Les codeurs conquièrent la sécurité : série Share & Learn - Protection insuffisante de la couche de transport
Même si vous avez complètement sécurisé un serveur d'applications et les systèmes principaux qu'il utilise, les communications peuvent toujours être vulnérables à l'espionnage si la protection de la couche de transport est insuffisante. Dans le monde physique, la raison pour laquelle les devises fortes sont déplacées à l'aide de véhicules blindés est de les protéger pendant leur transport. Peu importe la sécurité d'un magasin ou d'une banque si l'argent qu'il génère est chargé dans une voiturette de golf pour traverser la ville en voiture.
Il en va de même pour les couches de transport dans le cyberespace. Même si une application est sécurisée, il existe toujours une vulnérabilité critique si les informations qui y entrent sont envoyées sans aucune protection. Et certaines applications présentent une deuxième vulnérabilité si elles envoient également des informations à d'autres serveurs ou à une base de données. Ces informations peuvent être divulguées à des initiés qui n'ont aucune raison d'espionner ces transactions.
Pour protéger pleinement les utilisateurs et les données, il est nécessaire de protéger la couche transport. Ce n'est qu'ainsi que vous pourrez sécuriser totalement l'intégralité d'une transaction de bout en bout.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques peuvent exploiter une protection insuffisante de la couche de transport
- Pourquoi ne pas protéger la couche de transport est si dangereux
- Que peut-on faire pour sécuriser le transport de toutes les données entrant et transitant par une application ou un serveur ?
Comment les attaquants exploitent-ils une protection insuffisante de la couche de transport ?
Une protection insuffisante de la couche de transport peut permettre des attaques en deux points de votre flux de données. L'endroit le plus fréquemment exploité se situe entre un utilisateur et le serveur d'applications. Si les informations sont envoyées en clair ou avec un cryptage faible, les pirates informatiques seront en mesure de surveiller, de voler et éventuellement de modifier ces informations. Cela pourrait permettre aux pirates informatiques de voler la carte de crédit d'un utilisateur, ses informations de connexion ou tout autre élément envoyé au serveur d'applications. Même si le serveur lui-même est sécurisé, un pirate informatique surveillant le canal non sécurisé entre celui-ci et les utilisateurs pourrait obtenir un accès quasi illimité à de nombreuses informations.
Le deuxième point qui n'est souvent pas protégé est la couche de transport entre une application et le reste du réseau. Par exemple, un serveur d'applications peut traiter les commandes d'achat en ligne puis les envoyer à un système de distribution, ou les données peuvent simplement être transférées vers une base de données à des fins de stockage. Si ces canaux internes ne sont pas protégés, les utilisateurs internes pourront peut-être voir ces informations.
Il est bon de croire que tous les utilisateurs internes sont de bonnes personnes, mais le fait est que les menaces internes sont en hausse dans de nombreux secteurs. Des initiés ont été surpris en train d'accepter des pots-de-vin en échange de la collecte d'informations sensibles pour des attaquants ou des concurrents. Et avoir accès à des milliers de cartes de crédit valides peut être tout simplement trop tentant pour que certaines personnes puissent l'ignorer.
En termes de techniques d'attaque, il n'est pas très difficile d'intercepter des communications non protégées. Même les pirates informatiques de niveau inférieur savent comment effectuer des attaques de type « man-in-the-middle » contre des flux de données non chiffrés. S'ils ne le font pas, il existe des vidéos en ligne qui peuvent les entraîner en moins d'une demi-heure.
Pourquoi les vulnérabilités de protection de la couche de transport insuffisantes sont-elles si dangereuses ?
Le fait de disposer d'une protection insuffisante ou inexistante sur les couches de transport est dangereux car cela permet aux pirates de collecter très facilement des informations sensibles. Ils n'ont pas besoin de pénétrer dans le serveur de votre application ou de pirater votre réseau. Ils ont simplement mis en place une attaque de type « man in the middle » et lisent tout ce qui est envoyé sur un serveur par les utilisateurs. Cela peut inclure des noms d'utilisateur et des mots de passe qui peuvent être utilisés pour contourner la sécurité à l'avenir à l'aide d'informations d'identification valides. Selon l'application, cela peut également inclure des informations de carte de crédit ou d'autres données personnelles concernant les utilisateurs.
