Les types d’attaques
Les différents types d’attaques peuvent être répartis en deux catégories de base :
- Celles liées à des failles techniques (faiblesses des contrôles, manque de rigueur dans les développements, faiblesse cryptographique…)
- Celles liées à des failles logiques (faiblesse dans la logique business de l’application web).
Il existe de très nombreux types de failles et d’attaques les exploitant, les attaques pouvant par ailleurs être combinées entre elles.
Les conséquences directes d’une attaque tombent généralement dans les grandes catégories suivantes :
- Accès illégal à certaines données (vol)
- Modification ou perte de données
- Accès illégal à certaines fonctions du site
- Execution de certaines actions sur le site pour le compte d’autres utilisateurs
- Implantation de malware
- Prise de contrôle du serveur web (voire plus)
En poussant plus loin, certains “pivots » peuvent être effectués sur les attaques, et déboucher dans les cas les plus graves à l’accès au réseau interne de l’entreprise, même si le site web n’est pas hébergé par les serveurs de l’entreprise.
La plupart de ces attaques peuvent passer inaperçues ou bien être remarquées très rapidement, rester actives ou être furtives.
L’impact pour l’entreprise
Un piratage de site Internet peut aussi bien atteindre l’entreprise que les utilisateurs du site Internet (clients, consommateurs).
Les conséquences exactes dépendront du contexte et de l’activité même de l’entreprise, mais voici encore une fois quelques grandes catégories de conséquences :
Atteinte à l’image de l’entreprise (mauvaise publicité, par annonce publique du piratage, ou dégradation du site corporate).
- Perte de confiance des utilisateurs/clients
- Vol de clientèle (suite à un vol de données, ou redirection des utilisateurs)
- Perte financière directe (par ex. suite à un contournement de logique métier/business, ou accès à des données/moyens financiers, ou suite à une interruption de fonctionnement)
- Sanctions judiciaires
- Perte de référencement
En ce qui concerne les utilisateurs eux-mêmes, les risques sont là aussi très nombreux :
- Usurpation d’identité (aussi bien sur Internet que dans le « monde réel »)
- Vol de données personnelles, dont bancaires et email
- Perte financière
- Prise de contrôle du navigateur web par un pirate
- Exécution involontaire de certaines actions sur le site (sur le site piraté ou sur d’autres sites)
- Rattachement à un réseau de “zombies”
- Malware
Les conséquences juridiques d’une attaque web
Certains experts juridiques seront très certainement mieux placés pour expliquer quels sont les risques et les limites de responsabilité. Par ailleurs les responsabilités et implications varient suivant les pays.
Prenons le cas de la France, et jetons un oeil à ce que dit la CNIL en termes de données personnelles, sur la page dédiée à “Vos obligations” :
Le premier article sur la sécurité des données fait référence à l’article 226-17 du code pénal, qui lui même renvoie à un certain article 34 “Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.”
Manquer à ces obligations est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende.
A un niveau plus haut, Européen celui-ci, la directive 2013-40/EU du 14 Août 2013 (lien vers le fichier) explicite la responsabilité de la personne morale en charge du site Internet piraté : “Il convient de garantir des niveaux de protection appropriés contre les menaces et les vulnérabilités pouvant être raisonnablement identifiées”.
Chaque cas étant particulier, les conséquences juridiques dépendront bien entendu des dommages exacts, des plaintes déposées.
Quand on sait qu’environ 80% des sites Internet présentent au moins une failles majeure, il y a de quoi avoir froid dans le dos.
Pour finir sur une note positive, tout de même, disons qu’il est possible d’améliorer la situation!
- En formant les équipes de développement à la sécurité, pour que celle-ci fasse partie intégrante des applications, et qu’elle ne soit pas une couche que l’on vient ajouter une fois les développements terminés.
- En faisant régulièrement des tests d’intrusion, des revues de codes, des revues de logique (workflow) et les mises à jour serveurs/applications/librairies.