Radware dresse un catalogue inquiétant des nouvelles menaces Web : « faux utilisateur », attaques non liées à une vulnérabilité… Par ailleurs les dénis de services devraient prendre de l’ampleur.
Les équipes de sécurité de Radware, qui suivent les tentatives d’attaque sur les systèmes informatiques, ont dégagé les principales tendances actuelles de la cybercriminalité.
Selon Christophe Leblanc, directeur technique EMEA de la société, les attaques non liées à une vulnérabilité sont une des principales menaces émergentes. « Ces attaques n’exploitent pas les vulnérabilités applicatives mais plutôt les transactions applicatives légitimes à des fins malveillantes. Ainsi, elles ne peuvent pas être détectées par les outils standards de sécurité réseau. Il s’agit, par exemple, des attaques de type brute force qui vont saturer le système d’authentification d’une entreprise et empêcher les utilisateurs légitimes de se connecter, mais également les attaques reposant sur des débordements de page HTTP, ayant pour origine des réseaux de bots et ciblant massivement les ressources de serveur d’applications, ou bien encore du piratage d’applications Web qui consiste à analyser un site Web pour trouver des pages vulnérables. »
Christophe Leblanc estime par ailleurs que les attaques DdoS (déni de service distribué), qui après s’en être pris en 2007 et 2008 à l’Estonie et à la Géorgie, ont visé l’été dernier les sites Web commerciaux et gouvernementaux des États-Unis et de la Corée du Sud, constituent toujours une menace majeure pour les activités en ligne. « On devrait voir tout autant d’attaques DDoS survenir en 2010 et 2011 qu’on a pu le voir entre 2007 et 2009. Cependant l’on s’attend à une évolution très forte sur l’ampleur de ces attaques. Les attaques de juillet 2009 se sont terminées à un volume de quelques gigabits par seconde mais ce chiffre devrait largement dépasser les 10 gigabit par seconde en 2010-2011. »
Le « faux utilisateur » est une autre menace émergente constatée par Radware.
« De nouvelles sortes d’attaques, telles que l’utilisation détournée d’applications, sont créées par des adresses IP bien réelles. Ce sont les utilisateurs qui ne le sont pas !», explique son directeur technique. Ce phénomène vise les entreprises en ligne au travers de différentes tactiques que sont les attaques DoS avancées contre la couche applicative, la surveillance concurrentielle, les « robotic gambling » (robots parieurs), le Spit (Spam over Internet Telephony), pour n’enciter que quelques unes.
Christophe Leblanc estime que la seule réponse adaptée à ces attaques repose sur la technologie d’analyse comportementale qui établit un profil des utilisateurs légitime, des transactions applicatives et des caractéristiques de la bande passante réseau et permet de filtrer les activités malveillantes, sans impact sur le trafic utilisateur légitime ni sur la disponibilité des services sur Internet. A cette protection il convient d’ajouter un WAF (Web Application Firewall, pare-feu pour les applications Web) qui vient complèter la détection de signature standard en établissant une protection contre les attaques Web classiques comme la vulnérabilité d’applications Web, les scripts intersites (XSS) et l’injection de code SQL, en détectant l’utilisation anormale des applications.