D’un point de vue cybersécurité, le dark web est semblable à une immense marketplace où des données sensibles (données personnelles, données bancaires, adresses email, identifiants, etc.) côtoient des kits permettant de réaliser des cyberattaques. En effet, 15 milliards d’identifiants y seraient actuellement en circulation [1], et il serait possible d’acheter des malwares pour un tarif compris entre $50 et $5000 [2].

Pourquoi des données professionnelles se retrouvent sur le dark web ? Et comment identifier des éventuelles fuites de données ? Avant d’entrer dans le vif du sujet, quelques précisions sur les termes deep web, dark web et dark net.

Les applications web comme les applications mobiles sont au centre de l’activité de la plupart des entreprises. Qu’elles soient déployées en production ou en cours de développement, il existe encore certaines idées reçues sur la sécurité de ces systèmes, alors qu’il s’agit d’un sujet crucial pour le bon déroulement des activités.

Voici les 9 idées reçues que nous avons le plus souvent rencontrées.

WordPress, Joomla, Drupal, Shopify, Prestashop et bien d’autres encore, offrent de vraies possibilités pour réaliser des sites vitrines ou des e-shops à la fois ergonomiques et performants. Cependant, une image négative reste associée aux sites web reposant sur des CMS : ils seraient peu sécurisés et des cibles faciles pour des hackers malveillants. 

Quels sont les risques de cyberattaques pour ces sites ? Quels éléments spécifiques des CMS sont à surveiller ?

Si vous êtes en charge d’une plateforme CMS, cet article vous aidera à identifier les risques principaux et vous donnera les points de vigilance pour renforcer le niveau de sécurité.

Vous savez pourquoi le phishing est si redoutable ?

Parce qu’il mêle des compétences IT et des connaissances de la psychologie humaine. En effet, un mail de phishing s’appuie sur des ressorts psychologiques humains pour tout d’abord inciter à l’ouverture du mail et pour ensuite pousser au clic.

Les compétences techniques sont bien entendu nécessaires pour augmenter les probabilités de clics, par exemple pour usurper un expéditeur légitime, pour créer un clone d’interface, pour renvoyer vers des domaines malveillants, etc.

Mais aujourd’hui, nous nous intéressons aux leviers qui poussent à l’action lors d’un phishing. Nous avons repris huit leviers psychologiques couramment utilisés et nous les avons associés à différents sujets qui peuvent servir de prétextes pour un phishing.

Mis à jour 16 fev. 2021

Les failles logiques restent un type de vulnérabilités méconnues dans la sécurité informatique. Ce ne sont pas des erreurs dans le raisonnement logique. Il s’agit de failles liées au fonctionnement d’une application web. Elles diffèrent des vulnérabilités techniques, qui elles, sont directement liées à des erreurs de code, d’implémentation ou de configuration.

Nous trouvons régulièrement ces vulnérabilités de logique business lors de tests d’intrusion, sur tout type d’applications. Généralement, les sites ecommerce et les logiciels SaaS sont les solutions où ces vulnérabilités se retrouvent le plus fréquemment.

Les types d’attaques

Les différents types d’attaques peuvent être répartis en deux catégories de base :

• Celles liées à des failles techniques (faiblesses des contrôles, manque de rigueur dans les développements, faiblesse cryptographique…)
• Celles liées à des failles logiques (faiblesse dans la logique business de l’application web).

Il existe de très nombreux types de failles et d’attaques les exploitant, les attaques pouvant par ailleurs être combinées entre elles.
Les conséquences directes d’une attaque tombent généralement dans les grandes catégories suivantes :

• Accès illégal à certaines données (vol)
• Modification ou perte de données
• Accès illégal à certaines fonctions du site
• Execution de certaines actions sur le site pour le compte d’autres utilisateurs
• Implantation de malware
• Prise de contrôle du serveur web (voire plus)

En poussant plus loin, certains “pivots » peuvent être effectués sur les attaques, et déboucher dans les cas les plus graves à l’accès au réseau interne de l’entreprise, même si le site web n’est pas hébergé par les serveurs de l’entreprise.

La plupart de ces attaques peuvent passer inaperçues ou bien être remarquées très rapidement, rester actives ou être furtives.

L’impact pour l’entreprise

Un piratage de site Internet peut aussi bien atteindre l’entreprise que les utilisateurs du site Internet (clients, consommateurs).