Archives de catégorie : Drupal

Sécuriser les sites web, quelque soit le niveau du propriétaire

Un informaticien Français lance le défit d’un système capable de sécuriser les sites web, quelque soit le niveau du propriétaire, face aux malveillances numériques.

Flavien Normand, a 22 ans. Développeur, il a une dizaine de langage de programmation à son actif. Cet étudiant a commencé le développement informatique à l’âge de 15 ans, d’abord sur des émulateurs de jeu en ligne développés en Java. Trois ans plus tard, après avoir été la cible d’une tentative de fraude via un site de vente en ligne, il va se pencher sur la sécurité informatique. White Hat dans l’âme, il a très vite compris que ce n’est pas parce qu’on sait fracturer une serrure que l’on va le faire pour son propre intérêt.

Son premier projet, Whys, a été réalisé en solo au cours de ses premières années d’études à Nantes, au sein de l’IMIE. Un scanner de vulnérabilité qui regroupe plusieurs outils afin de trouver les failles sur son propre site et les corriger soi même. A noter que le code source de Whys est disponible, en open source. Bilan, ce premier essai dans la sécurité informatique l’a motivé à lancer un nouveau projet autour d’un outil de sécurité informatique qui pourra protéger les sites Internet, quelque soit le niveau du propriétaire. DataSecurityBreach a rencontré l’inventeur, interview !

DataSecurityBreach – Présentation du projet
Flavien Normand – Aujourd’hui, de plus en plus de sites web sont attaqués par deface « à l’aveugle », en utilisant des DORKS ou autre outil, les hackers attaquent des sites en trouvant directement un élément faillible dans celui-ci, et exploitent cette faille avec un script afin d’installer sur le serveur distant une pharmacie illégale, un phishing, un deface pour représenter une cause qu’ils veulent défendre ou bien simplement un ver pour utiliser la machine plus tard.

Les cibles les plus touchées dans ce type d’attaque sont les TPE, les PME et les blogs car elles n’ont pas les moyens de maintenir la sécurité sur leur site web, ou n’y allouent pas assez de temps/budget pour la plus grande partie, et les solutions de maintenance informatique disponibles aujourd’hui sont très chères. On retrouve souvent des arguments comme « mais personne ne va nous attaquer, on ne fait que…. » le soucis, c’est que personne n’a besoin de vous attaquer pour vous voler des données, mais ils peuvent simplement vous attaquer pour le « fun » ou pour préparer un DDoS en utilisant votre serveur, ou encore pour installer un phishing, etc. Vous avez sûrement déjà pu voir beaucoup d’exemples.

Le projet, pour l’instant baptisé Flawless, est présent pour résoudre ce soucis. Un scanner de vulnérabilité qui vous tiens au courant régulièrement de l’état de sécurité de votre application web, et vous averti en cas de faille, avec un service disponible pour fixer les failles trouvées.

DataSecurityBreach – Le principe de votre outil ?
Flavien Normand – Le concept du projet est simple: Sécuriser les sites web, quelque soit le niveau du propriétaire de celui-ci.

Le projet est donc un scanner de sécurité automatisé, vous inscrivez votre site, confirmez que vous êtes bien le propriétaire, puis vous réglez la fréquence des scans et leur horaire (vous pouvez par exemple demander 1 scan par semaine, le mardi à 4h du matin pour éviter tout soucis au niveau des tests les plus stressants). Une fois le scan terminé, vous recevez un email de synthèse du résultat vous expliquant si il y a des failles, avec les informations que nous avons trouvé dessus.

Si vous savez corriger la faille, ou que vous avez du personnel compétent pour trouver un fix à celle-ci, vous pouvez la fixer de votre coté, la mettre en production et demander un scan hors prévision pour vérifier que la faille est bel et bien fixée ou simplement attendre le prochain scan planifié.

Si vous ne savez pas corriger la faille, vous pouvez demander une prestation au près de notre équipe, qui se fera un plaisir de corriger et sécuriser votre application web.

