Les types d’attaques
Les différents types d’attaques peuvent être répartis en deux catégories de base :
- Celles liées à des failles techniques (faiblesses des contrôles, manque de rigueur dans les développements, faiblesse cryptographique…)
- Celles liées à des failles logiques (faiblesse dans la logique business de l’application web).
Il existe de très nombreux types de failles et d’attaques les exploitant, les attaques pouvant par ailleurs être combinées entre elles.
Les conséquences directes d’une attaque tombent généralement dans les grandes catégories suivantes :
- Accès illégal à certaines données (vol)
- Modification ou perte de données
- Accès illégal à certaines fonctions du site
- Execution de certaines actions sur le site pour le compte d’autres utilisateurs
- Implantation de malware
- Prise de contrôle du serveur web (voire plus)
En poussant plus loin, certains “pivots » peuvent être effectués sur les attaques, et déboucher dans les cas les plus graves à l’accès au réseau interne de l’entreprise, même si le site web n’est pas hébergé par les serveurs de l’entreprise.
La plupart de ces attaques peuvent passer inaperçues ou bien être remarquées très rapidement, rester actives ou être furtives.
L’impact pour l’entreprise
Un piratage de site Internet peut aussi bien atteindre l’entreprise que les utilisateurs du site Internet (clients, consommateurs).