Les codeurs conquièrent la sécurité : série Share & Learn - Protection insuffisante de la couche de transport
Même si vous avez complètement sécurisé un serveur d'applications et les systèmes principaux qu'il utilise, les communications peuvent toujours être vulnérables à l'espionnage si la protection de la couche de transport est insuffisante. Dans le monde physique, la raison pour laquelle les devises fortes sont déplacées à l'aide de véhicules blindés est de les protéger pendant leur transport. Peu importe la sécurité d'un magasin ou d'une banque si l'argent qu'il génère est chargé dans une voiturette de golf pour traverser la ville en voiture.
Il en va de même pour les couches de transport dans le cyberespace. Même si une application est sécurisée, il existe toujours une vulnérabilité critique si les informations qui y entrent sont envoyées sans aucune protection. Et certaines applications présentent une deuxième vulnérabilité si elles envoient également des informations à d'autres serveurs ou à une base de données. Ces informations peuvent être divulguées à des initiés qui n'ont aucune raison d'espionner ces transactions.
Pour protéger pleinement les utilisateurs et les données, il est nécessaire de protéger la couche transport. Ce n'est qu'ainsi que vous pourrez sécuriser totalement l'intégralité d'une transaction de bout en bout.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques peuvent exploiter une protection insuffisante de la couche de transport
- Pourquoi ne pas protéger la couche de transport est si dangereux
- Que peut-on faire pour sécuriser le transport de toutes les données entrant et transitant par une application ou un serveur ?
Comment les attaquants exploitent-ils une protection insuffisante de la couche de transport ?
Une protection insuffisante de la couche de transport peut permettre des attaques en deux points de votre flux de données. L'endroit le plus fréquemment exploité se situe entre un utilisateur et le serveur d'applications. Si les informations sont envoyées en clair ou avec un cryptage faible, les pirates informatiques seront en mesure de surveiller, de voler et éventuellement de modifier ces informations. Cela pourrait permettre aux pirates informatiques de voler la carte de crédit d'un utilisateur, ses informations de connexion ou tout autre élément envoyé au serveur d'applications. Même si le serveur lui-même est sécurisé, un pirate informatique surveillant le canal non sécurisé entre celui-ci et les utilisateurs pourrait obtenir un accès quasi illimité à de nombreuses informations.
Le deuxième point qui n'est souvent pas protégé est la couche de transport entre une application et le reste du réseau. Par exemple, un serveur d'applications peut traiter les commandes d'achat en ligne puis les envoyer à un système de distribution, ou les données peuvent simplement être transférées vers une base de données à des fins de stockage. Si ces canaux internes ne sont pas protégés, les utilisateurs internes pourront peut-être voir ces informations.
Il est bon de croire que tous les utilisateurs internes sont de bonnes personnes, mais le fait est que les menaces internes sont en hausse dans de nombreux secteurs. Des initiés ont été surpris en train d'accepter des pots-de-vin en échange de la collecte d'informations sensibles pour des attaquants ou des concurrents. Et avoir accès à des milliers de cartes de crédit valides peut être tout simplement trop tentant pour que certaines personnes puissent l'ignorer.
En termes de techniques d'attaque, il n'est pas très difficile d'intercepter des communications non protégées. Même les pirates informatiques de niveau inférieur savent comment effectuer des attaques de type « man-in-the-middle » contre des flux de données non chiffrés. S'ils ne le font pas, il existe des vidéos en ligne qui peuvent les entraîner en moins d'une demi-heure.
Pourquoi les vulnérabilités de protection de la couche de transport insuffisantes sont-elles si dangereuses ?
Le fait de disposer d'une protection insuffisante ou inexistante sur les couches de transport est dangereux car cela permet aux pirates de collecter très facilement des informations sensibles. Ils n'ont pas besoin de pénétrer dans le serveur de votre application ou de pirater votre réseau. Ils ont simplement mis en place une attaque de type « man in the middle » et lisent tout ce qui est envoyé sur un serveur par les utilisateurs. Cela peut inclure des noms d'utilisateur et des mots de passe qui peuvent être utilisés pour contourner la sécurité à l'avenir à l'aide d'informations d'identification valides. Selon l'application, cela peut également inclure des informations de carte de crédit ou d'autres données personnelles concernant les utilisateurs.
