Avec l’augmentation des achats en ligne et l’adoption du modèle SaaS (Software as a service) par les entreprises, les applications web et sites e-commerce sont devenus des cibles de choix pour les cybercriminels. Forts d’une augmentation de 20%, les incidents de sécurité ont ciblé ces plateformes en 2020. Ce sont les entreprises (par l’intermédiaire de demandes de rançons) et les consommateurs (par la revente des données) qui en sont les victimes. Pour faire face à la menace, plus que jamais les plateformes e-commerce et applications web doivent être soumises à des tests de sécurité accrus garantissant la sécurité et l’intégrité des données des consommateurs.

Découvrons ensemble pourquoi les tests d’intrusion sont aujourd’hui indispensables pour les acteurs SaaS et e-commerce.

Qu’est-ce qu’un pentest ou test d’intrusion ?

Un test d’intrusion, également connu sous le terme de pentest, test de pénétration ou test de sécurité, est une simulation de cyberattaques contre tout type de système informatique tel qu’une application, un accès physique (porte, routeur, prise ethernet), un site web, ou encore contre les employés d’une organisation au travers d’une stratégie d’ingénierie sociale. Il s''agit, dans un premier temps, d''identifier des vulnérabilités exploitables, puis d''exploiter les différentes failles de sécurité dans le but de compromettre partiellement ou totalement le système d’information de la victime. Les tests d’intrusion permettent d’évaluer la pertinence de la politique de sécurité des systèmes d’information (PSSI) de l’entreprise en identifiant les écarts de sécurité à combler. En identifiant les points d’améliorations, un plan d’action est alors mis en place à l’aide d’objectifs priorisés. Le test d’intrusion est également un passage obligé pour l’obtention de nombreuses certifications comme la certification ISO 27001.

Pourquoi faire appel à des tests de pénétration ?

Les tests de pénétration s’axent autour du client, des éléments de conformité, des utilisateurs, des processus ou bien encore de la technologie pour pénétrer la machine cible et accéder aux actifs numériques.

Un test de pénétration est effectué par un expert en sécurité, encore appelé pentesteur ou auditeur, qui est formé pour identifier et documenter les problèmes présents dans un environnement défini. Maîtrise des systèmes et des réseaux, connaissance des différents matériels de sécurité et technologies du marché... autant d’atouts pour comprendre et exploiter les vulnérabilités d’un système d’information.

Les objectifs du test d’intrusion sont donc multiples et nous pouvons citer :

  • l’identification des vulnérabilités exploitables,
  • l’évaluation de robustesse de la politique de sécurité mise en place par l’entreprise
  • la vérification de la conformité réglementaire (par exemple, dans le cadre de la certification PCI DSS indispensable au paiement en ligne sécurisé)
  • la sensibilisation des employés à la cybersécurité,
  • l’évaluation de la gestion de la réponse à incidents de sécurité.

L’objectif fondamental des tests d’intrusion est de trouver les faiblesses des systèmes et des processus de l’entreprise avant les attaquants !

Qui peut réaliser un pentest ?

Un test de pénétration est effectué par un expert en sécurité, encore appelé pentester ou auditeur, qui est formé pour identifier et documenter les problèmes présents dans un environnement défini. Maîtrise des systèmes et des réseaux, connaissance des différents matériels de sécurité et technologies du marché... autant d’atouts pour comprendre et exploiter les vulnérabilités d’un système d’information.

Plusieurs formats de pentest sont alors réalisés :

  • L’audit white box, est un audit ou l’auditeur à sa possession l''ensemble des informations permettant d’entrer sur l’infrastructure cible (la cartographie de l’infrastructure, les accès aux machines …).
  • L’audit grey box, est un audit ou l’auditeur n’a que des informations partielles sur l’environnement cible comme une série d’IP et des informations sur les services hébergés.
  • L’audit black box, est un audit ou le pentesteur ne doit pas avoir de connaissances préalables sur l’environnement à tester afin d’éviter tout biais et de se rapprocher des conditions réelles des attaquants.
Visionnez notre webinaire retour d'expérience

Quels sont les risques cyber pour un site e-commerce ?

Il est vrai que le commerce en ligne repose le plus souvent sur un environnement sécurisé.

Flux bancaires, informations personnelles… de nombreuses données ont de la valeur pour les cyber-criminels. Ainsi les incidents de sécurité à l’encontre des sites e-commerce sont en constante augmentation. En 2020, 69 % des entreprises américaines déclarent avoir connu une croissance alarmante de 20 % (d’après l’étude de Webscale The Global Ecommerce Security Report 2021).

