La sécurité sur Internet


Comment se protéger aujourd’hui quand est exposé sur Internet ? Dans son entreprise, en Intranet, on peut mettre en place des solutions de SSO. Elles évitent aux utilisateurs de saisir de nombreuses fois leurs mots de passe. Mais sur Internet, il y a toujours la page d’authentification qui est tant convoitée par les pirates, qui ne peut être remplacée par une solution de SSO. De plus, rares sont les entreprises qui se lancent aujourd’hui dans la fédération d’identité.

Quelles solution leurs restent-ils ?

Ce n’est plus un secret, les pirates accèdent aux sites Web sécurisés parce qu’ils connaissent les failles des OS serveurs, des serveurs d’application, des serveurs Web et des portails de gestion de contenu. Mais surtout, ils profitent de la négligence des développeurs. Développer un programme serveur est autrement plus compliqué qu’un programme client. C’est surtout plus fastidieux. Le développeur doit aujourd’hui connaître les méthodes des pirates pour construire son programme en conséquence.

Les techniques de piratage

Les agissements des pirates concernent le vol de données privées et peuvent aller jusqu’à la suppression de l’intégralité des bases de données. L’injection SQL est le nom qu’on donne à ce genre d’attaques. Elle peut aussi permettre d’exécuter des commandes système sur le serveur hébergeant la base, arrêter un firewall, un antivirus…

Quand ce ne sont pas les données du serveur qui sont visées, ce sont les utilisateurs innocents. Les fameux XSS pour Cross-Site Scripting, et CSRF pour Cross-Site Request Forgeries permettent d’injecter du code JavaScript (ou ASP ou PHP) dans une page Web qui sera exécuté à l’insu du prochain visiteur de la page Web infectée. Le pirate récupérera alors au moins le cookie de session et pourra prendre possession des données de l’utilisateur innocent.

Les méthodes de protection

Il existe bien évidemment des méthodes pour se protéger. En revanche, elles ne dépendent pas de programmes ou de serveurs à mettre en frontal ni même de la cryptographie. Les seules bonnes méthodes efficaces concernent la revue de code des applications Web !
Pour ma part, j’ai recensé plusieurs bonnes pratiques de programmation à respecter et à mettre en œuvre pour arrêter totalement les injections SQL et le XSS. Elles sont très efficaces et surtout suffisantes. Elles sont basées essentiellement sur la vérification des données reçues.

Thierry ALBAIN

0 Responses to “La sécurité sur Internet”



  1. Laisser un commentaire

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s




Mises à jour Twitter

Erreur : Twitter ne répond pas. Veuillez patienter quelques minutes avant d'actualiser cette page.

Entrer votre adresse e-mail pour vous inscrire a ce blog et recevoir les notifications des nouveaux articles par e-mail.

Rejoignez 29 autres abonnés

Catégories

Statistiques

  • 64 114 hits

%d blogueurs aiment cette page :