Et il est important de noter que tout cet espionnage a lieu en dehors de votre réseau. Si vous utilisez des canaux de transport non sécurisés, il n'y a aucun moyen de savoir si quelqu'un capture ces informations. Normalement, le premier signe est lorsque de nombreux utilisateurs commencent à signaler des comptes compromis ou des achats par carte de crédit, et le point commun est que votre application « n'est pas un bon endroit où se trouver ». Les pirates peuvent également modifier les informations une fois qu'ils les possèdent, en modifiant l'adresse de livraison par exemple, ou même en insérant des scripts malveillants dans la réponse du serveur avant de les transmettre aux utilisateurs.
Sur le backend, l'échec de la sécurisation de la couche de transport expose les données à des initiés. Il est probablement beaucoup moins probable qu'un initié espionne la couche de transport par rapport à des pirates informatiques extérieurs faisant de même. Mais c'est également plus dangereux si cela se produit, car la menace interne pourra voir non seulement les données des utilisateurs, mais également toutes les informations exclusives ajoutées par le serveur de l'application avant d'envoyer ces paquets.
Élimination des vulnérabilités de protection de la couche de transport insuffisantes
Aussi dangereuse que puisse être une protection insuffisante de la couche de transport, il n'est pas extrêmement difficile de sécuriser correctement tous vos canaux de transport. Cela commence par l'infrastructure principale. Il doit s'agir exclusivement de HTTPS, veillez à ne pas mélanger HTTPS et HTTP sur un site. Enfin, maintenez un certificat SSL valide avec une taille de clé minimale de 2048 bits tout en obligeant tous les utilisateurs à interagir à l'aide de navigateurs sécurisés dotés de la technologie HTTP Strict Transport Security (HSTS).
Une fois l'infrastructure en place, les développeurs doivent utiliser un protocole robuste pour protéger la couche de transport. Idéalement, TLS 1.2 devrait être utilisé, bien que TLS 1.1 et 1.0 soient également acceptables en cas d'absolue nécessité. Une fois que cela sera en place, les protocoles faibles tels que SSLv2 devraient être complètement désactivés et ne jamais être pris en charge.
Il faut également veiller à ce que les chiffrements cryptographiques soient suffisamment puissants sur le backend. Idéalement, la taille minimale de la clé de session doit être de 128 bits. Comme pour les protocoles, la prise en charge des algorithmes cryptographiques faibles tels que DES et RC4-40 doit être désactivée. Enfin, ne considérez pas qu'une application est vraiment sécurisée tant que le serveur lui-même et tous les chemins de données qui y entrent et en sortent ne sont pas suffisamment protégés.
Informations supplémentaires sur les vulnérabilités de protection insuffisante de la couche de transport
Pour en savoir plus, vous pouvez consulter l'OWASP guide de protection couches de transport. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Même si vous avez complètement sécurisé un serveur d'applications et les systèmes principaux qu'il utilise, les communications peuvent toujours être vulnérables à l'espionnage si la protection de la couche de transport est insuffisante.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Même si vous avez complètement sécurisé un serveur d'applications et les systèmes principaux qu'il utilise, les communications peuvent toujours être vulnérables à l'espionnage si la protection de la couche de transport est insuffisante. Dans le monde physique, la raison pour laquelle les devises fortes sont déplacées à l'aide de véhicules blindés est de les protéger pendant leur transport. Peu importe la sécurité d'un magasin ou d'une banque si l'argent qu'il génère est chargé dans une voiturette de golf pour traverser la ville en voiture.
Il en va de même pour les couches de transport dans le cyberespace. Même si une application est sécurisée, il existe toujours une vulnérabilité critique si les informations qui y entrent sont envoyées sans aucune protection. Et certaines applications présentent une deuxième vulnérabilité si elles envoient également des informations à d'autres serveurs ou à une base de données. Ces informations peuvent être divulguées à des initiés qui n'ont aucune raison d'espionner ces transactions.
