Selon un expert en sécurité, certes la quantité d'erreurs de codage continue de baisser sur les sites Internet, mais les entreprises tardent à réparer les failles qui pourraient être exploitées par des pirates, alors que ceux-ci ont a leur disposition des outils d'attaques de plus en plus performants.
« En 2011, le nombre moyen de vulnérabilités critiques introduites sur les sites web par les développeurs se situait autour de 148, donc moins que les 230 failles par site comptabilisées en 2010, et les 480 observées en 2009, » a déclaré Jeremiah Grossman, CTO de WhiteHat Security, une entreprise qui teste la sécurité des sites web des entreprises. Celui-ci s'exprimait en marge de la conférence Open Web Application Security Project qui se tenait à Sydney lundi.
« Ces vulnérabilités sont contenues dans le code même du site web et ne peuvent pas être réparées avec des patchs que pourraient livrer Microsoft ou Oracle par exemple, » a déclaré Jeremiah Grossman. Selon les statistiques de WhiteHat Security, il faut 100 jours en moyenne aux entreprises pour corriger environ la moitié de leurs vulnérabilités.
Un risque potentiel à ne pas négliger
Le risque, c'est que ces failles, qui restent longtemps en l'état, ne soient identifiées par un pirate, et entraînent une violation massive de données, comme celles dont Sony, ou l'agence Stratfor Global Intelligence, ou AT&T ont été les victimes. De leur côté, les pirates peaufinent leurs compétences et savent de mieux en mieux cibler leurs attaques. Ils ont aussi à leur disposition une gamme d'outils qu'ils améliorent sans cesse pour, notamment, repérer les failles de codage dans les sites Web. « Le nombre d'infractions progresse chaque année », a déclaré le CTO.
Les analystes de WhiteHat Security passent leur temps à essayer de pirater - avec leur permission - des sites Internet appartenant à de grandes institutions financières et à d'autres entreprises. Les développeurs de ces entreprises ne leur donnent aucune information, ne les préviennent pas quand ils ajoutent de nouvelles fonctionnalités ou s'ils font des modifications. Le travail des « pirates » de WhiteHat consiste spécifiquement à trouver des failles de type cross-site scripting (XSS) qui visent des éléments dynamiques, d'identifier celles qui permettraient des attaques par injection SQL ou des vulnérabilités susceptibles de laisser fuir des informations. « Notre rôle est de chercher à casser les sites sans relâche, » a déclaré le CTO. « Nous sommes des LulzSec ou des Anonymous 24 sur 24 et 7 jours sur 7. Nous n'arrêtons jamais ! ».
La sécurité n'est pas toujours une priorité
Si WhiteHat Security découvre une faille, l'entreprise décide ou pas de résoudre le problème. « Souvent, ce choix implique la réaffectation d'un développeur qui travaille déjà sur une nouvelle fonctionnalité que l'entreprise veut déployer, » a expliqué Jeremiah Grossman. Corriger ou non est un pari, puisque la vulnérabilité pourrait ne jamais être découverte par un pirate. Mais, si c'était le cas, elle pourrait au contraire coûter très cher à l'entreprise. « Faut-il ou non se passer d'un ou de plusieurs développeurs sur un projet pour les affecter à la correction d'une vulnérabilité identifiée, qui peut ou peut ne pas être exploitée, et peut ou non coûter de l'argent à l'entreprise ? » a encore déclaré le CTO.
La meilleure option possible c'est d'écrire un bon logiciel dès le début, en étant très attentif aux questions de sécurité. « Nous n'allons pas développer des logiciels parfaits. Mais nous pouvons créer des logiciels suffisamment bons », a déclaré Jeremiah Grossman.