DataSecurityBreach – Important de protéger les bloggueurs ?
Flavien Normand – Oui, il est important de protéger les blogueurs car ce sont les plus vulnérables. Aujourd’hui, n’importe qui peut se créer un blog sur son serveur mutualisé, il télécharge wordpress sur le site officiel, ou demande même directement un site avec wordpress installé (certains hébergeur font ça). Il installe les plugins et thèmes dont il a besoin, et ce sans connaître le développement web, pas besoin car les CMS sont présents pour cela.

6 mois plus tard, on retrouve notre petit blogueur, qui a une petite communauté sur son blog et aime partager ses articles quotidiens sur ses sujets favoris. Sauf que son fournisseur d’accès le contacte et lui bloque son site car celui-ci émet un nombre trop important de requêtes sortantes d’un coup. Il se demande ce qu’il se passe, et est bloqué car son blog est hacké, et il ne sait absolument pas comment corriger cela.

Mieux vaut prévenir que guérir ! Ce vieil adage est adapté pour le cas de la sécurité informatique, et dans notre exemple avec Mr blogueur, encore plus. En effet, flawless étant présent pour surveiller la présence de failles sur le site donné, il aurait pu prévenir notre blogueur de la faille, et simplement lui dire que son plugin d’envoi d’images était faillible, et qu’il fallait soit le mettre à jour, soit en choisir un autre (suivant les informations recueillies).

DataSecurityBreach – L’automatisation de la sécurité informatique, pas dangereux ?
Flavien Normand – J’entends par cela le fait que l’internaute se sent rassuré, donc ne met plus les mains dans son code.

Le but de l’outil n’est pas de corriger les failles à votre place, mais de les signaler. Si vous souhaitez par la suite une prestation pour fixer les failles en question, c’est un humain qui sera chargé de la tâche si celle-ci est spécifique, sinon un script sera mis à votre disposition et vous aurez simplement à le lancer, et le script, une fois terminé, se supprimera lui même, afin d’éviter toute fausse manipulation.

DataSecurityBreach – Cela vise quelle plateforme ?
Flavien Normand – L’application sera disponible sous forme d’un site web, avec une interface de gestion et un dashboard pour se tenir au courant des nouveautés, et de l’état général de son site en se basant sur les résultats des derniers scans.

DataSecurityBreach – Quel avenir pour votre projet ?
Flavien Normand – L’avenir du projet, c’est de devenir le pilier d’une startup, et de sécuriser un maximum de personnes en France et dans le monde, mais avant tout ceux qui en ont besoin et qui n’en ont pas forcément les ressources/le temps.

DataSecurityBreach – Et si votre outil est piraté ? La base de données des utilisateurs pourra permettre aux malveillants d’accéder à leurs failles ?
Flavien Normand – Avant tout, l’application est bien sûr sécurisée au maximum, mais comme il est essentiel de prévoir l’imprévu. Nos données sont donc stockées de manière à ce que même nos développeurs sont incapables de les lire, les seules entités capables de lire les données sont le serveur, et la personne qui aura développé le système de stockage (moi même).

Une faille corrigée dans Windows, problème pour Drupal et Yosemite

Depuis 19 ans, une faille présente dans Windows n’avait jamais été corrigée. Voilà qui est dorénavant de l’histoire ancienne.

Imaginez, un bug informatique connu et présent dans Windows depuis 19 ans. Depuis Windows 95, cette « faille » permettait dans certaines mesures difficiles (mais pas impossibles, ndlr zataz.com) de prendre la main sur un ordinateur. Une attaque possible à distance. Baptisée par les ingénieurs sécurité de chez IBM, inventeurs de la faille, WinShock, l’exploit permettait d’infiltrer un ordinateur sous Windows (95, 98, 2003, 2008, Vista, 7, 8) à distance. Il suffisait de mettre en place un site Internet particulièrement fabriqué (XSS, …) pour déclencher l’attaque via Internet Explorer. Microsoft a corrigé la faille… sauf pour Windows XP dont le support n’existe plus. « Les utilisateurs qui ont paramétré leur Windows de telle manière à recevoir automatiquement les mises à jour, ne doivent rien faire de particulier. Ils seront protégés » explique le service presse de Microsoft.

