Le rapport DBIR (Data Breach Investigation Report) 2014 récemment publié par Verizon nous fournit quelques informations intéressantes à propos des motivations des pirates attaquant des applications web.
Les résultats sont basés sur un total de 3937 incidents, avec 490 atteintes aux données confirmées.
Comme tout rapport, ces chiffres ne décrivent que les données ayant pu être collectées auprès de certaines sources, pas la réalité absolue. Mais si l’on considère la grande qualité du DBIR, nous pouvons faire confiance aux tendances suivantes.

D’après le rapport, il semble que la grosse majorité des attaques d’applications web peuvent être attribuées à des activistes motivés par une certaine idéologie ou par le “fun” ou à des attaquants attirés par l’argent.

Facteurs motivants les attaques d'applications web - camenbert
Facteurs motivants les attaques d’applications web

Attaques motivées par l’idéologie

Les acteurs “idéologiques” incluent ces personnes motivées par une réelle idéologie, et celles motivées essentiellement par l’amusement.

Avec un gros 65%, ces attaques débouchent en général sur deux types de situations :
– défigurement de site (« defacement”), dans le but d’envoyer un message clair à l’entreprise représentée par le site internet
– prise de contrôle du serveur, généralement afin de mener des attaques sur d’autres victimes (comme des attaques par déni de service)

Alors que la première situation représente clairement une attaque ciblée, la seconde montre que n’importe quel site web peut être attaqué afin de prendre le contrôle d’un serveur qui sera ajouté à un réseau de zombies. Vous pensiez que votre site n’attirait pas les pirates?

Attaques motivées par l’argent

Les attaquants motivés de la sorte vont focaliser leurs efforts sur l’argent, il parait donc logique que l’industrie du retail et les services bancaires en ligne sont des cibles de choix.

Les pirates vont essayer de récupérer des identifiants sur des applications bancaires en ligne, en exploitant des failles techniques, ou via des attaques de fishing. Une fois connectés sur ces applications, ils pourront facilement exploiter les fonctionnalités sur site web afin de détourner des l’argent.
Les sites de retail sont quant à eux attaqués sur des failles logiques ou techniques dans le but de dérober des données (très abondantes), qui pourront par la suite être converties en argent. Les attaques de phishing ne semblent pas être largement exploitées sur ces sites, contrairement aux applications bancaires. Le marché noir des informations de cartes bancaires est un moyen “facile” pour les attaquants de revendre les données volées.