Toujours selon la même étude, depuis la crise sanitaire, le nombre d’attaques ciblant les sites d’achat en ligne ne cesse d’augmenter (évolution des chiffres sur l’année 2020 versus 2019) :

  • + 32 % de bots malveillants,
  • + 38 % d''attaques DDoS (un attaquant de réaliser un déni de service),
  • + 43 % de vol de numéros de cartes de crédit,
  • + 65 % de fraudes par carte bancaire,
  • + 45 % d''injections SQL ,
  • + 41% d''attaques par prise de contrôle de compte (ATO),
  • + 81 % d''attaques Magecart (connu également sous le nom de “web skimming attacks” qui est l’équivalent digital des attaques skimmers sur les distributeurs ,
  • + 53 % du nombre de e-commerçants attaqués.

En France, la dernière étude du CESIN et d’OpinionWay de janvier 2022 annonce que 54% des entreprises ont été la cible d’une cyber attaque.

En voyant ces chiffres, nous comprenons l’importance de faire des audits de sécurité avec des tests de pénétration sur son site marchand ou ses applications web pour prévenir les failles potentielles de sécurité. Les cybermenaces évoluent quotidiennement et même les plateformes e-commerce les plus robustes sont ou seront à un moment donné seront à un moment vulnérables aux attaques. Que vous soyez un site avec un fort trafic, ou un petit site e-commerce, toutes les entreprises seront un jour visées.

Quels sont les différents tests de sécurité à effectuer sur un site e-commerce ou une application SaaS ?

Dans le cas des applications web et sites e-commerce, les tests d’intrusions sont réalisés pour identifier, analyser et signaler les vulnérabilités courantes des applications web (API, brique middleware, base de données, application mobile). On s'appuie généralement sur les travaux de l'sOWASP.

Nous pouvons citer :

  • L’injection SQL
  • L’erreur de développement
  • Les failles d’authentification
  • L’escalade de privilèges
  • La mauvaise gestion des droits utilisateurs
  • La violation de pare-feu (firewall en anglais) d’application web (WAF)
  • L’erreur de configuration

Les tests de pénétration spécialisés pour les sites e-commerce se focalisent sur les problèmes liés à la logique métier, la conception de la plateforme e-commerce, les vulnérabilités potentielles des revendeurs, fournisseurs de contenus et des partenaires tiers généralement intégrés via une API, sans oublier les solutions de paiement.

Quelles sont les menaces qui ciblent les sites e-commerces ?

Les attaques menées à plus grande échelle sur les sites et applications marchandes peuvent être regroupées en 4 grandes catégories :

  • Le vol de base de données
    résulte de l’introduction dans les systèmes d’informations des attaquants qui ont exploité des vulnérabilités. Les informations sont alors revendues. L’an dernier, l’entreprise française de cryptomonnaie, Ledger, a subi un vol de données sensibles sur sa base clients : les données de 272 000 clients (nom, e-mail, numéro de téléphone, adresse postale, produit(s) acheté(s) chez Ledger) ont fuité. Cette fuite est la résultante d’une faille de sécurité sur un plugin utilisé sur le site shopify de l’entreprise.
  • Le defacing
    encore appelé barbouillage ou défacement, consiste à prendre le contrôle du site web et de remplacer la page d’accueil du site par un message revendicatif.
  • La compromission d’API
    permet le plus souvent d’exfiltrer des données à l’insu de la victime. Gartner annonce que dans les prochaines années « les exploitations d''API passeront du statut de vecteur d''attaque peu fréquent à celui de vecteur le plus fréquent, entraînant des violations de données pour les applications Web d''entreprise ».
  • Le Phishing, ou hameçonnage en français
    consiste à usurper l’identité d’une marque en envoyant des emails frauduleux ou de tromperie pour inciter celui qui le reçoit à divulguer des informations personnelles sensibles.Et c''est d''autant plus simple si le site présentes des vulnérabilités qui facilitent la tâche des pirates. Cette technique reste le premier vecteur de cyberattaques dans les entreprises.

Les tests d’intrusion, en conclusion

Comme nous l’avons vu, le test de pénétration est un audit de sécurité informatique qui sert à évaluer la sécurité en mettant à l’épreuve une application ou un site e-commerce face à des attaques réalistes.

Le défi des entreprises est double : se concentrer sur leur croissance et leur expansion commerciale tout en veillant à leur sécurité en prenant en compte les forts risques émanant des cyberattaques (vol de données, atteinte à la réputation, perte de confiance des clients, dégâts financiers…).

Pour se parer au pire, les entreprises doivent être en mesure de connaître les faiblesses. Ainsi averties, une politique de sécurité peut alors être mise en place afin de garantir un haut niveau de sécurité et un suivi des standards et bonnes pratiques.







Article précédent