Et il est important de noter que tout cet espionnage a lieu en dehors de votre réseau. Si vous utilisez des canaux de transport non sécurisés, il n'y a aucun moyen de savoir si quelqu'un capture ces informations. Normalement, le premier signe est lorsque de nombreux utilisateurs commencent à signaler des comptes compromis ou des achats par carte de crédit, et le point commun est que votre application « n'est pas un bon endroit où se trouver ». Les pirates peuvent également modifier les informations une fois qu'ils les possèdent, en modifiant l'adresse de livraison par exemple, ou même en insérant des scripts malveillants dans la réponse du serveur avant de les transmettre aux utilisateurs.
Sur le backend, l'échec de la sécurisation de la couche de transport expose les données à des initiés. Il est probablement beaucoup moins probable qu'un initié espionne la couche de transport par rapport à des pirates informatiques extérieurs faisant de même. Mais c'est également plus dangereux si cela se produit, car la menace interne pourra voir non seulement les données des utilisateurs, mais également toutes les informations exclusives ajoutées par le serveur de l'application avant d'envoyer ces paquets.
Élimination des vulnérabilités de protection de la couche de transport insuffisantes
Aussi dangereuse que puisse être une protection insuffisante de la couche de transport, il n'est pas extrêmement difficile de sécuriser correctement tous vos canaux de transport. Cela commence par l'infrastructure principale. Il doit s'agir exclusivement de HTTPS, veillez à ne pas mélanger HTTPS et HTTP sur un site. Enfin, maintenez un certificat SSL valide avec une taille de clé minimale de 2048 bits tout en obligeant tous les utilisateurs à interagir à l'aide de navigateurs sécurisés dotés de la technologie HTTP Strict Transport Security (HSTS).
Une fois l'infrastructure en place, les développeurs doivent utiliser un protocole robuste pour protéger la couche de transport. Idéalement, TLS 1.2 devrait être utilisé, bien que TLS 1.1 et 1.0 soient également acceptables en cas d'absolue nécessité. Une fois que cela sera en place, les protocoles faibles tels que SSLv2 devraient être complètement désactivés et ne jamais être pris en charge.
Il faut également veiller à ce que les chiffrements cryptographiques soient suffisamment puissants sur le backend. Idéalement, la taille minimale de la clé de session doit être de 128 bits. Comme pour les protocoles, la prise en charge des algorithmes cryptographiques faibles tels que DES et RC4-40 doit être désactivée. Enfin, ne considérez pas qu'une application est vraiment sécurisée tant que le serveur lui-même et tous les chemins de données qui y entrent et en sortent ne sont pas suffisamment protégés.
Informations supplémentaires sur les vulnérabilités de protection insuffisante de la couche de transport
Pour en savoir plus, vous pouvez consulter l'OWASP guide de protection couches de transport. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Même si vous avez complètement sécurisé un serveur d'applications et les systèmes principaux qu'il utilise, les communications peuvent toujours être vulnérables à l'espionnage si la protection de la couche de transport est insuffisante.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Même si vous avez complètement sécurisé un serveur d'applications et les systèmes principaux qu'il utilise, les communications peuvent toujours être vulnérables à l'espionnage si la protection de la couche de transport est insuffisante. Dans le monde physique, la raison pour laquelle les devises fortes sont déplacées à l'aide de véhicules blindés est de les protéger pendant leur transport. Peu importe la sécurité d'un magasin ou d'une banque si l'argent qu'il génère est chargé dans une voiturette de golf pour traverser la ville en voiture.
Il en va de même pour les couches de transport dans le cyberespace. Même si une application est sécurisée, il existe toujours une vulnérabilité critique si les informations qui y entrent sont envoyées sans aucune protection. Et certaines applications présentent une deuxième vulnérabilité si elles envoient également des informations à d'autres serveurs ou à une base de données. Ces informations peuvent être divulguées à des initiés qui n'ont aucune raison d'espionner ces transactions.
