Lors de nos pentests sur des plateformes web, un des principaux vecteurs d’attaque que nous utilisons le plus souvent pour découvrir et exploiter des vulnérabilités est le manque de rate limiting (ou limitation de débit).
Partant de ce principe, nous estimons que toute application web se verra, tôt ou tard, confrontée à une attaque générant beaucoup de trafic. Celles-ci peuvent se présenter sous plusieurs formes, mais les principales sont les suivantes :
Le brute force est certainement l’une des techniques d’attaques les plus triviales. La principale raison : le facteur humain reste le maillon faible de la chaine cybersécurité. En effet, nul besoin de réaliser des attaques d’ingénierie sociale ou des attaques d’injection SQL sophistiquées pour voler des identifiants car les habitudes ont la vie dure : les mots de passe des utilisateurs restent faibles donc faciles à deviner. Avec les bons outils, même les attaquants les plus novices parviennent à compromettre les données et paralyser les systèmes de grandes entreprises.
La sécurité des serveurs est un enjeu majeur pour les entreprises. En effet, étant un élément central dans le fonctionnement de toutes les composantes d’un système d’information (applications, réseau, infrastructure, collaborateurs, etc.), les serveurs sont souvent les cibles privilégiées d’attaques.
Au fil des années, les attaques d’ingénierie sociale sont devenues une réalité pour toutes les entreprises, quel que soit leur secteur d’activité ou leur taille.
En effet, au-delà des vulnérabilités techniques souvent exploitées pour obtenir un accès non autorisé aux données et aux systèmes, la porte d’entrée favorite des attaquants reste les collaborateurs d’une entreprise et ce, la plupart du temps via des attaques de phishing.
La sécurité des réseaux est un enjeu majeur pour les entreprises. En effet, l’importance croissante des actifs informatiques, l’interconnexion des systèmes d’information et leur exposition, ont multiplié les risques d’attaques. Dans le même temps, l’information (les données) est produite, traitée, échangée et exploitée par des systèmes et sur des réseaux qui peuvent présenter des vulnérabilités au niveau de tous les composants ou de la configuration : serveurs, postes de travail, segmentation, Wi-Fi, accès utilisateurs, applications, etc.
Les APIs sont partout. Dans la plupart des systèmes informatiques (applications mobiles, plateformes web, infrastructures cloud, etc.) et dans tous les secteurs d’activité, ces interfaces de programmation facilitent les échanges de données et leur mise à disposition à un public large, qu’il s’agisse de clients, de partenaires ou de collaborateurs. Les APIs sont également le moteur de développement et de croissance des objets connectés car elles constituent le socle des canaux de communication des systèmes IoT.
Donner accès au code source lors d’un pentest présente principalement des avantages ou des inconvénients, selon les points de vue !
Voici notre retour d’expérience, qui concerne en particulier les pentests d’applications web.
La sécurité des applications web est un enjeu majeur pour les entreprises. Plateformes SaaS, outils internes ou sites e-commerce, tous ces systèmes doivent être sécurisés pour contrer des attaques de plus en plus nombreuses ciblant toutes leurs fonctionnalités et composantes : serveurs, APIs, authentification, session, contrôle d’accès, composants tiers, etc.
Au-delà de l’aspect protection contre des attaques, la sécurité est également devenue un point clé et un atout différenciant dans les phases d’avant-vente, notamment en B2B.
Nous réalisons des pentests tous les jours. (Enfin, 5 jours sur 7). Aujourd’hui, nous vous faisons passer en coulisse : nous avons regardé de plus près les tests d’intrusion menés en 2020, afin de partager avec vous quelques chiffres sur les failles trouvées.
Nous avons également relevé les trois vulnérabilités qui reviennent le plus fréquemment durant nos pentests et donnons notre éclairage sur la présence de ces failles. Enfin, nous présentons quelques autres observations issues de nos pentests.
Utilisé pour le phishing et autres attaques d’ingénierie sociale, le spoofing d’email est redoutable. Bien exécuté, il est difficile à détecter et induit en erreur le destinataire.
Pour le contrer, des solutions techniques peuvent être mises en place lorsque vous configurez vos serveurs mails. Nous allons ainsi voir les trois éléments indispensables à installer pour se protéger du spoofing d’email : SPF, DKIM et DMARC.