Bilan 2008 des attaques de sites Internet

Le Web Hacking Incidents Database (WHID) vient de publier une étude sur les attaques 2008 des sites Internet dont voici les principaux chiffres :
– 24% de ces attaques se sont soldées par un défacement du site attaqué, c’est-à-dire généralement par une modification de la page d’accueil pour y laisser un message,
– 19% ont été faites dans le but de voler des données plus ou moins sensibles,données ensuite revendues pour être exploitées afin de dérober de l’argent,
– 8% dans le but de rendre le site indisponible.

Concernant les types d’attaques, l’étude du WHID souligne une tendance :
– l’injection SQL reste la méthode la plus employée avec 30% des attaques, et connaît une nette progression par rapport à l’année précédente (20% en 2007),
– alors que les attaques de type XSS (Cross-Site Scripting) sont en léger recul avec 8% (contre 12% précédemment),
– 8% des vulnérabilités résultent d’un défaut (ou d’une absence) de système d’authentification,
– et surtout près de 30% des vulnérabilités exploitées par des pirates restent inconnues (ou ne sont pas communiquées publiquement).

L’enquête explique ce dernier point par un manque évident de visibilité sur le trafic Web en raison d’une faiblesse du monitoring et d’analyse des logs.  Or, cette faille dans les mécanismes de surveillance permet aux pirates de réaliser des tentatives d’attaques répétées sans générer d’alerte et de n’être découverts que très tardivement.

Les administrations, et plus particulièrement les sites gouvernementaux ou appartenant à des forces de l’ordre, sont des cibles idéales, principalement visées pour des raisons idéologiques. Les sites commerciaux font malgré tout partie des cibles les plus fréquemment visées par des attaques, notamment les sites d’e-commerce. Enfin le secteur de la finance continue à faire l’objet de piratage.

Leave a reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *


Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>