La sécurité informatique n’est pas un sujet de tout repos. Régulièrement, de nouvelles vulnérabilités sont découvertes, et aucun éditeur n’est épargné… Pour rester protégé contre l’exploitation de celles-ci par des pirates, des mises à jour (qui peuvent souvent être automatisées) des solutions utilisées pour vos applications et sites web sont nécessaires. Cependant, il n’est pas toujours possible de monter en version de manière immédiate : indisponibilité de correctifs, contraintes métier… C’est pourquoi il existe des solutions de sécurité permettant de temporiser avant de pouvoir mettre à jour sereinement vos applicatifs. Découvrez nos conseils !

Mesure de sécurité informatique : qu’est-ce que le virtual patching ?

Lorsqu’une vulnérabilité est découverte sur un logiciel, l’éditeur produit en général un correctif, ou « patch », permettant de corriger la vulnérabilité ou de la rendre inexploitable. L’application de ce correctif, le plus rapidement possible après sa publication, nécessite souvent une mise à jour du logiciel en question, ce qui peut être relativement compliqué dans certains cas (coupure d’activité impossible, développements supplémentaires trop longs…).

Il existe une méthode qui permet de protéger les systèmes vulnérables beaucoup plus rapidement : le virtual patching, ou « correction virtuelle ». Le virtual patching consiste à développer un correctif protégeant les systèmes sans toucher au code du logiciel, sans mise à jour, et même parfois sans attendre le correctif de l’éditeur ! Il reste toutefois vivement recommandé d’appliquer les correctifs dès que possible.

Chez NBS System, nous utilisons cette méthode pour protéger nos clients bénéficiant de la solution CerberHost. Concrètement, comment sécuriser un site de cette manière ? Étude de cas.

Faille de sécurité : un correctif virtuel pour Drupal

Prenons l’exemple de la dernière faille Drupal, faille très critique touchant les versions 6 à 8, dont le correctif a été publié le mercredi 28 mars au soir. Une semaine auparavant, Drupal avait annoncé la publication de ce patch en précisant l’importance pour leurs utilisateurs de l’appliquer très rapidement, soupçonnant de potentiels pirates informatiques de pouvoir exploiter la vulnérabilité en quelques heures ou jours.

Aucune information précise ou analyse n’a été divulguée sur la faille, afin de minimiser les risques d’exploitation. Seul le correctif a été publié. Cependant, en étudiant ce patch, nos experts ont pu comprendre les actions mises en place pour corriger la vulnérabilité, et donc en quoi cette dernière consiste : c’est ce que l’on appelle le « reverse engineering », ou ingénierie inverse.

Sans rentrer dans trop de détails, ils ont pu découvrir l’ajout d’un « Request Sanitizer », permettant de « nettoyer » les requêtes en interdisant l’utilisation du caractère spécial # dans certains cas. Cela leur a permis de comprendre que la vulnérabilité informatique en question consiste à injecter du code dans certains formulaires, et donc permettrait à des potentiels pirates d’exécuter du code à distance sur les systèmes vulnérables.

Grâce à cela, ils ont pu créer un correctif virtuel adapté à cette faille web, le « virtual patch », et le mettre en place seulement un quart d’heure après la publication du correctif applicatif de Drupal. Les correctifs virtuels sont généralement appliqués au niveau système, sur un WAF (Web Application Firewall ou pare-feu applicatif).Chez NBS System, il s’agit de NAXSI, outil open source développé par nos experts. L’ensemble des clients bénéficiant de CerberHost était doncpresque instantanément protégé contre l’exploitation de la vulnérabilité Drupal, et ce sans aucune action de leur part.

Nous profitons que le sujet soit abordé pour conseiller à tous les utilisateurs de Drupal ne bénéficiant pas de solutions de virtual patching de mettre à jour très rapidement leur applicatif, pour être protégé des attaques !

Protection informatique efficace, rapide… et durable !

Autre point positif, ces correctifs virtuels sont suffisamment précis et légers pour permettre de les laisser activés en permanence sur les outils systèmes qui composent, par défaut, une architecture.

