Une application non sécurisée peut exposer les utilisateurs et les systèmes à divers types de dommages. Lorsqu'un tiers malveillant utilise des failles ou l'absence de fonctionnalités de sécurité à son avantage pour causer des dommages, on parle d'attaque. Nous allons passer en revue différents types d'attaques dans ce guide pour que vous sachiez quoi rechercher pour sécuriser votre application.
Attaques actives et attaques passives
Les attaques peuvent être divisées en deux types: actives et passives.
Attaques actives
Lors d'une attaque active,le pirate informatique tente de s'introduire directement dans l'application. Cela peut être fait de différentes manières, de l'utilisation d'une fausse identité pour accéder à des données sensibles (attaque masquée) à l'inondation de votre serveur avec d'énormes quantités de trafic pour que votre application ne réponde pas (attaque par déni de service).
Des attaques actives peuvent également être lancées sur les données en transit. Un pirate informatique peut modifier les données de votre application avant qu'elles n'atteignent le navigateur d'un utilisateur, en affichant des informations modifiées sur le site ou en dirigeant l'utilisateur vers une destination inattendue. Cette opération est parfois appelée modification de messages.
Attaque passive
Dans le cas d'une attaque passive, le pirate informatique tente de collecter ou d'apprendre des informations de l'application, mais n'affecte pas l'application elle-même.
Imaginez que quelqu'un écoute votre conversation avec vos amis et votre famille, recueille des informations sur votre vie personnelle, qui sont vos amis et où vous passez du temps ensemble. La même chose peut être faite sur votre trafic Web. Un pirate informatique pourrait capturer des données entre le navigateur et le serveur, collectant les noms d'utilisateur et les mots de passe, l'historique de navigation des utilisateurs et les données échangées.
Défense contre les attaques
Des pirates informatiques peuvent directement nuire à votre application ou effectuer une opération malveillante sur votre site, à votre insu, ni à vous-même, ni à vos utilisateurs. Il faut des mécanismes de détection et de protection contre les attaques.
Malheureusement, il n'existe pas de solution unique pour garantir une application parfaitement sécurisée. En pratique, de nombreuses fonctionnalités et techniques de sécurité sont utilisées dans des couches pour prévenir ou retarder davantage l'attaque (c'est ce que l'on appelle la défense en profondeur). Si votre application contient un formulaire, vous pouvez vérifier les entrées dans le navigateur, puis sur le serveur et enfin dans la base de données. Vous devez également utiliser HTTPS pour sécuriser les données en transit.
Conclusion
Étant donné que de nombreuses attaques peuvent se produire sans jamais toucher votre serveur, il est parfois difficile de déterminer si des attaques se produisent ou non. La bonne nouvelle est que les navigateurs Web disposent déjà de puissantes fonctionnalités de sécurité intégrées. Pour en savoir plus, consultez la section suivante "Comment les navigateurs protègent-ils les attaques contre les attaques ?".