Pour protéger pleinement les utilisateurs et les données, il est nécessaire de protéger la couche transport. Ce n'est qu'ainsi que vous pourrez sécuriser totalement l'intégralité d'une transaction de bout en bout.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques peuvent exploiter une protection insuffisante de la couche de transport
- Pourquoi ne pas protéger la couche de transport est si dangereux
- Que peut-on faire pour sécuriser le transport de toutes les données entrant et transitant par une application ou un serveur ?
Comment les attaquants exploitent-ils une protection insuffisante de la couche de transport ?
Une protection insuffisante de la couche de transport peut permettre des attaques en deux points de votre flux de données. L'endroit le plus fréquemment exploité se situe entre un utilisateur et le serveur d'applications. Si les informations sont envoyées en clair ou avec un cryptage faible, les pirates informatiques seront en mesure de surveiller, de voler et éventuellement de modifier ces informations. Cela pourrait permettre aux pirates informatiques de voler la carte de crédit d'un utilisateur, ses informations de connexion ou tout autre élément envoyé au serveur d'applications. Même si le serveur lui-même est sécurisé, un pirate informatique surveillant le canal non sécurisé entre celui-ci et les utilisateurs pourrait obtenir un accès quasi illimité à de nombreuses informations.
Le deuxième point qui n'est souvent pas protégé est la couche de transport entre une application et le reste du réseau. Par exemple, un serveur d'applications peut traiter les commandes d'achat en ligne puis les envoyer à un système de distribution, ou les données peuvent simplement être transférées vers une base de données à des fins de stockage. Si ces canaux internes ne sont pas protégés, les utilisateurs internes pourront peut-être voir ces informations.
Il est bon de croire que tous les utilisateurs internes sont de bonnes personnes, mais le fait est que les menaces internes sont en hausse dans de nombreux secteurs. Des initiés ont été surpris en train d'accepter des pots-de-vin en échange de la collecte d'informations sensibles pour des attaquants ou des concurrents. Et avoir accès à des milliers de cartes de crédit valides peut être tout simplement trop tentant pour que certaines personnes puissent l'ignorer.
En termes de techniques d'attaque, il n'est pas très difficile d'intercepter des communications non protégées. Même les pirates informatiques de niveau inférieur savent comment effectuer des attaques de type « man-in-the-middle » contre des flux de données non chiffrés. S'ils ne le font pas, il existe des vidéos en ligne qui peuvent les entraîner en moins d'une demi-heure.
Pourquoi les vulnérabilités de protection de la couche de transport insuffisantes sont-elles si dangereuses ?
Le fait de disposer d'une protection insuffisante ou inexistante sur les couches de transport est dangereux car cela permet aux pirates de collecter très facilement des informations sensibles. Ils n'ont pas besoin de pénétrer dans le serveur de votre application ou de pirater votre réseau. Ils ont simplement mis en place une attaque de type « man in the middle » et lisent tout ce qui est envoyé sur un serveur par les utilisateurs. Cela peut inclure des noms d'utilisateur et des mots de passe qui peuvent être utilisés pour contourner la sécurité à l'avenir à l'aide d'informations d'identification valides. Selon l'application, cela peut également inclure des informations de carte de crédit ou d'autres données personnelles concernant les utilisateurs.
Et il est important de noter que tout cet espionnage a lieu en dehors de votre réseau. Si vous utilisez des canaux de transport non sécurisés, il n'y a aucun moyen de savoir si quelqu'un capture ces informations. Normalement, le premier signe est lorsque de nombreux utilisateurs commencent à signaler des comptes compromis ou des achats par carte de crédit, et le point commun est que votre application « n'est pas un bon endroit où se trouver ». Les pirates peuvent également modifier les informations une fois qu'ils les possèdent, en modifiant l'adresse de livraison par exemple, ou même en insérant des scripts malveillants dans la réponse du serveur avant de les transmettre aux utilisateurs.
