Les failles mineures sont aussi une menace dangereuse

Apr
08 2013
Les failles mineures sont aussi une menace dangereuse

Dans toute application, les failles oscillent d’un problème mineur de perte d’information à un blocage majeur d’authentification / autorisation, avec un ensemble de faiblesses situées entre les deux.

Avec autant de menaces possibles, il est évident qu’une vulnérabilité sur un CAPTCHA peut être perçue comme une faille mineure. En outre, un hacker astucieux pourra aisément cibler plusieurs points de faiblesse ; cette stratégie lui permettra d’exploiter une faille mineure pour en faire une attaque bien plus néfaste.

 

L’exemple type

A la suite d’un audit chez l’un de nos clients, nous avons découvert une vulnérabilité sur un CAPTCHA. Le problème est que le CAPTCHA peut être contourné en forçant certains paramètres.

En temps normal, cette faiblesse est classée comme une faille sérieuse Pourtant, la plupart des gens voudraient considérer ce point comme un problème mineur, notamment au regard des injections SQL ou des failles de contournement d’authentification.

Par la suite, en testant cette même application, nous avons découvert un espace où l’on pouvait exploiter un réflective Cross-Site-Scripting. Il s’agissait tout simplement d’une page d’erreur cachée. C’est un problème plus grave qu’une faiblesse sur un CAPTCHA.
Finalement, après plusieurs heures de test sur cette faille, nous avons trouvé le moyen d’accéder, voire de modifier, les informations renseignées dans le profil des inscrits.

C’est une découverte majeure, très dangereuse dans les mains d’un hacker et qui ne nécessite pas un savoir faire d’expert. La faille sur les CAPTCHA pourrait être utilisée pour implanter un XSS dans le profil des inscrits. Du coup, la vulnérabilité serait bien plus importante.

Après quelques tests supplémentaires, nous avons déterminé la possibilité de dédoubler le compte utilisateur, d’utiliser la faille du premier compte et enfin d’altérer les informations de ce profil pour insérer une faille de sécurité dans le site web. Cette chaîne de failles engendre rapidement à la possibilité de détruire entièrement le business modèle de cette application.
On a alors la possibilité d’attaquer simultanément tous les utilisateurs, de récupérer leurs informations sensibles, de les remplacer ou les modifier, ou encore de mettre en danger leur compte grâce à l’introduction d’une faille de sécurité.

Par conséquent, cette faille apparemment « mineure » peut entraîner la création d’une combinaison de défaut bien plus dangereuse, par la création d'une véritable attaque dévastatrice, qui, alors, pourrait compromettre toutes les applications. On se souvient des nombreux cas de simples failles de sécurité, considérées comme « mineures », qui pourtant ont des conséquences désastreuses.

C’est cette sorte de faille, copie-conforme, que l’on ne peut trouver que par une évaluation exécutée manuellement ; un scanner de code source pourrait identifier ces vulnérabilités, mais elles ne pourraient jamais être exploitées, car 3 d’entres elles doivent nécessairement être liées pour fonctionner.

L’humain a potentiellement les capacités d’évaluer et d’identifier le risque avec précision. Si des faiblesses sont jugées peu dangereuses ou non, le risque sera basé, de manière variable, sur les informations issues de l’analyse humaine. N’importe quel système automatique sera toujours moins fiable que le raisonnement humain.

0 commentaire

Laissez un commentaire