Sécurité
Reverse Proxy		 Sécurité Intranet, Matériel & Licences Agenda 2007 Partenariat Espace-Partenaires ERTI

   La Sécurisation et l'Optimisation des Services Web et des Serveurs Intranet
       
 
   ertipro.com > sécurité des Services Web accueil | e-mail  
Sécurité des Services Web
 
  I-Sentry™ - Principales caractéristiques
   
  I-lSentry™ - Firewall applicatif
   
  I-Sentry™ - La Gamme
   
  I-Sentry™ - Documentation et fiches Techniques (PDF)
   
 
   
  Infos
   
  Partenariats
 

 

 

 

  © 2000-2003 ERTI
  Design NetOpera
Une nouvelle approche pour sécuriser les Services Web : pourquoi ?
Nouvelles menaces sur le Web

Selon le CERT Coordination Center, le nombre de vulnérabilités a progressé de 161% en 2000 et de 123% en 2001 et encore de 70% en 2002 pour atteindre le chiffre record de 4129 nouvelles failles découvertes. Ainsi, la seule faille de sécurité CODE RED identifiée en juillet 2001 a coûté plus de 2,6 Milliards de dollars aux entreprises.

Les solutions actuelles inefficaces

Les techniques de « Hacking » ont largement évolué au cours de ces dernières années mais hélas pas les solutions techniques. Aujourd'hui, plus des deux tiers des attaques s'opèrent au niveau applicatif. Ainsi, selon un rapport établit par le FBI en 2001, 95% des entreprises piratées disposaient d'un firewall et 61% d'un IDS (Intrusion Detection System).

SSL met en péril les services Web

Un des risques majeur des services Web est paradoxalement lié au protocole SSL. En effet, son utilisation pour sécuriser le Web rend totalement inefficace les équipements de sécurité conventionnels. Ainsi, toute attaque véhiculée via HTTPS (HTTP over SSL) peut atteindre un serveur Web en production et ce quel que soit le Firewall ou la sonde IDS mis en oeuvre pour sécuriser le service en ligne.

L'insuffisance des Firewalls

Les Firewalls offrent une protection périmétrique des réseaux en agissant exclusivement sur le type des communications mais pas sur leur contenu. Ainsi, les Firewalls ne sont d'aucune utilité pour contrer les attaques spécifiques du Web (Unicode, Nimda, Code Red,... ).

 
La limite des sondes IDS

La protection d'une sonde IDS est basée exclusivement sur la recherche de signature d'attaque (pattern matching). Elle est donc efficace uniquement pour détecter des vulnérabilités connues. Les sondes IDS ne peuvent assurer aucune protection sur les transactions sécurisées SSL et n'offrent aucune garantie d'analyse de trafic. Enfin, les sondes IDS ont un comportement passif et sont réputées pour leurs nombreux déclenchements intempestifs (False positive).

L'inadéquation des scanners

Les scanners de vulnérabilités offrent principalement un service d'identification et d'évaluation des risques potentiels. Même utilisé de façon récurrente et systématique, ce type d'outil comporte deux lacunes majeures : un fonctionnement totalement passif et une inefficacité absolue face aux nouvelles vulnérabilités non encore identifiées.

Appliquer les correctifs : L'ultime solution ?

Appliquer des correctifs (patchs) de sécurité nécessite une veille technologique permanente. En pratique, on constate un délai minimum de 15 jours entre l'apparition d'une nouvelle faille et l'application de son correctif. D'autre part, dès qu'un nouveau correctif est installé, des effets de bord ou de nouvelles vulnérabilités liées au correctif lui-même peuvent apparaître. Il est important de noter que la plupart des « patchs » sont développés dans l'urgence par les éditeurs et ne sont pas toujours compatibles ou certifiés pour l'ensemble des plateformes concernées. Enfin, la disponibilité d'un correctif suppose une identification préalable de la vulnérabilité. Un serveur intégralement « patché » est donc toujours exposé à de nouvelles vulnérabilités. apparaît globalement régie par les technologies sophistiquées dont la presse mentionne les performances quotidiennement.