Sur le backend, l'échec de la sécurisation de la couche de transport expose les données à des initiés. Il est probablement beaucoup moins probable qu'un initié espionne la couche de transport par rapport à des pirates informatiques extérieurs faisant de même. Mais c'est également plus dangereux si cela se produit, car la menace interne pourra voir non seulement les données des utilisateurs, mais également toutes les informations exclusives ajoutées par le serveur de l'application avant d'envoyer ces paquets.
Élimination des vulnérabilités de protection de la couche de transport insuffisantes
Aussi dangereuse que puisse être une protection insuffisante de la couche de transport, il n'est pas extrêmement difficile de sécuriser correctement tous vos canaux de transport. Cela commence par l'infrastructure principale. Il doit s'agir exclusivement de HTTPS, veillez à ne pas mélanger HTTPS et HTTP sur un site. Enfin, maintenez un certificat SSL valide avec une taille de clé minimale de 2048 bits tout en obligeant tous les utilisateurs à interagir à l'aide de navigateurs sécurisés dotés de la technologie HTTP Strict Transport Security (HSTS).
Une fois l'infrastructure en place, les développeurs doivent utiliser un protocole robuste pour protéger la couche de transport. Idéalement, TLS 1.2 devrait être utilisé, bien que TLS 1.1 et 1.0 soient également acceptables en cas d'absolue nécessité. Une fois que cela sera en place, les protocoles faibles tels que SSLv2 devraient être complètement désactivés et ne jamais être pris en charge.
Il faut également veiller à ce que les chiffrements cryptographiques soient suffisamment puissants sur le backend. Idéalement, la taille minimale de la clé de session doit être de 128 bits. Comme pour les protocoles, la prise en charge des algorithmes cryptographiques faibles tels que DES et RC4-40 doit être désactivée. Enfin, ne considérez pas qu'une application est vraiment sécurisée tant que le serveur lui-même et tous les chemins de données qui y entrent et en sortent ne sont pas suffisamment protégés.
Informations supplémentaires sur les vulnérabilités de protection insuffisante de la couche de transport
Pour en savoir plus, vous pouvez consulter l'OWASP guide de protection couches de transport. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Même si vous avez complètement sécurisé un serveur d'applications et les systèmes principaux qu'il utilise, les communications peuvent toujours être vulnérables à l'espionnage si la protection de la couche de transport est insuffisante. Dans le monde physique, la raison pour laquelle les devises fortes sont déplacées à l'aide de véhicules blindés est de les protéger pendant leur transport. Peu importe la sécurité d'un magasin ou d'une banque si l'argent qu'il génère est chargé dans une voiturette de golf pour traverser la ville en voiture.
Il en va de même pour les couches de transport dans le cyberespace. Même si une application est sécurisée, il existe toujours une vulnérabilité critique si les informations qui y entrent sont envoyées sans aucune protection. Et certaines applications présentent une deuxième vulnérabilité si elles envoient également des informations à d'autres serveurs ou à une base de données. Ces informations peuvent être divulguées à des initiés qui n'ont aucune raison d'espionner ces transactions.
Pour protéger pleinement les utilisateurs et les données, il est nécessaire de protéger la couche transport. Ce n'est qu'ainsi que vous pourrez sécuriser totalement l'intégralité d'une transaction de bout en bout.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques peuvent exploiter une protection insuffisante de la couche de transport
- Pourquoi ne pas protéger la couche de transport est si dangereux
- Que peut-on faire pour sécuriser le transport de toutes les données entrant et transitant par une application ou un serveur ?
Comment les attaquants exploitent-ils une protection insuffisante de la couche de transport ?
Une protection insuffisante de la couche de transport peut permettre des attaques en deux points de votre flux de données. L'endroit le plus fréquemment exploité se situe entre un utilisateur et le serveur d'applications. Si les informations sont envoyées en clair ou avec un cryptage faible, les pirates informatiques seront en mesure de surveiller, de voler et éventuellement de modifier ces informations. Cela pourrait permettre aux pirates informatiques de voler la carte de crédit d'un utilisateur, ses informations de connexion ou tout autre élément envoyé au serveur d'applications. Même si le serveur lui-même est sécurisé, un pirate informatique surveillant le canal non sécurisé entre celui-ci et les utilisateurs pourrait obtenir un accès quasi illimité à de nombreuses informations.
