La sécurité constitue un enjeu majeur dans l’utilisation mais également dans le développement des applications web. Quelles peuvent être les conséquences d’une application mal sécurisée ? Quels risques prennent les entreprises à exposer des applications dont la sécurité est mal maîtrisée ?
Dans cette première partie, je vous propose de prendre conscience des risques que les sociétés subissent au travers de quelques exemples récents, de voir ce qu’est la sécurité et quelles sont les fonctions qu’elle doit assurer. Pour finir, nous verrons ce qu’est une application web et comment les principes de la sécurité s’y appliquent.
Prêt à plonger dans le monde de la sécurité applicative? Allons-y !
Yahoo! se fait pirater
Vous connaissez sans doute la société Yahoo! qui est une compagnie américaine qui offre des services sur Internet comme un moteur de recherche, des boites emails, une messagerie instantanée et de l’hébergement web.
Cette société importante du paysage Internet mondial, en dépit de son poids financier colossal de 62 milliards de dollars, a connu par le passé de nombreux déboires de sécurité, dont le plus important est le suivant.
Les causes de ce dysfonctionnement majeur seraient liées à un accès mal sécurisé au centre de contrôle des comptes Yahoo!. Les conséquences pour l’entreprise ont été particulièrement néfastes : le cours de bourse s’est effondré et Yahoo! a été rachetée par un concurrent.
Un cauchemar sud-coréen
Les Sud-Coréens apprennent en janvier 2014 que les données de 100 millions de cartes de crédit ont été volées depuis plusieurs années. 20 millions de comptes bancaires ont également été piratés.
Le voleur de données était en fait un employé du Korea Credit Bureau (KCB), une société d’étude de solvabilité. Celui-ci volait les informations personnelles de clients de sociétés émettrices de carte de crédit lorsqu’il travaillait pour elles comme consultant. Il avait tout simplement copié les données sur un disque dur externe au fil des mois et les a ensuite revendues à des sociétés de marketing.
Les puces RFID (Radio-Frequency Identification)
Les étiquettes d’identification radio sont des puces sans contact transmettant des données à distance par moyens radioélectriques. Ce type de puces est utilisé dans le système Navigo dans les transports en Île-de-France ou pour le marquage des animaux. Au-delà de ces exemples proches de nous, les utilisations potentielles de cette technologie sont nombreuses : gestion de stocks, grands magasins, télépéages d’autoroutes, jusqu’aux nouveaux passeports.
Vous imaginez bien l’intérêt que pourrait trouver un concurrent à lire à distance l’ensemble du flux logistique de distribution d’un industriel.
Le géant américain VTech
VTech est une compagnie américaine qui pèse plusieurs milliards de dollars à la bourse de New York et qui vend du matériel informatique. Un jour en 2015, un journaliste les a appelés pour leur apprendre qu’il avait accès à toute leur base de données clients.
Vtech vend aussi des téléphones et possède évidemment un magasin en ligne. La plupart des objets et jouets vendus par VTech sont capables de se connecter au Cloud et permettent de stocker des images et des enregistrements de voix sur les serveurs de la société.
Un hacker a découvert quelques failles de sécurité dans les applications web de VTECH et notamment celles liées aux injections de code malicieux. Il s’agit d’une technique qui consiste à injecter des données dans une application pour en modifier le comportement.
Les dommages causés par le hacker sont estimés à plusieurs millions de dollars. Et ne parlons pas de la réputation de l’entreprise dont les clients représentent 5 millions de parents.
Le contexte global
Au travers de ces quelques exemples, vous voyez à quel point les failles de sécurité d’applications ou de technologies peuvent avoir un impact néfaste sur le business des sociétés.
Néanmoins, ces exemples ne représentent que la partie émergée de l’iceberg.
Rendez-vous compte :
Au niveau mondial, une étude récente estime que le coût cumulé des failles de sécurité concernant les données pourrait représenter 8 trillions de dollars entre 2017 et 2022 ;
Gemalto, un des leaders mondiaux en cybersécurité, estime qu'environ 5,6 millions de données personnelles (adresse mail, mot de passe, numéro de carte bleue…) sont dérobées chaque année ;
Enfin, le cabinet de conseil Deloitte conforte une idée déjà partagée dans le monde des professionnels de la sécurité : cette tendance est inéluctable.
En résumé
Dans ce contexte global fortement marqué par une forte expansion des attaques et des impacts potentiels sur les entreprises et les particuliers, je vous invite, dans le prochain chapitre, à voir ce qu’est la sécurité et quelles sont les fonctions à préserver.