Analyse : retour sur les 130 millions de cartes volées ou la sécurité des applications en question

La Rédaction,

Analyste pour le cabinet Duquesne Research, Donald Callahan revient sur l’affaire Gonzales et le vol des 130 millions de numéros de cartes de crédits. Il décortique les méthodes, les risques, l’utilité des certifications et audit et, surtout, la vulnérabilité des applications.

Cinquième et dernière observation : l’industrie IT peut apporter des outils pour gérer les vulnérabilités applicatives. Pour faciliter la revue du code, des outils automatisés sont disponbiles. Le marché de logiciel SVM (Security and Vulnerability Management) est encore petit mais croît très vite. En France, parmi les fournisseurs on peut citer Fortify, qui fait figure de pionnier, et qui est spécialisé aujourd’hui sur l’analyse du code. Les constructeurs HP et IBM proposent des solutions intégrées portant sur l’ensemble du cycle de vie. HP par exemple dispose d’une plate-forme comprenant un ensemble d’outils pour :

• L’analyse de code : les fonctionnalités de l’analyseur assurent que le code développé est sain et ne comporte pas de faille de sécurité,

• Les tests : le logiciel permet d’automatiser la détection des anomalies de sécurité dans les applications au cours de la phase d’assurance qualité

• La fourniture d’analyses de sécurité des applications et des environnements avant la mise en production et pendant l’exploitation, et la création de rapports personnalisés (validation de modèles, règles et conformité).

Une autre approche serait le recours à un WAF (Web Application Firewall) capable de filtrer dynamiquement le contenu des données pour identifier et bloquer des attaques. Le marché pour ce type de solution est encore en émergence, peut-être du fait d’une certaine complexité de mise en oeuvre par rapport au pare-feu réseau classique. Parmi les fournisseurs, on trouve les grands noms en matière de réseau mais aussi quelques « challengers » plus spécialisés comme la société française NETASQ. A titre d’exemple, ce dernier propose une gamme de solutions « tout-en-un » (Unified Threat Management) qui intègrent plusieurs fonctions de sécurité plutôt haut de gamme – WAF, pare-feu réseau, anti-virus, etc. – dans un boîtier unique.

Duquesne Research estime que les deux approches sont complémentaires et que – face à l’essor de la cyber-criminalité – les deux marchés se développeront rapidement.

Les actions

Il faut élever la barrière à un coût raisonnable pour l’entreprise face à son appréciation du risque, de manière à ce que le hacker se trouve face à un mur trop haut à franchir par rapport à ses gains espérés. Dans ce contexte, Duquesne Research propose trois recommandations:

– D’abord, procéder à une analyse rapide des risques, prenant en compte les enjeux financiers et réputationnels, l’exposition des applications potentiellement à risque sur l’Internet (et sur les Intranets) et les mesures déjà en place. Cette analyse sera à rafraîchir régulièrement.

– Ensuite, sur cette base, définir un plan d’actions pour les applications en production. Il s’agit d’identifier les vulnérabilités et de mettre en place des mesures de correction et/ou de protection, s’appuyant sur des outils de type SVM ou WAF ou les deux.

– Enfin, intégrer les exigences de sécurité à chaque étape du cycle de vie des applications, en capitalisant sur les faiblesses découvertes et sur les avancées des bonnes pratiques.

Pour les entreprises avec des applications vulnérables (autrement dit, beaucoup de monde), la révélation des attaques spectaculaires comme le cas Gonzales/Heartland devrait au moins servir – comme la guillotine – à « focaliser les esprits»… et faire prendre conscience de la nécessité impérieuse de maîtriser ces risques.