Au cours de l'année dernière, les attaques ciblant les applications web ont augmenté de 137 %, notamment dans la santé et l'industrie, deux secteurs particulièrement visés par une série d'intrusions basées sur les API et les applications. C’est ce qui ressort de l’analyse des données collectées auprès de ses clients par Akamai, le spécialiste du CDN. En 2022, ils ont été très régulièrement ciblés par des intrusions dans les fichiers locaux ou Local File Intrusions (LFI). Ces attaques consistent à usurper une application web afin d'exécuter du code à distance sur un serveur web ou d'accéder à des fichiers non autorisés. Akamai estime que la grande popularité de ces attaques laisse penser que cette technique sera encore très utilisée en 2023. « L'augmentation des attaques LFI indique que la technique est efficace, et les tests sont importants pour voir si l’on est vulnérable », préconise Akamai dans son rapport.
Les LFI en augmentation de 193 %
Entre 2021 et 2022, les attaques basées sur les LFI ont augmenté de 193 %, en grande partie parce que les sites web basés sur PHP y sont souvent vulnérables. Selon le rapport, huit sites web sur dix utilisent le langage de script PHP. Les niveaux globaux d'attaques d'applications web étaient nettement plus élevés en 2022 qu'en 2021, avec une moyenne de moins de 50 millions par jour en 2021 et plus proche de 100 millions en 2022. « Les attaquants utilisent les attaques LFI pour obtenir un accès et ils le font de plus en plus fréquemment », a déclaré Steve Winterfeld, consultant chez Akamai. Du côté des API, la vulnérabilité la plus citée par l'Open Web Application Security Project (OWASP) est désormais la défaillance des autorisation au niveau de l'objet ou BOLA (Broken Object-Level Authorization). Cette faille laisse les attaquants manipuler l'ID d'un objet dans une requête API, et à des utilisateurs non privilégiés de lire ou de supprimer les données d'un autre utilisateur.
Selon Akamai, cette modalité d’attaque présente un risque élevé, car son exécution ne nécessite pas de compétences techniques particulières et que la plupart des systèmes de sécurité ne distinguent pas ces intrusions du trafic normal. « La logique de détection doit faire la différence entre les connexions 1 à 1 et les connexions 1 à plusieurs entre les ressources et les utilisateurs », indique le rapport. « Les attaques BOLA postérieures à l'événement sont difficiles à détecter en raison de leur faible volume et parce qu'elles ne révèlent pas d'anomalies comportementales, comme l'injection ou le déni de service. « Un secteur vertical comme celui de la santé pourrait se retrouver dans la ligne de mire des attaquants d'applications web et d'API en 2023, car il est devenu un gros utilisateur d’appareils IoT médicaux, et il a développé un vaste écosystème d'applications et d'API autour d'eux », a déclaré le fournisseur. Un autre secteur cible est celui de la fabrication, où, de la même manière, les appareils IoT et les systèmes associés ont proliféré, entraînant une augmentation de 76 % des attaques médianes en 2022. Selon lui, tous les utilisateurs devraient avoir conscience de la menace croissante que représentent les attaques basées sur les applications et les API, et invite tous les acteurs à mettre à jour les plans d'action organisationnels pour y faire face.