Une application non sécurisée peut exposer les utilisateurs et les systèmes à divers types de dommages. Lorsqu'un acteur malveillant utilise des failles ou un manque de fonctionnalités de sécurité à son avantage pour causer des dommages, on parle d'attaque. Dans ce guide, nous allons examiner différents types d'attaques afin que vous sachiez quoi rechercher lorsque vous sécurisez votre application.
Attaques actives et attaques passives
Les attaques peuvent être divisées en deux types: actives et passives.
Attaques actives
Lors d'une attaque active,le pirate informatique tente de pénétrer directement dans l'application. Il existe plusieurs façons de procéder, par exemple en utilisant une fausse identité pour accéder à des données sensibles (attaque par masquage) ou en inondant votre serveur de quantités massives de trafic pour rendre votre application non réactive (attaque par déni de service).
Des attaques actives peuvent également être lancées sur les données en transit. Un pirate informatique peut modifier vos données d'application avant qu'elles n'atteignent le navigateur d'un utilisateur, en affichant des informations modifiées sur le site ou en redirigeant l'utilisateur vers une destination non souhaitée. On parle parfois de modification des messages.
Attaque passive
Avec une attaque passive, le pirate informatique tente de collecter ou d'obtenir des informations à partir de l'application, mais n'affecte pas l'application elle-même.
Imaginez qu'une personne écoute vos conversations avec vos amis et votre famille, et collecte des informations sur votre vie privée, vos amis et vos lieux de fréquentation. Vous pouvez faire de même avec votre trafic Web. Un pirate informatique peut capturer les données échangées entre le navigateur et le serveur, collectant ainsi les noms d'utilisateur et les mots de passe, l'historique de navigation des utilisateurs et les données échangées.
Défense contre les attaques
Les pirates informatiques peuvent nuire directement à votre application ou effectuer une opération malveillante sur votre site sans que vous ou vos utilisateurs ne le remarquiez. Vous avez besoin de mécanismes pour détecter et vous protéger contre les attaques.
Malheureusement, il n'existe pas de solution unique pour sécuriser votre application à 100 %. En pratique, de nombreuses fonctionnalités et techniques de sécurité sont utilisées en couches pour empêcher ou retarder davantage l'attaque (c'est ce qu'on appelle la défense en profondeur). Si votre application contient un formulaire, vous pouvez vérifier les entrées dans le navigateur, puis sur le serveur, et enfin dans la base de données. Vous devez également utiliser HTTPS pour sécuriser les données en transit.
Conclusion
Étant donné que de nombreuses attaques peuvent se produire sans jamais toucher votre serveur, il est parfois difficile de détecter si des attaques se produisent ou non. La bonne nouvelle est que les navigateurs Web intègrent déjà de puissantes fonctionnalités de sécurité. Pour en savoir plus, consultez la section suivante intitulée "Comment le navigateur atténue les attaques".