Le deuxième point qui n'est souvent pas protégé est la couche de transport entre une application et le reste du réseau. Par exemple, un serveur d'applications peut traiter les commandes d'achat en ligne puis les envoyer à un système de distribution, ou les données peuvent simplement être transférées vers une base de données à des fins de stockage. Si ces canaux internes ne sont pas protégés, les utilisateurs internes pourront peut-être voir ces informations.
Il est bon de croire que tous les utilisateurs internes sont de bonnes personnes, mais le fait est que les menaces internes sont en hausse dans de nombreux secteurs. Des initiés ont été surpris en train d'accepter des pots-de-vin en échange de la collecte d'informations sensibles pour des attaquants ou des concurrents. Et avoir accès à des milliers de cartes de crédit valides peut être tout simplement trop tentant pour que certaines personnes puissent l'ignorer.
En termes de techniques d'attaque, il n'est pas très difficile d'intercepter des communications non protégées. Même les pirates informatiques de niveau inférieur savent comment effectuer des attaques de type « man-in-the-middle » contre des flux de données non chiffrés. S'ils ne le font pas, il existe des vidéos en ligne qui peuvent les entraîner en moins d'une demi-heure.
Pourquoi les vulnérabilités de protection de la couche de transport insuffisantes sont-elles si dangereuses ?
Le fait de disposer d'une protection insuffisante ou inexistante sur les couches de transport est dangereux car cela permet aux pirates de collecter très facilement des informations sensibles. Ils n'ont pas besoin de pénétrer dans le serveur de votre application ou de pirater votre réseau. Ils ont simplement mis en place une attaque de type « man in the middle » et lisent tout ce qui est envoyé sur un serveur par les utilisateurs. Cela peut inclure des noms d'utilisateur et des mots de passe qui peuvent être utilisés pour contourner la sécurité à l'avenir à l'aide d'informations d'identification valides. Selon l'application, cela peut également inclure des informations de carte de crédit ou d'autres données personnelles concernant les utilisateurs.
Et il est important de noter que tout cet espionnage a lieu en dehors de votre réseau. Si vous utilisez des canaux de transport non sécurisés, il n'y a aucun moyen de savoir si quelqu'un capture ces informations. Normalement, le premier signe est lorsque de nombreux utilisateurs commencent à signaler des comptes compromis ou des achats par carte de crédit, et le point commun est que votre application « n'est pas un bon endroit où se trouver ». Les pirates peuvent également modifier les informations une fois qu'ils les possèdent, en modifiant l'adresse de livraison par exemple, ou même en insérant des scripts malveillants dans la réponse du serveur avant de les transmettre aux utilisateurs.
Sur le backend, l'échec de la sécurisation de la couche de transport expose les données à des initiés. Il est probablement beaucoup moins probable qu'un initié espionne la couche de transport par rapport à des pirates informatiques extérieurs faisant de même. Mais c'est également plus dangereux si cela se produit, car la menace interne pourra voir non seulement les données des utilisateurs, mais également toutes les informations exclusives ajoutées par le serveur de l'application avant d'envoyer ces paquets.
Élimination des vulnérabilités de protection de la couche de transport insuffisantes
Aussi dangereuse que puisse être une protection insuffisante de la couche de transport, il n'est pas extrêmement difficile de sécuriser correctement tous vos canaux de transport. Cela commence par l'infrastructure principale. Il doit s'agir exclusivement de HTTPS, veillez à ne pas mélanger HTTPS et HTTP sur un site. Enfin, maintenez un certificat SSL valide avec une taille de clé minimale de 2048 bits tout en obligeant tous les utilisateurs à interagir à l'aide de navigateurs sécurisés dotés de la technologie HTTP Strict Transport Security (HSTS).
