Les cyberattaques contre les applications de commerce électronique sont une tendance courante en 2023, à mesure que les entreprises de commerce électronique deviennent de plus en plus omnicanales, elles créent et déploient de plus en plus d’interfaces API, les acteurs malveillants explorant constamment de nouvelles façons d’exploiter les vulnérabilités. C’est pourquoi des tests réguliers et une surveillance continue sont nécessaires pour protéger pleinement les applications Web, en identifiant les faiblesses afin de pouvoir les atténuer rapidement.
Dans cet article, nous discuterons de la récente attaque sur la plateforme de commerce électronique Honda, de la façon dont elle s’est produite et de son impact sur l’entreprise et ses clients. En plus de l’importance des tests de sécurité des applications, nous aborderons également les différents domaines des tests de vulnérabilité et leurs différentes phases.
Enfin, nous fournirons des détails sur la manière dont une solution préventive à long terme telle que PTaaS peut protéger les entreprises de commerce électronique et les différences entre les tests continus (PTaaS) et les tests d’intrusion standard.
L’attaque de la plateforme de commerce électronique Honda 2023
Équipements électriques, produits pour pelouses, jardins et produits marins de Honda la plateforme de commerce contenait une faille API qui permettait à quiconque de demander une réinitialisation du mot de passe pour n’importe quel compte.
La vulnérabilité a été découverte par le chercheur Eaton Zveare qui a récemment découvert une faille de sécurité majeure dans le portail des fournisseurs de Toyota. En réinitialisant le mot de passe des comptes de niveau supérieur, un acteur malveillant a obtenu un accès sans restriction aux données de niveau administrateur sur le réseau de l’entreprise. Si cela avait été découvert par un cybercriminel, cela aurait entraîné une violation de données à grande échelle avec d’énormes conséquences.
Zverare a déclaré : « Les contrôles d’accès cassés/manquants ont permis d’accéder à toutes les données de la plateforme, même lorsque vous êtes connecté en tant que compte test. »
Cela a permis au testeur d’accéder aux informations suivantes :
- Près de 24 000 commandes clients chez tous les concessionnaires Honda d’août 2016 à mars 2023 ; cela comprenait le nom, l’adresse et le numéro de téléphone du client.
- 1 091 sites Web de concessionnaires actifs avec possibilité de modifier ces sites.
- 3 588 utilisateurs/comptes de revendeurs – y compris les données personnelles.
- 11 034 e-mails clients – y compris les noms et prénoms.
- 1 090 e-mails de concessionnaires.
- Rapports financiers internes pour Honda.
Avec les informations ci-dessus, les cybercriminels pourraient mener toute une gamme d’activités, allant des campagnes de phishing aux attaques d’ingénierie sociale en passant par la vente illégale d’informations sur le dark web. Avec ce niveau d’accès, des logiciels malveillants pourraient également être installés sur les sites Web des concessionnaires pour tenter de pirater les cartes de crédit.
Comment la vulnérabilité a-t-elle été trouvée
Sur la plateforme de commerce électronique Honda, les sous-domaines « powerdealer.honda.com » sont attribués aux concessionnaires enregistrés. Zveare a découvert que l’API de réinitialisation du mot de passe sur l’un des sites de Honda, Power Equipment Tech Express (PETE), traitait les demandes de réinitialisation sans exiger le mot de passe précédent.
Une adresse e-mail valide a été trouvée via une vidéo YouTube fournissant une démonstration du tableau de bord du concessionnaire à l’aide d’un compte test. Une fois réinitialisés, ces identifiants de connexion pourront être utilisés sur n’importe quel portail de connexion de sous-domaine de commerce électronique Honda, donnant accès aux données internes du concessionnaire.
Ensuite, le testeur devait accéder aux comptes de vrais revendeurs sans risquer d’être détecté et sans avoir besoin de réinitialiser les mots de passe de centaines de comptes. Pour ce faire, Zveare a repéré une faille JavaScript sur la plateforme, l’attribution séquentielle des identifiants utilisateur et un manque de sécurité d’accès. En tant que tel, les comptes réels pouvaient être trouvés en incrémentant l’ID utilisateur de un jusqu’à ce qu’il n’y ait plus d’autres résultats.
Enfin, le panneau d’administration de la plateforme était entièrement accessible en modifiant une réponse HTTP pour donner l’impression que le compte exploité était un administrateur.
Le 3 avril 2023, Honda a signalé que tous les bugs avaient été corrigés après que les résultats leur ont été initialement signalés le 16 mars 2023. Eaton Zveare n’a reçu aucune récompense financière pour son travail car l’entreprise n’a pas de programme de bug bounty.
L’importance des tests de sécurité des applications de commerce électronique
Les tests de sécurité des applications de commerce électronique sont essentiels pour protéger les informations personnelles et financières de toutes les personnes liées à l’application, y compris les clients, les revendeurs et les fournisseurs. La fréquence des cyberattaques contre les applications de commerce électronique est élevée, ce qui signifie qu’une protection adéquate est nécessaire pour empêcher les violations de données qui peuvent gravement nuire à la réputation d’une entreprise et entraîner des pertes financières.
