Sommaire
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
Réfléchissons quelques minutes à l'évolution des fameux systèmes d'information. Ils sont entourés de moult protections, dont le marketing explique bien souvent le prix de la licence (notez que j'ai écrit « explique » et non « justifie »). Du coup, quand on cible une entité, de l'extérieur, les points d'accès sont généralement connus et limités : un webmail, un VPN, un serveur de messagerie, un pseudo-serveur web.
Les faux antivirus (Rogue AV) sont présents depuis de nombreuses années et tentent d'effrayer les utilisateurs en leur faisant croire que leurs machines sont infectées. Le FBI affirme que le montant des fraudes est supérieur à 150 Millions de dollars, et pour obtenir une telle somme, les cybercriminels sont sans cesse à la recherche de techniques alarmantes et effrayantes pour les utilisateurs.
Résumé des épisodes précédents : le XSS tend à devenir une composante importante de scénarios d'infection massive exploitant des vecteurs d'attaques combinées visant, entre autres, à constituer des réseaux de machines zombies. La parenté du XSS avec des techniques d’attaques applicatives par débordement de tampon permet de bien comprendre la diversité et la puissance des attaques que le XSS rend possibles. Nous allons maintenant nous interroger sur les raisons susceptibles d’expliquer le relatif échec de la lutte anti-XSS aujourd’hui et illustrerons notre propos en essayant d’évaluer le risque réel de différents scénarios d’attaques, tirant notamment parti des trois erreurs les plus fréquemment commises à propos du XSS.