Une fois l'infrastructure en place, les développeurs doivent utiliser un protocole robuste pour protéger la couche de transport. Idéalement, TLS 1.2 devrait être utilisé, bien que TLS 1.1 et 1.0 soient également acceptables en cas d'absolue nécessité. Une fois que cela sera en place, les protocoles faibles tels que SSLv2 devraient être complètement désactivés et ne jamais être pris en charge.
Il faut également veiller à ce que les chiffrements cryptographiques soient suffisamment puissants sur le backend. Idéalement, la taille minimale de la clé de session doit être de 128 bits. Comme pour les protocoles, la prise en charge des algorithmes cryptographiques faibles tels que DES et RC4-40 doit être désactivée. Enfin, ne considérez pas qu'une application est vraiment sécurisée tant que le serveur lui-même et tous les chemins de données qui y entrent et en sortent ne sont pas suffisamment protégés.
Informations supplémentaires sur les vulnérabilités de protection insuffisante de la couche de transport
Pour en savoir plus, vous pouvez consulter l'OWASP guide de protection couches de transport. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Même si vous avez complètement sécurisé un serveur d'applications et les systèmes principaux qu'il utilise, les communications peuvent toujours être vulnérables à l'espionnage si la protection de la couche de transport est insuffisante. Dans le monde physique, la raison pour laquelle les devises fortes sont déplacées à l'aide de véhicules blindés est de les protéger pendant leur transport. Peu importe la sécurité d'un magasin ou d'une banque si l'argent qu'il génère est chargé dans une voiturette de golf pour traverser la ville en voiture.
Il en va de même pour les couches de transport dans le cyberespace. Même si une application est sécurisée, il existe toujours une vulnérabilité critique si les informations qui y entrent sont envoyées sans aucune protection. Et certaines applications présentent une deuxième vulnérabilité si elles envoient également des informations à d'autres serveurs ou à une base de données. Ces informations peuvent être divulguées à des initiés qui n'ont aucune raison d'espionner ces transactions.
Pour protéger pleinement les utilisateurs et les données, il est nécessaire de protéger la couche transport. Ce n'est qu'ainsi que vous pourrez sécuriser totalement l'intégralité d'une transaction de bout en bout.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques peuvent exploiter une protection insuffisante de la couche de transport
- Pourquoi ne pas protéger la couche de transport est si dangereux
- Que peut-on faire pour sécuriser le transport de toutes les données entrant et transitant par une application ou un serveur ?
Comment les attaquants exploitent-ils une protection insuffisante de la couche de transport ?
Une protection insuffisante de la couche de transport peut permettre des attaques en deux points de votre flux de données. L'endroit le plus fréquemment exploité se situe entre un utilisateur et le serveur d'applications. Si les informations sont envoyées en clair ou avec un cryptage faible, les pirates informatiques seront en mesure de surveiller, de voler et éventuellement de modifier ces informations. Cela pourrait permettre aux pirates informatiques de voler la carte de crédit d'un utilisateur, ses informations de connexion ou tout autre élément envoyé au serveur d'applications. Même si le serveur lui-même est sécurisé, un pirate informatique surveillant le canal non sécurisé entre celui-ci et les utilisateurs pourrait obtenir un accès quasi illimité à de nombreuses informations.
Le deuxième point qui n'est souvent pas protégé est la couche de transport entre une application et le reste du réseau. Par exemple, un serveur d'applications peut traiter les commandes d'achat en ligne puis les envoyer à un système de distribution, ou les données peuvent simplement être transférées vers une base de données à des fins de stockage. Si ces canaux internes ne sont pas protégés, les utilisateurs internes pourront peut-être voir ces informations.
Il est bon de croire que tous les utilisateurs internes sont de bonnes personnes, mais le fait est que les menaces internes sont en hausse dans de nombreux secteurs. Des initiés ont été surpris en train d'accepter des pots-de-vin en échange de la collecte d'informations sensibles pour des attaquants ou des concurrents. Et avoir accès à des milliers de cartes de crédit valides peut être tout simplement trop tentant pour que certaines personnes puissent l'ignorer.