Prenons un nouvel exemple concret : dans sa dernière mise à jour de sécurité, Magento a intégré un « correctif additionnel ». Ce dernier concerne une faille pour laquelle un correctif avait déjà été publié, mais qui n’était pas assez complet. Si, lors de la première publication de la vulnérabilité informatique, un virtual patching totalement efficace a été mis en place, aucune action complémentaire n’est nécessaire, puisque le système est déjà protégé. C’était par exemple le cas pour nos clients bénéficiant de CerberHost.

Même sans virtual patching, nous vous conseillons d’installer un WAF sur votre système. Ses règles de filtrage, à déterminer selon vos enjeux et les risques pesant sur votre activité, présentent une barrière forte contre l’exploitation de certaines failles. Chez NBS System par exemple, dans le cas de cette dernière mise à jour de sécurité Magento, les attaques de cross-site scripting (XSS) sont par défaut très difficiles à exploiter, voire parfois inexploitables, car filtrées par notre pare-feu applicatif NAXSI.

Hébergement web sécurisé : l’isolation des systèmes, une bonne pratique

Mais les pare-feux applicatifs ne sont pas la seule solution permettant d’apporter une couche de sécurité « simple » mais efficace sur le web. Une autre bonne pratique, c’est de ne pas exposer ses serveurs web directement sur Internet, grâce notamment aux reverse proxies. Ces derniers constituent une ligne de défense contre l’exploitation de failles de sécurité informatique, faisant constamment l’intermédiaire entre les internautes et le serveur web, et filtrant tous les échanges.

Cependant, cette bonne pratique n’est pas toujours respectée, comme on peut le voir grâce à une simple preuve empirique. Il y a quelques semaines, Akamai a enregistré une attaque DDoS de 1,3 Tbps (Terabit par seconde, deux fois la puissance du botnet Mirai) provenant de serveurs Memcached. L’éditeur de ce système de cache lui-même indique que son service ne doit en aucun cas être exposé sur Internet, notamment car son accès ne nécessite aucune authentification. Pourtant, si des pirates ont réussi à exécuter une attaque DDoS grâce à des serveurs Memcached, cela signifie que cette indication n’a pas été respectée sur certaines plateformes web.

Avec des reverse proxies, ces machines auraient été protégées par défaut contre l’exploitation de la vulnérabilité Memcached, comme l’ont été les clients de NBS System. En effet, les serveurs de tous nos clients, qu’ils aient ou non souscrit à une option de sécurité, sont protégés derrière des pare-feux et des reverse proxies. Ils ne sont donc pas exposés au web.

Dans ce cas précis, nos clients étaient d’autant plus protégés que le protocole UDP, qui était dans ce cas le vecteur d’attaque, n’est pas utilisé sur leurs systèmes. En effet, ce protocole étant beaucoup plus simple à utiliser pour une attaque DDoS que le TCP, nous ne l’utilisons pas à moins d’une réelle nécessité.

Menaces informatiques : un système durci pour une meilleure résistance

Enfin, nous conseillons également d’utiliser des systèmes durcis. Le durcissement d’un système (hardening en anglais) consiste à régler plus finement son système pour rendre la vie des attaquants plus difficile. Il est également possible d’ajouter des couches de protection au cœur même du système pour contrer les risques d’attaque informatique.

Chez NBS System, nous utilisons par exemple le noyau Linux durci publié par le projet Grsecurity/PaX. Nous en profitons pour remercier chaudement Brad Spengler et son équipe pour la publication du correctif pour la faille Meltdown, que nous avons installé sur notre parc sans aucun impact sur les performances de nos clients.

Vous souhaitez en savoir plus sur notre hébergement sécurisé ?
Contactez-nous !

 

Lucie Saunois
Lucie Saunois
Passionnée d'informatique, en particulier de sécurité, depuis qu'elle a rejoint l'OT Group en 2015, Lucie se spécialise dans la vulgarisation technique pour permettre à tous d'appréhender ces sujets parfois complexes.