Pour protéger pleinement les utilisateurs et les données, il est nécessaire de protéger la couche transport. Ce n'est qu'ainsi que vous pourrez sécuriser totalement l'intégralité d'une transaction de bout en bout.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques peuvent exploiter une protection insuffisante de la couche de transport
- Pourquoi ne pas protéger la couche de transport est si dangereux
- Que peut-on faire pour sécuriser le transport de toutes les données entrant et transitant par une application ou un serveur ?
Comment les attaquants exploitent-ils une protection insuffisante de la couche de transport ?
Une protection insuffisante de la couche de transport peut permettre des attaques en deux points de votre flux de données. L'endroit le plus fréquemment exploité se situe entre un utilisateur et le serveur d'applications. Si les informations sont envoyées en clair ou avec un cryptage faible, les pirates informatiques seront en mesure de surveiller, de voler et éventuellement de modifier ces informations. Cela pourrait permettre aux pirates informatiques de voler la carte de crédit d'un utilisateur, ses informations de connexion ou tout autre élément envoyé au serveur d'applications. Même si le serveur lui-même est sécurisé, un pirate informatique surveillant le canal non sécurisé entre celui-ci et les utilisateurs pourrait obtenir un accès quasi illimité à de nombreuses informations.
Le deuxième point qui n'est souvent pas protégé est la couche de transport entre une application et le reste du réseau. Par exemple, un serveur d'applications peut traiter les commandes d'achat en ligne puis les envoyer à un système de distribution, ou les données peuvent simplement être transférées vers une base de données à des fins de stockage. Si ces canaux internes ne sont pas protégés, les utilisateurs internes pourront peut-être voir ces informations.
Il est bon de croire que tous les utilisateurs internes sont de bonnes personnes, mais le fait est que les menaces internes sont en hausse dans de nombreux secteurs. Des initiés ont été surpris en train d'accepter des pots-de-vin en échange de la collecte d'informations sensibles pour des attaquants ou des concurrents. Et avoir accès à des milliers de cartes de crédit valides peut être tout simplement trop tentant pour que certaines personnes puissent l'ignorer.
En termes de techniques d'attaque, il n'est pas très difficile d'intercepter des communications non protégées. Même les pirates informatiques de niveau inférieur savent comment effectuer des attaques de type « man-in-the-middle » contre des flux de données non chiffrés. S'ils ne le font pas, il existe des vidéos en ligne qui peuvent les entraîner en moins d'une demi-heure.
Pourquoi les vulnérabilités de protection de la couche de transport insuffisantes sont-elles si dangereuses ?
Le fait de disposer d'une protection insuffisante ou inexistante sur les couches de transport est dangereux car cela permet aux pirates de collecter très facilement des informations sensibles. Ils n'ont pas besoin de pénétrer dans le serveur de votre application ou de pirater votre réseau. Ils ont simplement mis en place une attaque de type « man in the middle » et lisent tout ce qui est envoyé sur un serveur par les utilisateurs. Cela peut inclure des noms d'utilisateur et des mots de passe qui peuvent être utilisés pour contourner la sécurité à l'avenir à l'aide d'informations d'identification valides. Selon l'application, cela peut également inclure des informations de carte de crédit ou d'autres données personnelles concernant les utilisateurs.
Et il est important de noter que tout cet espionnage a lieu en dehors de votre réseau. Si vous utilisez des canaux de transport non sécurisés, il n'y a aucun moyen de savoir si quelqu'un capture ces informations. Normalement, le premier signe est lorsque de nombreux utilisateurs commencent à signaler des comptes compromis ou des achats par carte de crédit, et le point commun est que votre application « n'est pas un bon endroit où se trouver ». Les pirates peuvent également modifier les informations une fois qu'ils les possèdent, en modifiant l'adresse de livraison par exemple, ou même en insérant des scripts malveillants dans la réponse du serveur avant de les transmettre aux utilisateurs.
