Faites-vous confiance à votre chaîne d’approvisionnement en applications Web ?
- par Kenan
- , le 21 septembre 2023
- 1 h 25 min
C’est la nature modulaire des applications web modernes qui les a rendues si efficaces. Elles peuvent faire appel à des dizaines de composants web tiers, de cadres JS et d’outils open-source pour fournir toutes les différentes fonctionnalités qui rendent leurs clients heureux, mais cette chaîne de dépendances est aussi ce qui les rend si vulnérables.
Bon nombre de ces composants de la chaîne d’approvisionnement des applications web sont contrôlés par une tierce partie, à savoir l’entreprise qui les a créés. Cela signifie que, quelle que soit la rigueur avec laquelle vous avez effectué vos propres analyses statiques de code, examens de code, tests de pénétration et autres processus SSDLC, la majeure partie de la sécurité de votre chaîne d’approvisionnement est entre les mains de la société qui a créé les composants tiers.
Avec leur énorme potentiel de points faibles et leur utilisation généralisée dans les secteurs lucratifs du commerce électronique, de la finance et de la médecine, les chaînes d’approvisionnement en applications web constituent une cible juteuse pour les cyberattaquants. Ils peuvent cibler n’importe lequel des dizaines de composants auxquels leurs utilisateurs font confiance pour infiltrer leurs organisations et compromettre leurs produits. Les logiciels, les bibliothèques tierces et même les appareils IoT sont régulièrement attaqués car ils offrent un moyen d’obtenir un accès privilégié aux systèmes tout en restant inaperçus. À partir de là, les attaquants peuvent lancer des attaques de type Magecart et web skimming, des ransomwares, commettre des actes d’espionnage commercial et politique, utiliser leurs systèmes pour le crypto-mining, ou même simplement les vandaliser.
En décembre 2020, une attaque de la chaîne d’approvisionnement a été découverte, qui éclipse beaucoup d’autres en termes d’échelle et de sophistication. Elle visait une plateforme de surveillance du réseau et des applications appelée Orion, fabriquée par une société appelée SolarWinds. Les attaquants ont infiltré secrètement son infrastructure et ont utilisé leurs privilèges d’accès pour créer et distribuer des mises à jour piégées aux 18 000 utilisateurs d’Orion.
Lorsque ces clients ont installé les mises à jour compromises de SolarWinds, les pirates ont accédé à leurs systèmes et y ont régné en maîtres pendant des semaines. Des agences gouvernementales américaines ont été compromises, ce qui a donné lieu à des enquêtes qui ont pointé du doigt une opération de l’État russe.
Cette attaque dévastatrice de la chaîne d’approvisionnement peut également se produire dans les environnements web et souligne la nécessité d’une solution de sécurité web complète et proactive qui surveillera en permanence vos actifs web.
Les processus de sécurité standard n’ont pas aidé SolarWinds et ils ne peuvent pas surveiller l’ensemble de votre chaîne d’approvisionnement. Il existe de nombreuses zones de risque potentiel qu’ils ne verront tout simplement pas, comme par exemple :
– Vulnérabilités dans les dépendances logicielles ou matérielles
– Des pare-feu ou des équilibreurs de charge mal configurés
– Configurations SSL/TLS insuffisantes
Dans ces situations et dans bien d’autres, les outils de sécurité standard ne suffisent pas. Une autre de ces situations s’est produite lorsqu’une vulnérabilité de type « zero-day » a été découverte dans l’utilitaire de journalisation Log4j basé sur Java et largement utilisé. Des millions d’ordinateurs appartenant à des entreprises, des organisations et des particuliers du monde entier utilisent Log4j dans leurs services en ligne. Un correctif a été publié trois jours après la découverte de la vulnérabilité en 2021, mais selon les termes de Sean Gallagher, chercheur principal en menaces chez Sophos :
– « Toute organisation utilisant Log4j devrait supposer qu’elle a été compromise jusqu’à ce qu’elle ait la preuve du contraire ».
La vulnérabilité permet aux pirates de prendre le contrôle d’appareils susceptibles d’être exploités par Java. Ils peuvent ensuite utiliser ces appareils pour des activités illégales telles que le minage de crypto-monnaie, la création de botnets, l’envoi de spam, l’établissement de portes dérobées, Magecart, et le lancement d’attaques par ransomware. Après sa divulgation, Check Point a fait état de millions de tentatives d’attaques sur plus de 40 % des réseaux d’entreprises dans le monde. Étant donné que l’approvisionnement de votre application web pourrait avoir déjà été compromis par la vulnérabilité Log4J, le besoin d’une solution proactive de surveillance continue devient encore plus urgent. Reflectiz, une société de cybersécurité, a découvert une faille de sécurité critique dans le composant UET de Microsoft, affectant des millions d’utilisateurs sur diverses plates-formes. Reflectiz a notifié et collaboré avec ses clients et prospects pour atténuer les risques, en adhérant aux procédures de divulgation responsable en informant Microsoft et en partageant ses conclusions. Reflectiz souligne la nature continue de l’événement Log4J et recommande aux organisations de sécuriser leurs sites Web en corrigeant les vulnérabilités des tiers.
L’interaction entre vos composants Web internes et tiers dans la chaîne d’approvisionnement de votre application Web constitue un environnement dynamique en constante évolution. Un environnement en constante évolution nécessite une solution de surveillance continue qui vous alerte en cas de comportements suspects dans chaque élément de la chaîne d’approvisionnement de votre application Web. Grâce à une surveillance continue rigoureuse, les équipes de sécurité peuvent :
- Détecter rapidement les problèmes de sécurité
- Réduire les faux positifs
- Gagner en visibilité sur tous les aspects de la chaîne logistique des applications Web
Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.
La surveillance continue est une solution de surveillance continue qui vous avertit des comportements suspects dans chaque élément de la chaîne logistique de vos applications Web.