Pour novembre, Microsoft a publié un Patch Tuesday conséquent, avec 17 bulletins dont 5 concernent l’exécution de codes à distance (RCE), un type de vulnérabilité dont les pirates sont particulièrement friands. À ce jour, avec ces 17 bulletins, Microsoft en aura diffusé 79 en tout pour 2014. Nous finirons donc l’année sous la barre des 100 bulletins de sécurité, soit un peu moins qu’en 2013 et 2011 et à peu près autant qu’en 2012.

Pendant ce temps…
Une grave et importante faille a été découverte dans Drupal. La communauté Drupal, et son logiciel Open Source gratuit pour créer et administrer des sites Web, annonçait l’existence d’une vulnérabilité dans la couche d’API d’abstraction de base de données de Drupal 7. Cette vulnérabilité (CVE associé : CVE-2014-3704) permet à un pirate d’envoyer des requêtes personnalisées qui rendent arbitraire l’exécution de SQL. Selon le contenu des requêtes, ceci peut entraîner une élévation des privilèges, une exécution arbitraire de PHP ou d’autres attaques. Ce que nous savons La vulnérabilité affecte toutes les principales versions 7.x de Drupal antérieures à la 7.32. Survenue au moment de l’annonce de POODLE, cette vulnérabilité a été un peu occultée, même si elle est directement exploitable et similaire à Heartbleed.

Depuis le 15 octobre 2014, les exploits automatisés ciblant cette vulnérabilité spécifique ont semé le chaos sur Internet. L’équipe chargée de la sécurité Drupal conseille aux administrateurs de sites Web fonctionnant sous Drupal 7.x de considérer comme compromis les sites qui n’ont pas été mis à jour ou patchés avant le 15 octobre 2014, ou bien 7 heures après la première annonce de la vulnérabilité. Corriger ou mettre à niveau un site Web compromis ne suffira pas pour supprimer les portes dérobées et autres chevaux de Troie qui auraient pu être installés.

La société Qualys propose une vérification de cette vulnérabilité via son logiciel Qualys Freescan, accessible depuis son site Internet dédié.

Du côté d’Apple, une faille a été détectée dans la dernière version de l’OS de la grosse pomme, Mac OS X Yosemite. Le problème a été révélée par la société suédoise Truesec. Baptisée ‘RootPipe’, la faille pourrait permettre à un pirate, en local, de prendre la main sur l’ordinateur en mode administrateur. Un mode qui permet de faire tout et n’importe quoi dans la machine. Emil Kvarnhammar, l’inventeur de la probable faille n’a pas donné plus d’information. Il attend qu’Apple corrige. Un mot de passe sudo, il permet d’avoir des privilèges temporaires de super utilisateur, est demandé afin q’un administrateur puisse agir sur une machine sans pour autant être le Kalif à la place du Kalif. La faille RootPipe contournerait cette restriction sous  Mac OS X Yosemite, mais aussi sous Mountain Lion et Mavericks.

Les attaques visant les applications Web se multiplient

Applications de vente en ligne, sites hébergeant des données de consommateurs ainsi que WordPress sont aujourd’hui les principales cibles de ce type d’attaque.

Imperva, spécialiste en solutions de sécurité informatique, a publié les résultats de sa cinquième enquête annuelle consacrée aux attaques visant les applications Web (Webannuel Report Application Attack : WAAR). Réalisé par l’Application Defense Center(ADC), la cellule de recherche d’Imperva, ce rapport analyse un échantillon de 99 applications protégées par le pare-feu applicatif Web d’Imperva(WAF) sur une période de neuf mois (du 1er Août 2013 au 30 Avril 2014). Les principaux enseignements de cette édition font état d’une augmentation significative du trafic malveillant (dont on notait déjà l’explosion dans le précédent rapport), ils révèlent que les applications de vente en ligne sont les plus sensibles pour ce type d’attaque et que WordPress est l’application la plus attaquée. Enfin, les États-Unis se distinguent comme le pays d’origine de la majorité du trafic des attaques d’applications Web dans le monde.

