Nos métiers

Nos métiers

Entre conseil, expertise et intégration, le cabinet Next Decision vous accompagne dans vos projets Data.

BI - Business intelligence

Big Data

Pilotage RSE / ESG

Organisation

Elaboration budgétaire

Gestion de la rémunération

MDM

Solution PIM

CRM

Gestion de projets

Business Apps

Google Apps

Contribution à l'enseignement
Editeurs BI

Editeurs BI

En tant que cabinet spécialisé dans l'informatique décisionnelle, Next Decision propose son expertise autour des technologies d'ETL.

ETL - Extract Transform Load

Effectuez des synchronisations massives d'information d'une source de données vers une autre.

Base de données

Préparez vos données de manière organisée au travers d’une structure adéquat.

Restitution

Présentez et analysez vos données.

Data Quality

Assurez-vous d'avoir des données propres et fiables.
Editeurs Big Data
Editeurs RSE / ESG
Autres éditeurs

Autres éditeurs

Nous vous accompagnons sur plusieurs champs technologiques pour développer vos projets digitaux.

MDM / PIM

ESB / API

Elaboration budgétaire

Gestion de la rémunération

Data Governance

PMO

Data Replication

Automatisation

BPM

GED

CRM

Modélisation

SIRH

E-Commerce
Formations

Formations

Next Decision vous accompagne dans votre formation et votre montée en compétence.

Théorie

Base de données

ETL

DevOps

Restitution

Big Data

MDM

ESB / API

Elaboration budgétaire

Organisation Digitalisation
Qui sommes-nous ?

Qui sommes-nous ?

“Ne pas se prendre au sérieux, tout en le faisant sérieusement”

Découvrir Next Decision

Découvrez l’histoire, l’esprit et l’ADN de l’entreprise de Data la plus décalée.

Actualités

Découvrez les événements que nous organisons.

Mécénat et engagement

Next Decision attache de l’importance aux valeurs humaines, elle le montre dans plusieurs projets à impact positif.
Recrutement
Wiki

Les failles de sécurité en informatique

Business App

Qu’est-ce qu’une faille de sécurité ?

Une faille de sécurité ou vulnérabilité, désigne en informatique toute faiblesse d’un système (ex : une application web), qui permettrait à une personne potentiellement malveillante d'altérer le fonctionnement normal du système ou encore d'accéder à des données non autorisées.

L’origine est généralement involontaire et peut résider dans la conception du logiciel ou un problème plus profond au niveau matériel.

Quelles sont les failles majeures ?

Les failles de sécurité sont des éléments importants à prendre en compte dans le développement de tout projet informatique. Un ensemble de bonnes pratiques et de réflexions permet déjà de s’en prémunir naturellement.

Le OWASP, ou Open Web Application Security Project, est une fondation qui publie et préconise un ensemble d’informations concernant les failles de sécurité sur le WEB.
Elle publie notamment un top 10 des failles de sécurité tous les 3/4 ans. Le dernier en date, de 2017, reprend les failles suivantes comme failles majeures :

Les injections

Une injection consiste à envoyer et faire exécuter du code par le serveur. L’idée est de capitaliser sur une faiblesse dans l’écriture du code de la partie backend permettant à un utilisateur de récupérer des données auxquelles il n’est pas censé avoir accès.

Un exemple classique est celui des injections SQL. L’exemple ci-dessous illustre une possible faille en altérant la requête SQL générée de son objectif initial, si l’utilisateur lui passe des paramètres non contrôlés.

Les failles de sécurité en informatique

Ainsi, si l'argument qu'envoie l'utilisateur est équivalent à ceci :

Les failles de sécurité en informatique

Une requête permettant de supprimer toutes les données pourra être exécutée :

Les failles de sécurité en informatique

Broken Authentication

Les failles de sécurité les plus répondues sont souvent les plus simples et exploitent parfois même les failles humaines via par exemple des “scam” ou arnaque visant à récupérer le mot de passe de l’utilisateur que celui-ci saisit délibérément croyant être sur un site bienveillant.

Cette faille comprend l’utilisation de mot de passe connu ou suffisamment faible (peu de complexité) pour qu’un logiciel puisse le retrouver facilement. Ou encore que justement le système d’authentification d’un système repose uniquement sur un mot de passe et non un couple mot de passe/validation par téléphone par exemple.