La conformité réglementaire dans le secteur du commerce électronique est également stricte, la protection des données devenant essentielle pour éviter des pénalités financières. Une application nécessite plus que les dernières fonctionnalités de sécurité : chaque composant doit être testé et les meilleures pratiques suivies pour développer une stratégie de cybersécurité robuste.
Cybermenaces pour les applications de commerce électronique
- Hameçonnage – Le phishing est un type d’attaque d’ingénierie sociale qui vise à inciter les victimes à cliquer sur un lien vers un site Web ou une application malveillante. Cela se fait en envoyant un e-mail ou un SMS donnant l’impression qu’il a été envoyé par une source fiable, telle qu’une banque ou un collègue de travail. Une fois sur le site malveillant, les utilisateurs peuvent saisir des données telles que des mots de passe ou des numéros de compte qui seront enregistrés.
- Logiciels malveillants/rançongiciels – Une fois infecté par un logiciel malveillant, toute une série d’activités peuvent avoir lieu sur un système, comme bloquer l’accès de personnes à leurs comptes. Les cybercriminels demandent ensuite un paiement pour réaccorder l’accès aux comptes et aux systèmes : c’est ce qu’on appelle un ransomware. Cependant, il existe toute une série de logiciels malveillants qui effectuent différentes actions.
- Écrémage électronique – L’e-skimming vole les détails des cartes de crédit et les données personnelles des pages de traitement des cartes de paiement sur les sites de commerce électronique. Ceci est réalisé via des attaques de phishing, des attaques par force brute, XSS ou peut-être à partir d’un site Web tiers compromis.
- Scripts intersites (XSS) – XSS injecte du code malveillant dans une page Web pour cibler les utilisateurs Web. Ce code, généralement Javascript, peut enregistrer les entrées de l’utilisateur ou surveiller l’activité des pages pour collecter des informations sensibles.
- Injection SQL – Si une application de commerce électronique stocke des données dans une base de données SQL, une attaque par injection SQL peut alors saisir une requête malveillante qui autorise un accès non autorisé au contenu de la base de données si celle-ci n’est pas correctement protégée. En plus de pouvoir visualiser les données, il peut également être possible de les manipuler dans certains cas.
Les différents domaines des tests de vulnérabilité
Il existe généralement 8 domaines critiques de tests de vulnérabilité, et leur méthodologie peut ensuite être décomposée en 6 phases.
8 domaines de tests de vulnérabilité
- Évaluation des vulnérabilités basées sur les applications Web
- Évaluation des vulnérabilités basée sur l’API
- Évaluation des vulnérabilités basées sur le réseau
- Évaluation des vulnérabilités basées sur l’hôte
- Évaluation de la vulnérabilité physique
- Évaluation de la vulnérabilité du réseau sans fil
- Évaluation des vulnérabilités basées sur le cloud
- Évaluation de la vulnérabilité à l’ingénierie sociale
Les 6 phases de la méthodologie d’évaluation de la vulnérabilité
- Déterminer les actifs critiques et à haut risque
- Effectuer une évaluation de vulnérabilité
- Effectuer une analyse de vulnérabilité et une évaluation des risques
- Corrigez toute vulnérabilité – par exemple, en appliquant des correctifs de sécurité ou en résolvant des problèmes de configuration.
- Évaluez comment le système peut être amélioré pour une sécurité optimale.
- Rapporter les résultats de l’évaluation et les mesures prises.
Pentesting en tant que service (PTaaS)
Les tests d’intrusion en tant que service (PTaaS) sont une plate-forme de livraison régulière et rentable tests de pénétration tout en renforçant la collaboration entre les fournisseurs de tests et leurs clients. Cela permet aux entreprises et aux organisations de détecter les vulnérabilités plus fréquemment.
PTaaS vs tests de stylet traditionnels
Les tests d’intrusion traditionnels sont effectués sur une base contractuelle et prennent souvent beaucoup de temps. C’est pourquoi ce type de test ne peut être effectué qu’une à deux fois par an. Le PTaaS, en revanche, permet des tests en continu, même à chaque modification du code temporel. PTaaS effectue des évaluations continues et en temps réel à l’aide d’une combinaison d’outils d’analyse automatisés et de techniques manuelles. Cela fournit une approche plus continue des besoins de sécurité et comble les lacunes qui surviennent lors des tests annuels.
Cliquez ici pour en savoir plus sur les avantages du PTaaS en demandant une démo en direct de la plateforme SWAT développée par Outpost24.
Conclusion
Les cyberattaques sur les sites Web de commerce électronique sont fréquentes, et même les plates-formes construites par des entreprises mondiales telles que Honda contiennent des vulnérabilités critiques découvertes au cours des 12 derniers mois.
Des tests de sécurité sont nécessaires pour évaluer la surface d’attaque complète d’une application de commerce électronique, protégeant à la fois l’entreprise et ses utilisateurs contre les cyberattaques telles que le phishing ou l’e-skimming.
Les tests d’intrusion en tant que service sont l’un des meilleurs moyens de protéger les plates-formes, en effectuant des analyses régulières pour fournir des évaluations continues des vulnérabilités afin qu’elles puissent être atténuées le plus rapidement possible.