Ce cinquième rapport témoigne d’une augmentation de 10% des attaques par SQL injection (SQLI), ainsi que d’une hausse de 24% des attaques par inclusion de fichier à distance (RFI). L’équipe de recherche de l’ADC a de plus constaté que la durée des attaques s’est considérablement prolongée ; Leur durée s’est en effet allongée de 44% par rapport au précédent rapport WAAR.

48,1% des campagnes d’attaque visent les applications de vente en ligne, suivie par les institutions financières qui représentent 10% des attaques.     Les sites conçus sous WordPress ont subit 24,1% d’attaques en plus que les sites Web qui utilisent d’autres systèmes de gestion de contenu (CMS), on observe également que WordPress souffre davantage (60% de plus) d’incidents de Cross Site Scripting (XSS) que les autres sites. Les applications PHP subissent trois fois plus d’attaques XSS que les applications .NET. Les sites Web qui ont une fonctionnalité « log-in », et qui contiennent par conséquent des données spécifiques aux consommateurs, représentent 59% de toutes les attaques, et 63% des injections SQL.

« Après des années à analyser les attaques de données ainsi que leurs origines, le rapport de cette année indique que les hackers quelque soient leur pays d’origine hébergent leurs attaques aux Etats-Unis afin d’être géographiquement plus proche de leurs cibles. Cela explique pourquoi les États-Unis génèrent la majorité du trafic mondial des attaques d’applications web », indique Amichai Shulman, Directeur de la technologie chez Imperva à Datasecuritybreach.fr. « En regardant de plus près d’autres sources d’attaques, nous nous sommes aperçus que les infrastructures-as-a-Service (IaaS) étaient de plus en plus utilisées par les hackers. Pour exemple, 20% des tentatives d’exploitation de vulnérabilités connues proviennent d’ Amazon Web Services. Mais ce n’est pas le seul; car le phénomène se développe et les autres fournisseurs de ce type d’infrastructures (IaaS) doivent être particulièrement vigilants quant à la compromission de leurs serveurs. Les hackers ne sont pas sélectifs quand il s’agit d’atteindre un Data Center ».

Faille dans Drupal et le théme OptimizePress de WordPress

Une vulnérabilité « hautement » critique a été identifiée dans le module OpenID utilisé par Drupal. La faille affecte les versions 6.x et 7.x de cet outil web. La vulnérabilité permet à un internaute malveillant de compromettre des comptes, y compris le compte de l’administrateur (Admin). Une autre faille de sécurité, «bypass acces » a été révélée. Elle est codifée comme étant modérément critique. Un pirate peut cependant accéder à certains contenus. Ces vulnérabilités ont été corrigées dans la dernière version de Drupal 6.30 et 7.26.

Pendant ce temps, du côté de chez WordPress, une vulnérabilité a été reperé dans OptimizePress. Un pirates pourrait s’en servir pour piéger des milliers de sites Web utilisateurs du CMS WordPress. C’est Sucuri qui a mis la main sur le problème. La vulnérabilité en question est cachée dans le code php situé à l’adresse lib/admin/media-upload.php. Un internaute malveillant peut télécharger n’importe quel type de documents dabs le dossier wp-content/uploads/optpress/images_comingsoon ». Autant dire qu’une fausse page, un logiciel malveillant pourraient permettre une attaque, par rebond, via le site ainsi exploité. Sucuri a détecté plus de 2000 sites Web sous OptimizePress. Des espaces qui ont été compromis par un iframe pirate qui téléchargé sur le poste informatique des visiteurs un logiciel espion. Près de 75% des sites infectés ont déjà été mis à l’index par Google. Le moteur de recherche les considérant, dorénavant, comme dangereux. Bref, une mise à jour s’impose.