La sécurité informatique n’est pas un sujet de tout repos. Régulièrement, de nouvelles attaques informatiques sont découvertes, et aucun éditeur n’est épargné… Pour rester protégé contre l’exploitation de celles-ci par des pirates, des mises à jour (qui peuvent souvent être automatisées) des solutions utilisées pour vos applications et sites web sont nécessaires. Cependant, il n’est pas toujours possible de monter en version de manière immédiate : indisponibilité de correctifs, contraintes métier… C’est pourquoi il existe des solutions de sécurité permettant de temporiser avant de pouvoir mettre à jour sereinement vos applicatifs. Découvrez nos conseils !
Mesure de sécurité informatique : qu’est-ce que le virtual patching ?
Lorsque des attaques informatiques est découverte sur un logiciel, l’éditeur produit en général un correctif, ou « patch », permettant de corriger les vulnérabilités ou de les rendre inexploitables. L’application de ce correctif, nécessite souvent une mise à jour du logiciel en question. Celle ci peut être relativement compliqué dans certains cas (coupure d’activité impossible, développements supplémentaires trop longs…).
Il existe une méthode qui permet de protéger les systèmes vulnérables beaucoup plus rapidement : le virtual patching, ou « correction virtuelle ». Le virtual patching consiste à développer un correctif protégeant les systèmes sans toucher au code du logiciel. Mais aussi, sans mise à jour, et même parfois sans attendre le correctif de l’éditeur ! Il reste toutefois vivement recommandé d’appliquer les correctifs dès que possible.
Chez NBS System, nous utilisons cette méthode pour protéger nos clients bénéficiant de la solution CerberHost. Concrètement, comment sécuriser un site de cette manière ? Voici une étude de cas.
Faille de sécurité : un correctif virtuel pour Drupal
Prenons l’exemple de la faille Drupal dont le correctif a été publié le mercredi 28 mars au soir, faille très critique touchant les versions 6 à 8.
Une semaine auparavant, Drupal avait annoncé la publication de ce patch. Tout en précisant l’importance pour leurs utilisateurs de l’appliquer très rapidement. Ils soupçonnaient de potentiels pirates informatiques de pouvoir exploiter la vulnérabilité en quelques heures ou jours.
Aucune information précise ou analyse n’a été divulguée sur la faille, afin de minimiser les risques d’exploitation. Seul le correctif a été publié. Cependant, en étudiant ce patch, nos experts ont pu comprendre les actions mises en place pour corriger la vulnérabilité, et donc en quoi cette dernière consiste : c’est ce que l’on appelle le « reverse engineering », ou ingénierie inverse.
Sans rentrer dans trop de détails, ils ont pu découvrir l’ajout d’un « Request Sanitizer ». Il permet de « nettoyer » les requêtes en interdisant l’utilisation du caractère spécial # dans certains cas. Cela leur a permis de comprendre que la vulnérabilité informatique en question consiste à injecter du code dans certains formulaires. Pour ensuite, permettre à des potentiels pirates d’exécuter du code à distance sur les systèmes vulnérables.
Grâce à cela, ils ont pu créer un correctif virtuel adapté à cette faille web, le « virtual patch », et le mettre en place seulement un quart d’heure après la publication du correctif applicatif de Drupal. Les correctifs virtuels sont généralement appliqués au niveau système, sur un WAF (Web Application Firewall ou pare-feu applicatif).
Chez NBS System, il s’agit de NAXSI, un outil open source développé par nos experts. L’ensemble des clients bénéficiant de CerberHost était donc presque instantanément protégé contre l’exploitation de la vulnérabilité Drupal, et ce sans aucune action de leur part.
Nous profitons que le sujet soit abordé pour conseiller à tous les utilisateurs de Drupal ne bénéficiant pas de solutions de virtual patching de mettre à jour très rapidement leur applicatif, pour être protégé des attaques informatiques !
Protection informatique efficace, rapide… et durable contre les attaques informatiques !
