Eh bien, tu ne devrais pas. Il se peut que cela cache déjà des vulnérabilités.
C’est la nature modulaire des applications Web modernes qui les rend si efficaces. Ils peuvent faire appel à des dizaines de composants Web tiers, de frameworks JS et d’outils open source pour fournir toutes les différentes fonctionnalités qui satisfont leurs clients, mais cette chaîne de dépendances est aussi ce qui les rend si vulnérables.
Bon nombre de ces composants de la chaîne logistique des applications Web sont contrôlés par un tiers : l’entreprise qui les a créés. Cela signifie que, quelle que soit la rigueur avec laquelle vous avez appliqué votre propre analyse de code statique, vos révisions de code, vos tests d’intrusion et vos autres processus SSDLC, la majeure partie de la sécurité de votre chaîne d’approvisionnement est entre les mains de celui qui a construit ses composants tiers.
Avec leur énorme potentiel de points faibles et leur utilisation répandue dans les secteurs lucratifs du commerce électronique, de la finance et de la médecine, les chaînes logistiques d’applications Web constituent une cible juteuse pour les cyberattaquants. Ils peuvent cibler n’importe lequel des dizaines de composants auxquels leurs utilisateurs font confiance pour infiltrer leur organisation et compromettre leurs produits. Les logiciels, les bibliothèques tierces et même les appareils IoT sont régulièrement attaqués car ils offrent un moyen d’obtenir un accès privilégié aux systèmes sans être détectés. À partir de là, les attaquants peuvent émettre Chariot magique et les attaques d’écrémage du Web, les ransomwares, commettent de l’espionnage commercial et politique, utilisent leurs systèmes pour l’extraction de cryptomonnaies, ou même simplement les vandalisent.
L’attaque de SolarWinds
En décembre 2020, un attaque de la chaîne d’approvisionnement a été découverte qui éclipse bien d’autres en termes d’ampleur et de sophistication. Il ciblait une plate-forme de surveillance des réseaux et des applications nommée Orion, créée par une société appelée SolarWinds. Les attaquants avaient secrètement infiltré son infrastructure et utilisé leurs privilèges d’accès pour créer et distribuer des mises à jour piégées aux 18 000 utilisateurs d’Orion.
Lorsque ces clients ont installé les mises à jour compromises de SolarWinds, les attaquants ont eu accès à leurs systèmes et y ont eu carte blanche pendant des semaines. Les agences gouvernementales américaines ont été compromises, ce qui a donné lieu à des enquêtes qui ont pointé du doigt une opération de l’État russe.
Cette attaque dévastatrice de la chaîne d’approvisionnement peut également se produire dans les environnements Web, et elle souligne la nécessité d’une solution de sécurité Web complète et proactive qui surveillera en permanence vos actifs Web.
Les outils de sécurité standards sont déjoués
Les processus de sécurité standard n’ont pas aidé avec SolarWinds et ils ne peuvent pas surveiller l’intégralité de votre chaîne d’approvisionnement. Il existe de nombreux domaines de risque potentiels qu’ils ignoreront tout simplement, tels que :
- Règles de confidentialité et de sécurité: Si l’un de vos fournisseurs tiers publie une nouvelle version qui n’est pas conforme aux réglementations en matière de sécurité et de confidentialité, les outils de sécurité traditionnels ne prendront pas en compte cette modification.
- Traqueurs et pixels: Dans le même ordre d’idées, si votre gestionnaire de balises est mal configuré d’une manière ou d’une autre, il peut collecter par inadvertance des informations personnelles identifiables, vous exposant à d’éventuelles (énormes !) pénalités et poursuites.
- Serveurs externes : Si le serveur externe qui héberge votre framework JS est piraté, vous ne serez pas alerté.
- Vulnérabilités de pré-production : Si une nouvelle vulnérabilité apparaît une fois que vous êtes passé en production, vous ne pourrez peut-être pas l’atténuer.
Dans ces situations et bien d’autres, les outils de sécurité standards ne suffiront pas.
La vulnérabilité Log4j
Une autre de ces situations s’est produite lorsqu’une vulnérabilité zero-day a été découverte dans le système largement utilisé. Utilitaire de journalisation basé sur Java Log4j. Des millions d’ordinateurs appartenant à des entreprises, des organisations et des particuliers dans le monde utilisent Log4j dans leurs services en ligne. Un correctif a été publié trois jours après la découverte de la vulnérabilité en 2021, mais selon les termes de Sophos Sean Gallagher, chercheur principal sur les menaces :
« Honnêtement, la plus grande menace ici est que les gens ont déjà accès et restent assis dessus, et même si vous corrigez le problème, quelqu’un est déjà dans le réseau… Il existera aussi longtemps qu’Internet. »
La vulnérabilité permet aux pirates de prendre le contrôle d’appareils susceptibles d’être infectés. exploiter via Java. Encore une fois, ils peuvent ensuite utiliser ces appareils pour des activités illégales telles que l’extraction de crypto-monnaie, la création de réseaux de zombies, l’envoi de spam, l’établissement de portes dérobées, Magecart et le lancement d’attaques de ransomware.
Après sa divulgation, Check Point a signalé des millions d’attaques initiées par des pirates informatiques, et certains chercheurs ont observé un taux de plus de 100 attaques par minute et des tentatives d’attaques sur plus de 40 % des réseaux d’entreprise dans le monde.
Étant donné que la chaîne d’approvisionnement de vos applications Web aurait déjà pu être compromise via la vulnérabilité Log4J, le besoin d’une solution de surveillance continue proactive devient encore plus urgent.
L’une de ces solutions est une société de sécurité Web appelée Reflectiz. Sa plate-forme a détecté très tôt la vulnérabilité Log4J dans le domaine Bing de Microsoft, qu’elle a rapidement corrigée. Ensuite, Reflectiz a analysé de manière proactive des milliers de sites Web et de services pour identifier d’autres vulnérabilités de Log4J. Une vulnérabilité importante a été découverte dans le composant UET de Microsoft, affectant des millions d’utilisateurs sur diverses plates-formes. Reflectiz a notifié et collaboré avec les clients et prospects pour atténuer les risques, en adhérant aux procédures de divulgation responsable en informant Microsoft et en partageant leurs conclusions. Ils soulignent le caractère continu de l’événement Log4J et plaident pour que les organisations sécurisent leurs sites Web en s’attaquant aux vulnérabilités des tiers.
Sécuriser la chaîne d’approvisionnement de vos applications Web
L’interaction de vos composants Web internes et tiers dans la chaîne d’approvisionnement de vos applications Web crée un environnement dynamique en constante évolution. Un environnement en constante évolution nécessite une solution de surveillance continue qui vous alerte des comportements suspects dans chaque élément de la chaîne d’approvisionnement de vos applications Web. Grâce à une surveillance continue et rigoureuse, les équipes de sécurité peuvent :
- identifier tous les actifs Web existants et détecter vulnérabilités dans la chaîne d’approvisionnement Web et les composants open source
- Moniteur configurations d’applications Web et paramètres de code tiers
- Voir visibilité totale sur les risques des vulnérabilités et des problèmes de conformité
- Moniteur accès des composants Web aux données sensibles
- Valider comportements de tiers