Sur le backend, l'échec de la sécurisation de la couche de transport expose les données à des initiés. Il est probablement beaucoup moins probable qu'un initié espionne la couche de transport par rapport à des pirates informatiques extérieurs faisant de même. Mais c'est également plus dangereux si cela se produit, car la menace interne pourra voir non seulement les données des utilisateurs, mais également toutes les informations exclusives ajoutées par le serveur de l'application avant d'envoyer ces paquets.
Élimination des vulnérabilités de protection de la couche de transport insuffisantes
Aussi dangereuse que puisse être une protection insuffisante de la couche de transport, il n'est pas extrêmement difficile de sécuriser correctement tous vos canaux de transport. Cela commence par l'infrastructure principale. Il doit s'agir exclusivement de HTTPS, veillez à ne pas mélanger HTTPS et HTTP sur un site. Enfin, maintenez un certificat SSL valide avec une taille de clé minimale de 2048 bits tout en obligeant tous les utilisateurs à interagir à l'aide de navigateurs sécurisés dotés de la technologie HTTP Strict Transport Security (HSTS).
Une fois l'infrastructure en place, les développeurs doivent utiliser un protocole robuste pour protéger la couche de transport. Idéalement, TLS 1.2 devrait être utilisé, bien que TLS 1.1 et 1.0 soient également acceptables en cas d'absolue nécessité. Une fois que cela sera en place, les protocoles faibles tels que SSLv2 devraient être complètement désactivés et ne jamais être pris en charge.
Il faut également veiller à ce que les chiffrements cryptographiques soient suffisamment puissants sur le backend. Idéalement, la taille minimale de la clé de session doit être de 128 bits. Comme pour les protocoles, la prise en charge des algorithmes cryptographiques faibles tels que DES et RC4-40 doit être désactivée. Enfin, ne considérez pas qu'une application est vraiment sécurisée tant que le serveur lui-même et tous les chemins de données qui y entrent et en sortent ne sont pas suffisamment protégés.
Informations supplémentaires sur les vulnérabilités de protection insuffisante de la couche de transport
Pour en savoir plus, vous pouvez consulter l'OWASP guide de protection couches de transport. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Même si vous avez complètement sécurisé un serveur d'applications et les systèmes principaux qu'il utilise, les communications peuvent toujours être vulnérables à l'espionnage si la protection de la couche de transport est insuffisante. Dans le monde physique, la raison pour laquelle les devises fortes sont déplacées à l'aide de véhicules blindés est de les protéger pendant leur transport. Peu importe la sécurité d'un magasin ou d'une banque si l'argent qu'il génère est chargé dans une voiturette de golf pour traverser la ville en voiture.
Il en va de même pour les couches de transport dans le cyberespace. Même si une application est sécurisée, il existe toujours une vulnérabilité critique si les informations qui y entrent sont envoyées sans aucune protection. Et certaines applications présentent une deuxième vulnérabilité si elles envoient également des informations à d'autres serveurs ou à une base de données. Ces informations peuvent être divulguées à des initiés qui n'ont aucune raison d'espionner ces transactions.
Pour protéger pleinement les utilisateurs et les données, il est nécessaire de protéger la couche transport. Ce n'est qu'ainsi que vous pourrez sécuriser totalement l'intégralité d'une transaction de bout en bout.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques peuvent exploiter une protection insuffisante de la couche de transport
- Pourquoi ne pas protéger la couche de transport est si dangereux
- Que peut-on faire pour sécuriser le transport de toutes les données entrant et transitant par une application ou un serveur ?
Comment les attaquants exploitent-ils une protection insuffisante de la couche de transport ?
Une protection insuffisante de la couche de transport peut permettre des attaques en deux points de votre flux de données. L'endroit le plus fréquemment exploité se situe entre un utilisateur et le serveur d'applications. Si les informations sont envoyées en clair ou avec un cryptage faible, les pirates informatiques seront en mesure de surveiller, de voler et éventuellement de modifier ces informations. Cela pourrait permettre aux pirates informatiques de voler la carte de crédit d'un utilisateur, ses informations de connexion ou tout autre élément envoyé au serveur d'applications. Même si le serveur lui-même est sécurisé, un pirate informatique surveillant le canal non sécurisé entre celui-ci et les utilisateurs pourrait obtenir un accès quasi illimité à de nombreuses informations.
