Avec 90% des attaques ciblant la couche applicative, la protection des applications doit être une priorité. En particulier sur le Web.
Selon des chiffres du département américain de la sécurité intérieure, 90% des attaques ciblent la couche applicative. Et ceci pourrait s’expliquer par le fait que 57% des professionnels de la sécurité estiment que cette fameuse couche applicative est trop opaque, rendant sa sécurisation complexe (source Ponemon Institute). Pire : une analyse menée par l’éditeur Sonatype sur 1000 dépôts de logiciels a révélé que 10% du code hébergé n’a pas été mis à jour depuis au moins cinq ans.
Les attaques contre les applications – et en particulier sur le web – ont donc toutes les raisons de rester populaires auprès des pirates. Heureusement, le marché propose deux approches tout à fait complémentaires pour tenter d’inverser la tendance : l’une placée devant l’application à protéger, et l’autre en son coeur !
Le WAF en frontal des applications web
Le pare-feu applicatif web (Web Application Firewall, ou WAF) se place devant l’application et filtre le trafic qui lui est destiné. Fonctionnant à base de signatures le WAF va rechercher les signes d’attaques connues de type Top 10 de l’OWASP (voir encadré).
Installé devant l’application le WAF ne requiert aucune modification à cette dernière. Il sera donc idéal pour protéger une application vieillissante impossible à améliorer (en particulier lorsqu’un règlement tel PCI-DSS lui impose un certain nombre de fonctionnalités de sécurité !).
Un WAF pourra être installé en reverse proxy (offrant la meilleure protection au prix d’un impact potentiel plus important sur les performances), en mode pont de niveau 2 (un bon compromis) ou en mode hors-ligne (moins efficace en blocage, mais beaucoup moins intrusif)
La protection automatique du runtime (RASP)
Alors que le WAF est externe à l’application, l’approche du Runtime Application Self-Protection (RASP) est résolument interne : il s’agit de s’intercaler entre le code de l’application et les librairies qui lui sont nécessaires. La solution de RASP sera alors en mesure d’intercepter les appels aux librairies afin de bloquer ou de consigner les tentatives malveillantes.
Le RASP présente de nombreux avantages par rapport au WAF en termes de granularité et d’efficacité (connaissance précise du contexte d’exécution et de la logique métier). Mais cela se fait au prix de deux limitations de taille : en premier lieu la nécessité d’accéder dans certains cas (RASP par instrumentation) au code source de l’application et de déployer un outil spécifique sur le serveur.
Et puis surtout le fait que ces outils ne supportent à l’heure actuelle que les technologies Java et .NET.
Par ailleurs une analyse précise de l’application est nécessaire afin de créer une stratégie de protection adaptée.
Toutefois, si ces contraintes s’avèrent acceptables, l’approche RASP offrira probablement la meilleure protection applicative qu’il soit possible de déployer à ce jour.
Exigez l’OWASP Top 10 !
La meilleure façon de protéger une application est de bien la concevoir dès le départ !
Pour cela l’association américaine Open Web Application Security Project (OWASP) oeuvre depuis 16 ans à sensibiliser les développeurs web aux bonnes pratiques du développement sécurisé. L’association a produit des outils et des méthodologies remarquables qui facilitent le développement d’applications sécurisées et en simplifient les tests.
L’un de ces outils, bien que purement contractuel, est d’une redoutable efficacité : il s’agit d’une annexe prérédigée que tout donneur d’ordre pourra inclure au contrat de développement web qu’il s’apprête à signer. Cette annexe liste précisément les 10 points-clés de sécurité que l’application devra respecter pour être recevable. C’est simple, c’est très efficace et c’est gratuit !
https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex
