une étape d’autant plus importante que même les experts les plus aguerris ne sont pas à l’abri de commettre des erreurs.
Les attaques IDOR, une brèche facilement exploitable
Bien qu'il ne soit pas facile d'obtenir des données fiables sur la fréquence des erreurs de configuration liées à la sécurité, on peut observer sur le web et avec l'apparition des sites de e-commerce que ce n'est pas toujours le point faible "ex factory" qui met en péril la sécurité. La configuration peut également avoir un impact important, car elle peut aussi avoir de graves conséquences.
Ainsi par exemple, parmi les attaques les plus convoitées auprès des hackers, figurent les attaques IDOR. Les attaques IDOR sont simples à réaliser. L’attaquant se contente de manipuler les requêtes http en modifiant l’un des paramètres pour avoir accès à une information. Par exemple, si le fait d’incrémenter un chiffre au sein d’une URL, permet d’accéder sur la plateforme indéfiniment au contenu suivant (message, fichier, image etc.), il s’agit d’une vulnérabilité IDOR. Ces vulnérabilités émergent lorsque les développeurs de sites et Web Apps autorisent les utilisateurs à accéder de manière trop directe aux informations sans en contrôler les conséquences.
Sous sa forme la plus simple et la plus fréquente, une vulnérabilité IDOR émerge lorsque l’utilisateur est en mesure d’accéder à un contenu et de le remplacer sans autorisation. Prenons l’exemple d’une vulnérabilité soumise à Shopify par le hacker californien RojanRijal (alias @rijalrojan) en 2018. En observant la manière dont les pièces jointes des fichiers étaient étiquetées lors de l'envoi d'une requête à l'application Exchange Marketplace de Shopify, il avait pu remplacer des documents en utilisant le même nom de fichier depuis différents comptes.
Les tests automatiques sont-ils insuffisants ?
Le cas de Shopify nous amène ainsi à constater qu’une mauvaise configuration du système peut représenter un risque considérable pour la sécurité des actifs d’une entreprise. Alors, que faire ? S'il existe de nombreux outils pour aider à détecter les vulnérabilités de sécurité dans les systèmes informatiques, on peut aussi dans certains cas rencontrer le scénario des attaques de type IDOR, où les outils ne sont pas d'une grande aide.
En prêtant attention aux tests d’intrusion traditionnels, on peut ainsi constater que ce type de vulnérabilité passe inaperçu, à moins qu'un administrateur de pentest ne passe en revue tous les paramètres imaginables de chaque requête. Il n’est également pas exclu que ce type d'attaque numérique exige de faire appel à des équipes de cybersécurité particulièrement créatives et qu'elles effectuent des tests de sécurité manuels pour l'identifier correctement.
Quelles alternatives aux modèles de sécurité traditionnels ?
Bien que les équipes de sécurité soient souvent très occupées, il est important qu’elles continuent de se remettre en question afin de pouvoir déterminer les multiples options qui peuvent s’offrir à elles. La vraie alternative aux modèles de sécurité traditionnels est de pouvoir incarner et reproduire la créativité humaine des hackers éthiques.
Une des pistes à envisager serait de procéder à l'examen des configurations par des experts indépendants, et ce avant que les configurations ne soient exploitées à des fins malveillantes. En ne faisant pas cet examen, les entreprises courent le risque que les criminels découvrent plus tôt les failles de sécurité existantes et les exploitent ou les vendent aux enchères au plus offrant.
Trouver ces experts indépendants peut toutefois être un obstacle dans la mesure où leur temps et leurs ressources peuvent très vite devenir coûteux. En outre, le degré d’exigence vis -à -vis des experts devra être de taille, puisqu’ils devront en effet connaître les dernières tactiques et stratégies employées par les hackers pour réduire la surface d’attaque de manière optimale. La somme de toutes ces considérations fait que seules quelques entreprises pensent à solliciter précisément ceux dont on veut réellement se protéger : les hackers professionnels.
Hacking éthique : le futur de la sécurité informatique?
Croire que tous les hackers agissent selon un dessein destructeur est un poncif qu’il est temps d’éradiquer. En effet, il est important de faire la distinction entre les hackers criminels, les pirates informatiques, et les hackers éthiques. La mise en relation avec les hackers éthiques est généralement établie par l'intermédiaire de plateformes de bug bounty. Celles-ci servent d'intermédiaires entre les entreprises et les hackers. Elles veillent à ce que les deux parties s’entendent sur une collaboration productive.
Lorsqu’une entreprise opte pour l’approche de la sécurité collaborative, elle s’aligne dans une démarche de transparence en donnant la possibilité aux hackers d’examiner les configurations des applications, des sites web, des applications ou même des infrastructures cloud. L’objectif ultime : rechercher des vulnérabilités qui pourraient être exploitées dans l’optique de fragiliser l’entreprise. Une fois les failles de sécurité détectées, elles sont ensuite documentées et renvoyées au client afin qu'il puisse les éliminer en temps utile. Les hackers sont payés selon un modèle de prime convenu au préalable.
Sécurité collaborative : le hacking consenti ?
L’activité des hackers éthiques n’est pas à confondre avec les pratiques beaucoup plus obscures des pirates informatiques du darknet. C’est pourquoi il est crucial que les deux parties définissent sur le plan juridique ce qui est toléré et ce qui ne l'est pas. Une première piste est disponible dans ce que l'on appelle les VDP (VulnerabilityDisclosure Program). Les VDP constituent une partie élémentaire du contrat qu'une entreprise n'est pas tenue de conclure avec les hackers de manière indépendante puisque c’est la plate-forme de bug bounty qui s'en charge.
L'environnement d’intervention des hackers éthiques doit être le plus proche de la réalité possible. En effet, ces chercheurs en sécurité n'ont aucun accès à la plate-forme cible, à l’inverse des cyber attaquants. La sécurité collaborative permet aux hackers éthiques d’exprimer leur créativité en recherchant des méthodes innovantes pour pénétrer les systèmes d’information. Ainsi ces méthodes innovantes sont censées fournir une idée réaliste des menaces critiques potentielles que les hackers s’efforcent de signaler.
En tant qu'intervenants externes, les hackers éthiques sont de réels experts dans leur domaine pouvant apporter une véritable valeur ajoutée aux entreprises. La collaboration avec les hackers éthiques permet aux entreprises de renforcer leur surface d’attaque et d’être épargnées des dégâts financiers que peuvent provoquer une cyberattaque réussie. En plus de bénéficier d’une protection renforcée de l’infrastructure informatique, l’entreprise parvient aussi à garantir la protection de ses clients et de ses partenaires, favorisant ainsi un climat de confiance.
Par Laurie Mercer, Ingénieur en sécurité chez HackerOne