BLOG

Comment les acteurs malveillants exploitent les applications avec des attaques

Miniature de Frank Kyei-Manu
Frank Kyei-Manu
Publié le 11 octobre 2022

De nombreuses applications actuelles sont construites dans des clusters de conteneurs de petite taille et déployées sur de nombreux sites différents. Cette approche distribuée contribue à la fois aux performances et à la résilience. Cependant, cela rend également la protection des applications difficile et complexe.

Dans le même temps, les attaques contre les applications et leurs écosystèmes sont plus fréquentes et plus sophistiquées.

Les cybercriminels exploitent régulièrement les vulnérabilités applicatives et contournent facilement de nombreux contrôles de sécurité. Alors que les organisations cherchent à devenir plus vigilantes et à accroître leur résilience face aux menaces en constante évolution, il est nécessaire de comprendre comment les cybercriminels pensent, opèrent et exploitent les applications.

Les cybercriminels suivent l'argent

Notez que les attaquants eux-mêmes n’ont pas besoin d’être techniquement sophistiqués, car il existe de nombreux outils et services gratuits qu’ils utilisent et partagent régulièrement entre eux.

Leur psychologie consiste généralement à suivre l’argent. Dans une économie numérique, cela signifie cibler les applications Web et mobiles pour exploiter les vulnérabilités et abuser de la logique de l'application pour y accéder.

Les cybercriminels recherchent en permanence les faiblesses des application et recherchent des passerelles application ouvertes ou faibles. Voici trois types d’attaques typiques (par ordre croissant de sophistication et de valeur potentielle de la cible) :

  • Les attaques courantes ciblent des vulnérabilités connues telles que celles indiquées dans le Top 10 de l'OWASP .
  • Les attaques zero-day ciblent des vulnérabilités qui ne sont pas connues ou anticipées.
  • Les attaques persistantes avancées sont des campagnes sophistiquées qui peuvent même être parrainées par un État.

Il convient également de noter que les cyberattaques ne ciblent pas seulement les applications Web et mobiles, mais également l’infrastructure des serveurs, les données et les appareils. Pour ce blog, nous nous concentrons sur l' application, et nous allons maintenant plonger un peu plus en profondeur dans certaines des attaques les plus courantes.

Les applications sont riches en cibles

Les attaquants exploitent les applications car elles constituent des points d’entrée vers de vastes quantités de données précieuses que les cybercriminels peuvent exploiter à des fins d’armement et de profit.

Les zones ciblées par les pirates incluent le code de application lui-même, l'infrastructure du serveur sur laquelle réside l'application et les modules complémentaires (tels que les bibliothèques de code ou les plug-ins) qui apportent des fonctionnalités supplémentaires à l'application.

Selon le rapport 2022 sur la protection des application de F5 Labs, les violations liées à l'accès, notamment le phishing, le credential stuffing et les attaques par injection, sont les principaux vecteurs d'attaque, représentant environ 25 % de toutes les violations d'applications Web. Les logiciels malveillants arrivent en deuxième position, avec 24 % des violations d'applications Web. Comme mentionné, l’objectif de ces attaques d’applications est d’accéder à vos données les plus précieuses de la manière la plus simple possible.

Les effets dévastateurs des attaques application

Passons rapidement en revue un scénario courant d’une attaque par injection de base. Tout commence lorsque l'attaquant lance une série d'analyses de reconnaissance automatisées, en exploitant des robots pour atteindre l'échelle tout en recherchant des vulnérabilités :

  1. L'attaquant identifie une ouverture, généralement une porte ou un point d'accès non sécurisé dans une application.
  2. Ils exploitent ensuite cette vulnérabilité pour injecter du code malveillant (malware), établissant une présence à partir de laquelle exécuter des commandes à distance.
  3. Une fois le code malveillant exécuté, l’attaquant cherchera probablement des options pour obtenir un accès supplémentaire à des fins de pénétration plus profonde, de commandement et de contrôle, de reconnaissance ou d’espionnage, ou de vol.
  4. L'application et les données sous-jacentes sont désormais compromises.

Le scénario ci-dessus est remarquablement simple. Les attaques par injection sont souvent beaucoup plus sophistiquées et menaçantes. Imaginez un attaquant injectant une commande pour supprimer toutes les données de l’application, provoquant ainsi la panne totale d’un produit ou d’un service numérique. Ou imaginez si une commande exposait une table de base de données de cartes de crédit.

Ce type d’attaques peut avoir des conséquences dévastatrices. Les pannes d'applications peuvent entraîner une perte de revenus et de réputation, et coûter des millions de dollars en mesures correctives. Pour les consommateurs, cela pourrait signifier une mauvaise expérience utilisateur, ou pire : le vol de leurs informations personnelles.

Comprendre les autres types d’attaques courantes

Une fois qu’un attaquant a piraté une application, il exploite souvent les vulnérabilités du navigateur via des applications Web. L’objectif peut être de voler les identifiants des utilisateurs pour une prise de contrôle ultérieure du compte, ou de prendre directement le contrôle des sessions des utilisateurs en temps réel.

Ils peuvent également exécuter du code malveillant dans le navigateur d’une victime (souvent appelé « formjacking ») pour soumettre de fausses demandes qui semblent provenir du véritable utilisateur. Cela peut avoir de graves conséquences, tant pour les individus (dont l’identité est utilisée pour des ouvertures de compte ou des applications de crédit frauduleuses) que pour les organisations (qui doivent souvent assumer les pertes). Il est donc essentiel que chacun se prémunisse contre les tentatives de phishing et ne réutilise jamais les mots de passe, que ce soit pour un usage personnel ou professionnel.

Une autre attaque largement utilisée est le déni de service (DoS) qui inonde une application de requêtes automatisées envoyées par des robots pour introduire du stress et rendre l' application lente ou pire encore, inefficace. Les attaques par déni de service distribué (DDoS) provenant de plusieurs ordinateurs (appelées botnet) sont généralement encore plus efficaces. Souvent, les nœuds (ou ordinateurs) d'un botnet sont des appareils de consommateurs infectés par des logiciels malveillants. Cela ne fait que souligner l’importance de protéger les appareils contre les logiciels malveillants et autres cyberattaques.

Bien que les motivations et les approches d’attaque des cybercriminels varient, une compréhension de base de ces types d’attaques courants et des méthodes de prévention peut être utile.

Chacun a un rôle à jouer dans la cyberdéfense. Dans la vidéo ci-dessous, nous partageons quelques conseils de haut niveau sur la façon de se protéger contre le phishing, le smishing et les tactiques générales d'ingénierie sociale que les mauvais acteurs utilisent couramment pour exploiter les applications.
 

Dans la suite de cette série en quatre parties pour le Mois de sensibilisation à la cybersécurité, nous explorerons plus en détail comment F5 protège vos comptes contre la fraude.

Partie 1 : Comment les applications modernes sont créées et déployées

Partie 2 : (en cours de visualisation)