Le deuxième point qui n'est souvent pas protégé est la couche de transport entre une application et le reste du réseau. Par exemple, un serveur d'applications peut traiter les commandes d'achat en ligne puis les envoyer à un système de distribution, ou les données peuvent simplement être transférées vers une base de données à des fins de stockage. Si ces canaux internes ne sont pas protégés, les utilisateurs internes pourront peut-être voir ces informations.
Il est bon de croire que tous les utilisateurs internes sont de bonnes personnes, mais le fait est que les menaces internes sont en hausse dans de nombreux secteurs. Des initiés ont été surpris en train d'accepter des pots-de-vin en échange de la collecte d'informations sensibles pour des attaquants ou des concurrents. Et avoir accès à des milliers de cartes de crédit valides peut être tout simplement trop tentant pour que certaines personnes puissent l'ignorer.
En termes de techniques d'attaque, il n'est pas très difficile d'intercepter des communications non protégées. Même les pirates informatiques de niveau inférieur savent comment effectuer des attaques de type « man-in-the-middle » contre des flux de données non chiffrés. S'ils ne le font pas, il existe des vidéos en ligne qui peuvent les entraîner en moins d'une demi-heure.
Pourquoi les vulnérabilités de protection de la couche de transport insuffisantes sont-elles si dangereuses ?
Le fait de disposer d'une protection insuffisante ou inexistante sur les couches de transport est dangereux car cela permet aux pirates de collecter très facilement des informations sensibles. Ils n'ont pas besoin de pénétrer dans le serveur de votre application ou de pirater votre réseau. Ils ont simplement mis en place une attaque de type « man in the middle » et lisent tout ce qui est envoyé sur un serveur par les utilisateurs. Cela peut inclure des noms d'utilisateur et des mots de passe qui peuvent être utilisés pour contourner la sécurité à l'avenir à l'aide d'informations d'identification valides. Selon l'application, cela peut également inclure des informations de carte de crédit ou d'autres données personnelles concernant les utilisateurs.
Et il est important de noter que tout cet espionnage a lieu en dehors de votre réseau. Si vous utilisez des canaux de transport non sécurisés, il n'y a aucun moyen de savoir si quelqu'un capture ces informations. Normalement, le premier signe est lorsque de nombreux utilisateurs commencent à signaler des comptes compromis ou des achats par carte de crédit, et le point commun est que votre application « n'est pas un bon endroit où se trouver ». Les pirates peuvent également modifier les informations une fois qu'ils les possèdent, en modifiant l'adresse de livraison par exemple, ou même en insérant des scripts malveillants dans la réponse du serveur avant de les transmettre aux utilisateurs.
Sur le backend, l'échec de la sécurisation de la couche de transport expose les données à des initiés. Il est probablement beaucoup moins probable qu'un initié espionne la couche de transport par rapport à des pirates informatiques extérieurs faisant de même. Mais c'est également plus dangereux si cela se produit, car la menace interne pourra voir non seulement les données des utilisateurs, mais également toutes les informations exclusives ajoutées par le serveur de l'application avant d'envoyer ces paquets.
Élimination des vulnérabilités de protection de la couche de transport insuffisantes
Aussi dangereuse que puisse être une protection insuffisante de la couche de transport, il n'est pas extrêmement difficile de sécuriser correctement tous vos canaux de transport. Cela commence par l'infrastructure principale. Il doit s'agir exclusivement de HTTPS, veillez à ne pas mélanger HTTPS et HTTP sur un site. Enfin, maintenez un certificat SSL valide avec une taille de clé minimale de 2048 bits tout en obligeant tous les utilisateurs à interagir à l'aide de navigateurs sécurisés dotés de la technologie HTTP Strict Transport Security (HSTS).