Autre point positif, ces correctifs virtuels sont suffisamment précis et légers pour permettre de les laisser activés en permanence sur les outils systèmes qui composent, par défaut, une architecture.
Prenons un nouvel exemple concret : dans sa dernière mise à jour de sécurité, Magento a intégré un « correctif additionnel ». Ce dernier concerne une faille pour laquelle un correctif avait déjà été publié, mais qui n’était pas assez complet. Si, lors de la première publication de la vulnérabilité informatique, un virtual patching totalement efficace a été mis en place, aucune action complémentaire n’est nécessaire, puisque le système est déjà protégé. C’était par exemple le cas pour nos clients bénéficiant de CerberHost
Même sans virtual patching, nous vous conseillons d’installer un WAF sur votre système. Ces règles de filtrage, à déterminer selon vos enjeux et les risques pesant sur votre activité, présentent une barrière forte contre l’exploitation de certaines failles.
Chez NBS System, dans le cas de la dernière mise à jour de sécurité Magento, les attaques de cross-site scripting sont très difficiles à exploiter. Nous pouvons l’expliquer car elles sont filtrées par notre pare-feu applicatif NAXSI.
Hébergement web sécurisé : l’isolation des systèmes, une bonne pratique pour éviter les attaques informatiques
Mais les pare-feux applicatifs ne sont pas la seule solution permettant d’apporter une couche de sécurité « simple » mais efficace sur le web. Une autre bonne pratique, c’est de ne pas exposer ses serveurs web directement sur Internet, grâce notamment aux reverse proxies. Ces derniers constituent une ligne de défense contre l’exploitation de failles de sécurité informatique, faisant constamment l’intermédiaire entre les internautes et le serveur web, et filtrant tous les échanges.
Cependant, cette bonne pratique n’est pas toujours respectée, comme on peut le voir grâce à une simple preuve empirique. Il y a quelques semaines, Akamai a enregistré une attaque DDoS de 1,3 Tbps (Terabit par seconde, deux fois la puissance du botnet Mirai) provenant de serveurs Memcached. L’éditeur de ce système de cache indique que son service ne doit en aucun cas être exposé sur Internet, notamment car son accès ne nécessite aucune authentification.
Pourtant, si des pirates ont réussi à exécuter une attaque DDoS grâce à des serveurs Memcached, cela signifie que cette indication n’a pas été respectée sur certaines plateformes web.
Avec des reverse proxies, ces machines auraient été protégées par défaut contre l’exploitation de la vulnérabilité Memcached, comme l’ont été les clients de NBS System.
En effet, les serveurs de tous nos clients, qu’ils aient ou non souscrit à une option de sécurité, sont protégés derrière des pare-feux et des reverse proxies. Ils ne sont donc pas exposés au web.
Dans ce cas précis, nos clients étaient d’autant plus protégés que le protocole UDP, qui était dans ce cas le vecteur d’attaque, n’est pas utilisé sur leurs systèmes. En effet, ce protocole est beaucoup plus simple à utiliser pour une attaque DDoS que le TCP. Nous ne l’utilisons pas à moins d’une réelle nécessité.
Menaces informatiques : un système durci pour une meilleure résistance
Enfin, nous conseillons également d’utiliser des systèmes durcis. Le durcissement d’un système consiste à régler plus finement son système pour rendre la vie des attaquants plus difficile. Il est également possible d’ajouter des couches de protection au cœur même du système. Cela permet de contrer les risques des attaques informatiques.
Chez NBS System, nous utilisons par exemple le noyau Linux durci publié par le projet Grsecurity/PaX. Nous en profitons pour remercier chaudement Brad Spengler et son équipe pour la publication du correctif pour la faille Meltdown, que nous avons installé sur notre parc sans aucun impact sur les performances de nos clients.
Article écrit par Emile Heitor
Vous souhaitez en savoir plus sur notre hébergement sécurisé ?
