Vous voilà bien parti pour devenir un développeur Java.
Vous avez beaucoup travaillé et vous avez hâte d’être enfin en mesure de développer des applications de qualité, parfaitement sécurisées.
Et c'est important car les applications web sont une cible permanente des attaques malveillantes.
Pourquoi et comment cela arrive-t-il ?
Un navigateur web ouvre une application web et connecte l’utilisateur à une base de données. Cette dernière peut être utilisée pour récupérer ou stocker les données traitées sur le navigateur.
Alors que de plus en plus de sociétés ont recours au e-commerce pour faire vivre leur activité, un nombre croissant de données exclusives et d’informations personnellement identifiables sont transférées de serveur en serveur partout dans le monde.
Ces données devraient être protégées. Toutefois, de nombreux développeurs et sociétés ne savent pas comment correctement les sécuriser lorsqu’elles sont stockées ou en transmission. En d’autres termes : les applications web sont vulnérables face à des attaques toujours plus perfectionnées, à moins d'avoir recours à des mesures spécifiques pour les éviter.
Prenons l’exemple d’une attaque classique : le piratage informatique des données.
En septembre 2018, le complexe hôtelier Marriott a été victime de l’un des piratages informatiques des données les plus importants de l’histoire. 500 millions de clients ont été affectés, et la société a perdu 3 millions de dollars. La sécurité des données personnelles et identifiables des clients a été compromise lorsqu’ils ont utilisé le système de réservation de l’hôtel. Marriott n’avait plus la main sur le nom, l’adresse et les coordonnées bancaires de ses clients, ou toute autre information susceptible d’avoir été stockée sur son site Internet. Yahoo et Equifax ont également fait l'expérience de piratages informatiques des données similaires.
Une injection SQL est susceptible de se produire sur les sites où les utilisateurs doivent remplir des informations, comme sur un formulaire de connexion. Le hacker peut alors injecter un code dans le champ du nom d’utilisateur, ce qui lui permet d’accéder à toute l’application, et de la faire dysfonctionner. En juin 2019, Akamai, fournisseur axé sur la technologie du cloud et chargé de récupérer les signaux d’alerte d’injection SQL, a établi un rapport indiquant que les occurrences d’attaques SQL étaient en augmentation au sein de l’industrie du jeu vidéo.
Les méthodes pour prévenir les injections SQL nécessitent un certain savoir-faire de la part des développeurs front-end et back-end. Si ces deux parties travaillent de concert pour empêcher les injections SQL, elles contribuent à la protection de l’application web contre les utilisateurs malveillants.
Sécurisez vos applications
Vous comprenez maintenant pourquoi il est primordial de porter attention à la sécurité. En tant que développeur Java, vous pouvez prévenir les piratages informatiques contre votre entreprise.
Comment m’assurer que mes applications sont sécurisées ?
En premier lieu, reportez-vous aux études disponibles. Un organisme à but non lucratif, Open Web Application Security Project (OWASP), a été créé pour informer le public des attaques les plus fréquentes à l’encontre des applications web, les étudier, et donner des informations sur la manière de les prévenir. En prenant en compte le Top 10 d'OWASP dans la création de votre application, vous la rendrez plus qualitative, ce qui fera de vous un développeur performant.
Ensuite, mettez en place des bases solides. Un framework (cadre de développement) vulnérable vous conduira droit dans le mur. Mieux vaut s’assurer de la fiabilité des frameworks ou des dépendances que vous utilisez (plug-in, librairies et autres). Cela ne vous empêchera pas de suivre des démarches complémentaires pour sécuriser vos applications web contre les attaques fréquentes, et d’effectuer des tests – que nous aborderons plus tard dans ce cours. 😄
Toutes ces informations… Mais par où commencer ?
En tant que développeur, vous pouvez utiliser des librairies dédiées à la sécurité, afin de protéger vos applications web. Pour les développeurs Java, ces librairies sont disponibles pour toutes sortes de frameworks d’application dont Spring Boot.
En résumé
Les attaques malveillantes visant les applications web sont en augmentation.
Deux des attaques les plus communes sont le piratage informatique des données et les injections SQL.
Pour les éviter, vous devez sécuriser votre programmation.
OWASP définit un Top 10 des attaques visant les applications web.
Au prochain chapitre, nous verrons comment utiliser Spring Security pour contrer ces problèmes !