L'exposition de données sensibles

L’idée est ici pour un attaquant d'accéder ou d'altérer des données mal protégées. Il est très important, par exemple, de bien chiffrer les mots de passe stockés dans la base de données de son projet. En effet, même si demain une personne réussit à accéder à la base de données, il est important que celui-ci ne puisse pas lire ou déchiffrer les mots de passe suffisamment chiffrés, et ainsi limiter la valeur du butin que celui-ci aurait récupéré.

XML External Entities (XXE)

La communication entre deux éléments basés sur des échanges XML est un processus relativement ancien, bien qu'évidemment toujours utilisé. (Voir article : API REST vs SOAP vs Graph). Par extension de cela, il arrive que ce soit de vieux systèmes et potentiellement mal configurés qui utilisent cette technologie.

Il devient alors possible d’envoyer des XML contenant du code malicieux, permettant, au choix : de récupérer des fichiers (clé de chiffrement de mot de passe par exemple), d'accéder à des ressources privées ou encore de générer des attaques par déni de service sur la lecture de fichier potentiellement très grand.

Broken Access Control

Là encore, l’idée est assez simple : essayer d'accéder à des ressources non autorisées. Il arrive dans certaines applications que la gestion des rôles et les niveaux de sécurité soient mal implémentés. Ainsi, on peut imaginer, par exemple, un cas d’usage où une page est censée être uniquement accessible aux administrateurs. Pour aller sur cette page, l’utilisateur doit d’abord passer par un écran de connexion. Or, la faille pourrait résider dans le fait que si une personne rentre l’URL finale de destination, ici n’est pas le lieu la vérification du rôle d’administrateur et que donc la page soit accessible par tous.

Mauvaise configuration de sécurité

Des services mal configurés sont source de potentielles failles de sécurité. Il est parfois nécessaire de court-circuiter certains comportements de son application (ex : authentification en “dur”) lors du développement afin de faciliter le développement de celle-ci. Il est impératif de retirer ce genre de comportement lors d’une phase de production.

Il peut s’agir de code d’exemple laissé en place, qui fait office de démonstration en développement mais qui sont de véritables portes ouvertes en production. Ou encore, laisser l'accès à l’exploration du répertoire de l’application et ainsi rendre possible pour un attaquant de récupérer les codes sources.

Cross-Site Scripting XSS

Dans une application web dans laquelle l’utilisateur peut entrer des informations (ex : un forum) et que celles-ci peuvent générer donc du HTML ou JS à afficher sur d’autres pages, (ex : un commentaire, etc.), des failles XSS peuvent être présentes. L’idée est que grâce à ces entrées utilisateurs, une personne malveillante puisse inscrire du code qui pourrait être exécuté par d’autres utilisateurs sur leurs postes. Il devient alors possible de rediriger l'utilisateur vers un autre site, ou encore de lui voler ses cookies de connexion.

Désérialisation non sécurisée

Dans le cas d’une application moderne, le fonctionnement est généralement le suivant : une partie front communique avec avec une partie back via des API. Pour authentifier l’utilisateur, la partie back renvoie au front un token unique d’authentification. Ce jeton contient l’ensemble des informations de l’utilisateur : nom, rôles, etc. Si le jeton parvient à être déchiffré puis rechiffré grâce à une clé de chiffrement faible, il devient possible alors de modifier son rôle dans l’application et d’avoir accès à des ressources d’administrateur.

Utilisation de composants avec des failles de sécurité connues

Le problème s’explique de lui-même, il ne faut pas utiliser des composants ayant des failles de sécurité connues, et si c’est déjà le cas, il faut chercher à mettre à jour ou changer les composants en question.

Manque d'administration et de log

Bien qu’il ne s’agisse pas d’une faille en soi, le manque d’outil de supervision est un véritable problème dans la lutte, la recherche et la résolution d’une faille de sécurité. Comment trouver la source d’un problème sans données analytiques, et pire encore, comment être au courant de la présence d’une faille qui est actuellement exploitée ?

Les failles ont toujours existé dans les systèmes informatiques et existeront toujours. Le cœur de l’erreur est souvent humain, et la meilleure solution pour s’en prémunir est d’être au courant, rigoureux dans son travail et de prendre les mesures nécessaires. C’est ici que Next Decision intervient pour la réalisation de projets sécurisés.

Notre équipe Next Decision est à votre écoute pour réaliser de vos projets sécurisés ! Contactez-nous !