Alerte sur la sécurité des sites internet en France

Alerte sur la sécurité des sites internet en France

Une étude révèle que 100 % des sites internet des grandes entreprises françaises ont des failles de sécurité. Plus grave : 60 % présentent au moins une faille grave permettant de récupérer des données en masse.

Si ce n’est pas vraiment une surprise, on ne pensait pas que le problème était aussi grave. L’étude du cabinet Wavestone basée sur les audits de sécurité Web réalisés entre juin 2015 et juin 2016 pour 82 entreprises parmi les 200 plus grandes françaises est éloquente. En effet, pas un seul des 127 sites web testés – représentant respectivement 84 sites Internet et 43 sites sur des réseaux privés d’entreprise – n’ont été à la hauteur. L’intégralité des sites en effet présentaient au moins une des 47 failles testées.

50 % des sites internet accessibles au grand public contenaient même une faille grave a minima : ils permettent en effet de récupérer de manière automatisée l’ensemble des informations présentes sur le site.

Parmi ces failles dites graves, les plus fréquentes touchant 44 % des sites concernent des problèmes de cloisonnement. Cela signifie que ces sites permettent à un pirate d’accéder simplement aux données d’un autre utilisateur du site ou de remonter à l’arborescence sans souci.  « Par exemple, sur un site bancaire, il était possible de consulter les sessions des autres personnes connectées en même temps, très simplement, à partir d’un compte piraté », explique Gérôme Billois, expert en sécurité chez Wavestone.

Une autre faille grave concerne la possibilité d’exécuter du code malveillant sur 37 % des sites. Cela se fait en général avec un système de dépôt de pièce jointe mal protégé. Par exemple, un assureur peut proposer sur son site à ses clients de déclarer un sinistre en ligne, en envoyant une photo en PDF. Or, si cette fonctionnalité est mal protégée, un cybercriminel peut facilement envoyer via ce moyen un fichier corrompu. Celui-ci va alors lancer un programme malveillant sur le serveur, qui va ainsi permettre au pirate d’en prendre le contrôle, pour s’infiltrer ensuite vers d’autres zones du système informatique de l’entreprise ciblée. « Un attaquant peut ainsi aisément prendre la main sur un serveur et accéder à la base de données du service, qui est très rarement chiffrée car le serveur a besoin d’accéder en clair à certaines informations », explique Gérôme Billois.

Certaines failles identifiées comme étant moyennes n’en sont pas pour autant négligeables. La différence majeure avec les failles graves, c’est qu’elles ne permettent de récupérer des données que de manière complexe et non automatisée. C’est ce cas que les spécialistes appellent le « cross site request forgery », auquel plus de 60% des sites français sont vulnérables. Dans les faits, si un internaute consulte un site corrompu et a laissé d’autres onglets ouverts au sein du même navigateur Internet (Chrome, Firefox, Internet Explorer…), un pirate peut alors accéder à toutes les données visibles sur les différents onglets – et notamment à des données sensibles comme celles de sa banque en ligne. Le cybercriminel peut alors réaliser des actions sans que l’internaute ne se rende compte de quoi que ce soit et cela peut même aller jusqu’au changement du mot de passe.

Pour finir, les failles mineures ne permettent pas de dérober directement des données, mais elles fournissent toutefois des indications sur la conception du site qui peuvent permettre de préparer une cyberattaque. « C’est un peu comme une porte fermée dont la serrure afficherait en gros la marque et le numéro de série », explique le consultant.

Dans la grande majorité des cas cités dans l’étude Wavestone, les sites Web étaient défaillants dès leur conception. « Les sites sont réalisés à la va-vite, pour une campagne marketing ou un lancement de produit », dénonce Gérôme Billois. « Faute d’un « crash test » avant la mise en ligne, comme dans l’automobile, il faut absolument que les donneurs d’ordre se mobilisent sur ces questions de cybersécurité. Les affaires récentes, de Yahoo! à LinkedIn, ont fait progresser les choses, mais trop de dirigeants pensent que cela reste un problème limité à ces entreprises technologiques, de la Silicon Valley ».

Soyez donc extrêmement vigilant quand vous surfez sur le net ! Pour votre sécurité, la meilleure solution reste d’utiliser un VPN ! Notre service Le VPN code votre connexion internet par un cryptage complexe grâce à l’algorithme AES-256. Ce codage rend impossible toute interaction avec vos données personnelles, et cela, même lorsque votre connexion a été compromise ou interceptée. Chaque information que vous envoyez ira directement dans votre tunnel virtuel sécurisé. Avec Le VPN vous pouvez facilement diriger votre trafic en choisissant un serveur dans l’un des 100+ sites disponibles. Aussi, assurez-vous les services du meilleur VPN disponible pour une connexion Internet sécurisée, et cela, où que vous soyez. Restez loin des virus et des cybercriminels, grâce à Le VPN.

spring-season-100x95

LES SOLDES DE PRINTEMPS

-78% SUR UNE OFFRE DE 3 ANS !

PAS DE JOURNAL

100+ LOCALISATIONS

P2P autorisé

Facile à utiliser

Garantie de 30 Jours

Assistance amicale

Bitcoin accepté

Vitesse de l'éclair

Laisser une répone