Le vol de données de consommateurs sur des sites Web populaires a été très important l’année dernière.
L’exemple de l’attaque qu’a subi Yahoo! est particulièrement marquant avec plus d’1 milliard de comptes d'utilisateurs compromis en 2013, ce qui en fait la plus grande brèche de l'histoire. Nom, prénom, adresse email, numéros de téléphone, date de naissance, mots de passe, toutes ces informations sensibles sont passées aux mains des hackeurs, et sont ensuite revendues sur le darknet.
Et cette tendance n’est pas prête de s’inverser. La plupart des observateurs s'attendent à ce que la fréquence des cyber-attaques augmente en 2017, en partie à cause de la facilité avec laquelle des attaques contre les applications Web peuvent être lancées. Si les attaques DDoS touchent les couches basses du réseau et sont lancées pour rendre le service inaccessible, les attaques courantes telles que les injections SQL ou les failles de type "zero-day" permettent d’accéder au contenu du site et à sa base de données. Notamment parce qu’elles touchent à la couche applicative, bien plus vulnérable que le réseau.
Pour se protéger contre ces attaques, le pare-feu pour les applications Web (Web Application Firewall ou WAF) est le tampon entre l’architecture des entreprises, les internautes et les hackeurs. Il analyse et filtre les requêtes externes et identifie les activités frauduleuses. Le WAF est constitué de plusieurs logiciels pouvant détecter les signatures d'attaques, et filtrer et rediriger uniquement le trafic légitime vers le serveur origine. Ainsi tout le trafic vers un site Web passe par le WAF afin qu'il puisse détecter et bloquer les attaques.
Si le WAF était, au départ, uniquement sur-site, cette solution est en passe d’être obsolète avec l’intégration du cloud au sein des entreprises. Le développement de la bande passante a permis cette évolution vers la protection dans le cloud. Au-delà, des avantages classiques du cloud (Capex vs Opex, un time-to-market réduit, pas d’investissement de grande ampleur…), le WAF apporte une couche supplémentaire de protection tout en étant intégrée au CDN, qui permet déjà de cacher l’IP du serveur origine.
De plus, les règles de l'OWASP (Open Web Application Security Project) définissent un standard de sécurité applicative dans le cloud soit les dix principaux risques de sécurité des applications, permettant ainsi au WAF de détecter les attaques en filtrant le trafic. En outre, un centre d'opérations de sécurité surveille les nouvelles menaces. Lorsqu'une nouvelle vulnérabilité est identifiée, le centre d'opérations crée une nouvelle règle de sécurité et la transmet au WAF. Ce faisant, les correctifs concernant les failles de type "zero-day" peuvent être très rapidement mises en place dans le cloud, bien avant les correctifs des fournisseurs d'applications sur-site, les clients de ces solutions devant télécharger le patch et mettre à jour le logiciel. Le WAF dans le cloud, lui, va pouvoir se mettre à jour dès que le correctif est prêt, sans intervention humaine.
L'implémentation dans les divers appareils des couches de sécurité nécessaires va prendre du temps. En attendant, les services dans le cloud permettent aux organisations de se protéger grâce aux solutions anti DDoS de dernière technologie par exemple. Celles-ci seront de préférence intégrées au CDN afin de faciliter la mise en place. Néanmoins, les attaques DDoS qui visent à faire tomber un serveur d’origine sont de plus en plus utilisées pour cacher un vol de données. Une protection WAF couplée à une solution stoppant les attaques DDoS est donc un duo qui deviendra très certainement prochainement la norme.