Une fois l'infrastructure en place, les développeurs doivent utiliser un protocole robuste pour protéger la couche de transport. Idéalement, TLS 1.2 devrait être utilisé, bien que TLS 1.1 et 1.0 soient également acceptables en cas d'absolue nécessité. Une fois que cela sera en place, les protocoles faibles tels que SSLv2 devraient être complètement désactivés et ne jamais être pris en charge.
Il faut également veiller à ce que les chiffrements cryptographiques soient suffisamment puissants sur le backend. Idéalement, la taille minimale de la clé de session doit être de 128 bits. Comme pour les protocoles, la prise en charge des algorithmes cryptographiques faibles tels que DES et RC4-40 doit être désactivée. Enfin, ne considérez pas qu'une application est vraiment sécurisée tant que le serveur lui-même et tous les chemins de données qui y entrent et en sortent ne sont pas suffisamment protégés.
Informations supplémentaires sur les vulnérabilités de protection insuffisante de la couche de transport
Pour en savoir plus, vous pouvez consulter l'OWASP guide de protection couches de transport. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Même si vous avez complètement sécurisé un serveur d'applications et les systèmes principaux qu'il utilise, les communications peuvent toujours être vulnérables à l'espionnage si la protection de la couche de transport est insuffisante. Dans le monde physique, la raison pour laquelle les devises fortes sont déplacées à l'aide de véhicules blindés est de les protéger pendant leur transport. Peu importe la sécurité d'un magasin ou d'une banque si l'argent qu'il génère est chargé dans une voiturette de golf pour traverser la ville en voiture.
Il en va de même pour les couches de transport dans le cyberespace. Même si une application est sécurisée, il existe toujours une vulnérabilité critique si les informations qui y entrent sont envoyées sans aucune protection. Et certaines applications présentent une deuxième vulnérabilité si elles envoient également des informations à d'autres serveurs ou à une base de données. Ces informations peuvent être divulguées à des initiés qui n'ont aucune raison d'espionner ces transactions.
Pour protéger pleinement les utilisateurs et les données, il est nécessaire de protéger la couche transport. Ce n'est qu'ainsi que vous pourrez sécuriser totalement l'intégralité d'une transaction de bout en bout.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques peuvent exploiter une protection insuffisante de la couche de transport
- Pourquoi ne pas protéger la couche de transport est si dangereux
- Que peut-on faire pour sécuriser le transport de toutes les données entrant et transitant par une application ou un serveur ?
Comment les attaquants exploitent-ils une protection insuffisante de la couche de transport ?
Une protection insuffisante de la couche de transport peut permettre des attaques en deux points de votre flux de données. L'endroit le plus fréquemment exploité se situe entre un utilisateur et le serveur d'applications. Si les informations sont envoyées en clair ou avec un cryptage faible, les pirates informatiques seront en mesure de surveiller, de voler et éventuellement de modifier ces informations. Cela pourrait permettre aux pirates informatiques de voler la carte de crédit d'un utilisateur, ses informations de connexion ou tout autre élément envoyé au serveur d'applications. Même si le serveur lui-même est sécurisé, un pirate informatique surveillant le canal non sécurisé entre celui-ci et les utilisateurs pourrait obtenir un accès quasi illimité à de nombreuses informations.
Le deuxième point qui n'est souvent pas protégé est la couche de transport entre une application et le reste du réseau. Par exemple, un serveur d'applications peut traiter les commandes d'achat en ligne puis les envoyer à un système de distribution, ou les données peuvent simplement être transférées vers une base de données à des fins de stockage. Si ces canaux internes ne sont pas protégés, les utilisateurs internes pourront peut-être voir ces informations.
Il est bon de croire que tous les utilisateurs internes sont de bonnes personnes, mais le fait est que les menaces internes sont en hausse dans de nombreux secteurs. Des initiés ont été surpris en train d'accepter des pots-de-vin en échange de la collecte d'informations sensibles pour des attaquants ou des concurrents. Et avoir accès à des milliers de cartes de crédit valides peut être tout simplement trop tentant pour que certaines personnes puissent l'ignorer.