En termes de techniques d'attaque, il n'est pas très difficile d'intercepter des communications non protégées. Même les pirates informatiques de niveau inférieur savent comment effectuer des attaques de type « man-in-the-middle » contre des flux de données non chiffrés. S'ils ne le font pas, il existe des vidéos en ligne qui peuvent les entraîner en moins d'une demi-heure.
Pourquoi les vulnérabilités de protection de la couche de transport insuffisantes sont-elles si dangereuses ?
Le fait de disposer d'une protection insuffisante ou inexistante sur les couches de transport est dangereux car cela permet aux pirates de collecter très facilement des informations sensibles. Ils n'ont pas besoin de pénétrer dans le serveur de votre application ou de pirater votre réseau. Ils ont simplement mis en place une attaque de type « man in the middle » et lisent tout ce qui est envoyé sur un serveur par les utilisateurs. Cela peut inclure des noms d'utilisateur et des mots de passe qui peuvent être utilisés pour contourner la sécurité à l'avenir à l'aide d'informations d'identification valides. Selon l'application, cela peut également inclure des informations de carte de crédit ou d'autres données personnelles concernant les utilisateurs.
Et il est important de noter que tout cet espionnage a lieu en dehors de votre réseau. Si vous utilisez des canaux de transport non sécurisés, il n'y a aucun moyen de savoir si quelqu'un capture ces informations. Normalement, le premier signe est lorsque de nombreux utilisateurs commencent à signaler des comptes compromis ou des achats par carte de crédit, et le point commun est que votre application « n'est pas un bon endroit où se trouver ». Les pirates peuvent également modifier les informations une fois qu'ils les possèdent, en modifiant l'adresse de livraison par exemple, ou même en insérant des scripts malveillants dans la réponse du serveur avant de les transmettre aux utilisateurs.
Sur le backend, l'échec de la sécurisation de la couche de transport expose les données à des initiés. Il est probablement beaucoup moins probable qu'un initié espionne la couche de transport par rapport à des pirates informatiques extérieurs faisant de même. Mais c'est également plus dangereux si cela se produit, car la menace interne pourra voir non seulement les données des utilisateurs, mais également toutes les informations exclusives ajoutées par le serveur de l'application avant d'envoyer ces paquets.
Élimination des vulnérabilités de protection de la couche de transport insuffisantes
Aussi dangereuse que puisse être une protection insuffisante de la couche de transport, il n'est pas extrêmement difficile de sécuriser correctement tous vos canaux de transport. Cela commence par l'infrastructure principale. Il doit s'agir exclusivement de HTTPS, veillez à ne pas mélanger HTTPS et HTTP sur un site. Enfin, maintenez un certificat SSL valide avec une taille de clé minimale de 2048 bits tout en obligeant tous les utilisateurs à interagir à l'aide de navigateurs sécurisés dotés de la technologie HTTP Strict Transport Security (HSTS).
Une fois l'infrastructure en place, les développeurs doivent utiliser un protocole robuste pour protéger la couche de transport. Idéalement, TLS 1.2 devrait être utilisé, bien que TLS 1.1 et 1.0 soient également acceptables en cas d'absolue nécessité. Une fois que cela sera en place, les protocoles faibles tels que SSLv2 devraient être complètement désactivés et ne jamais être pris en charge.
Il faut également veiller à ce que les chiffrements cryptographiques soient suffisamment puissants sur le backend. Idéalement, la taille minimale de la clé de session doit être de 128 bits. Comme pour les protocoles, la prise en charge des algorithmes cryptographiques faibles tels que DES et RC4-40 doit être désactivée. Enfin, ne considérez pas qu'une application est vraiment sécurisée tant que le serveur lui-même et tous les chemins de données qui y entrent et en sortent ne sont pas suffisamment protégés.
Informations supplémentaires sur les vulnérabilités de protection insuffisante de la couche de transport
Pour en savoir plus, vous pouvez consulter l'OWASP guide de protection couches de transport. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Índice
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