En termes de techniques d'attaque, il n'est pas très difficile d'intercepter des communications non protégées. Même les pirates informatiques de niveau inférieur savent comment effectuer des attaques de type « man-in-the-middle » contre des flux de données non chiffrés. S'ils ne le font pas, il existe des vidéos en ligne qui peuvent les entraîner en moins d'une demi-heure.
Pourquoi les vulnérabilités de protection de la couche de transport insuffisantes sont-elles si dangereuses ?
Le fait de disposer d'une protection insuffisante ou inexistante sur les couches de transport est dangereux car cela permet aux pirates de collecter très facilement des informations sensibles. Ils n'ont pas besoin de pénétrer dans le serveur de votre application ou de pirater votre réseau. Ils ont simplement mis en place une attaque de type « man in the middle » et lisent tout ce qui est envoyé sur un serveur par les utilisateurs. Cela peut inclure des noms d'utilisateur et des mots de passe qui peuvent être utilisés pour contourner la sécurité à l'avenir à l'aide d'informations d'identification valides. Selon l'application, cela peut également inclure des informations de carte de crédit ou d'autres données personnelles concernant les utilisateurs.
Et il est important de noter que tout cet espionnage a lieu en dehors de votre réseau. Si vous utilisez des canaux de transport non sécurisés, il n'y a aucun moyen de savoir si quelqu'un capture ces informations. Normalement, le premier signe est lorsque de nombreux utilisateurs commencent à signaler des comptes compromis ou des achats par carte de crédit, et le point commun est que votre application « n'est pas un bon endroit où se trouver ». Les pirates peuvent également modifier les informations une fois qu'ils les possèdent, en modifiant l'adresse de livraison par exemple, ou même en insérant des scripts malveillants dans la réponse du serveur avant de les transmettre aux utilisateurs.
Sur le backend, l'échec de la sécurisation de la couche de transport expose les données à des initiés. Il est probablement beaucoup moins probable qu'un initié espionne la couche de transport par rapport à des pirates informatiques extérieurs faisant de même. Mais c'est également plus dangereux si cela se produit, car la menace interne pourra voir non seulement les données des utilisateurs, mais également toutes les informations exclusives ajoutées par le serveur de l'application avant d'envoyer ces paquets.
Élimination des vulnérabilités de protection de la couche de transport insuffisantes
Aussi dangereuse que puisse être une protection insuffisante de la couche de transport, il n'est pas extrêmement difficile de sécuriser correctement tous vos canaux de transport. Cela commence par l'infrastructure principale. Il doit s'agir exclusivement de HTTPS, veillez à ne pas mélanger HTTPS et HTTP sur un site. Enfin, maintenez un certificat SSL valide avec une taille de clé minimale de 2048 bits tout en obligeant tous les utilisateurs à interagir à l'aide de navigateurs sécurisés dotés de la technologie HTTP Strict Transport Security (HSTS).
Une fois l'infrastructure en place, les développeurs doivent utiliser un protocole robuste pour protéger la couche de transport. Idéalement, TLS 1.2 devrait être utilisé, bien que TLS 1.1 et 1.0 soient également acceptables en cas d'absolue nécessité. Une fois que cela sera en place, les protocoles faibles tels que SSLv2 devraient être complètement désactivés et ne jamais être pris en charge.
Il faut également veiller à ce que les chiffrements cryptographiques soient suffisamment puissants sur le backend. Idéalement, la taille minimale de la clé de session doit être de 128 bits. Comme pour les protocoles, la prise en charge des algorithmes cryptographiques faibles tels que DES et RC4-40 doit être désactivée. Enfin, ne considérez pas qu'une application est vraiment sécurisée tant que le serveur lui-même et tous les chemins de données qui y entrent et en sortent ne sont pas suffisamment protégés.
Informations supplémentaires sur les vulnérabilités de protection insuffisante de la couche de transport
Pour en savoir plus, vous pouvez consulter l'OWASP guide de protection couches de transport. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
