Vulnérabilités courantes du site Web

2018 est témoin de certaines des plus grandes cyberattaques jamais vues: les piratages sur Marriott Group, Equifax, Yahoo et Facebook ont ​​tous entraîné des violations de données majeures. Ajoutez à cela une ingérence accrue dans les processus électoraux à travers le monde, et il est clair que nous sommes confrontés à une crise.


Cela est clair depuis un certain temps, mais vous ne le sauriez pas d’après les statistiques.

Au lieu de cela, en 2020, les sites Web semblent devenir moins sûrs.

Ptsecurity a constaté qu’à la fin de 2018, la vulnérabilité des applications Web était à nouveau en hausse, après de nombreuses années de diminution: ils ont constaté que 67% pour cent des applications Web présentaient des vulnérabilités de haute sécurité à la fin de 2018, les plus courants étant l’autorisation insuffisante, le téléchargement de fichiers arbitraires, le cheminement et l’injection SQL.

En 2020, cela la tendance semble se poursuivre. Bien que vous puissiez être tenté de vous enfermer à l’intérieur, de vous déconnecter d’Internet et de ne plus jamais entrer en contact humain… nous vous déconseillons.

Au lieu de cela, vous pouvez éviter la plupart des vulnérabilités répertoriées ci-dessous en installant un pare-feu et en surfant uniquement sur le Web lorsque vous êtes connecté via un réseau privé virtuel (VPN). Consultez notre guide des meilleurs services VPN au Canada pour choisir celui qui vous convient.

Cela dit, regardons les dernières données.

L’économie de la cybercriminalité

Voyons d’abord la taille de l’économie de la cybercriminalité et de la cybersécurité.

  1. La valeur monétaire totale de la cybercriminalité est difficile à évaluer, d’autant plus que de nombreuses entreprises gardent secrètes les hacks réussis. Mais les recherches d’Accenture ont révélé que les attaques directes et indirectes mettaient en danger 5,2 billions de dollars au cours des cinq prochaines années.
  2. En regardant de l’autre côté de la médaille, les recherches menées sur Global Market Insights évaluent la taille du marché de la cybersécurité à 300 milliards de dollars par an d’ici 2024.
  3. Aux États-Unis, la cybersécurité est un puits majeur pour les fonds publics. Selon le budget 2020 publié par la Maison Blanche, le gouvernement prévoit de dépenser 15 milliards de dollars pour protéger les consommateurs, les entreprises et les infrastructures critiques en 2020. Il s’agit d’une augmentation de 4,1% par rapport à 2018.
  4. Ces chiffres sont énormes et les petites entreprises ont du mal à suivre. Juniper Research a constaté qu’en 2018, la petite entreprise moyenne a dépensé moins de 500 $ par an en cybersécurité.
  5. Le faible niveau d’investissement des PME dans la cybercriminalité est également préoccupant, car SCORE a constaté que les PME sont la cible de 43% de toutes les cyberattaques.
  6. En ce qui concerne la détection et le signalement des hacks, nous faisons des progrès, mais pas beaucoup. Le délai moyen pour signaler les violations de données en 2020 était de 49,6 jours, selon Risk Based Security. C’est un peu mieux que 50+ jours en 2018, c’est toujours préoccupant.
  7. À l’échelle la plus large, la cybercriminalité est toujours en augmentation. La neuvième enquête annuelle sur le coût de la cybercriminalité menée par Accenture a révélé que les atteintes à la sécurité avaient augmenté de 11% en 2018, et que cela devrait se poursuivre jusqu’en 2020..
  8. La même enquête a également examiné à plus long terme l’augmentation des cyberattaques et a constaté qu’elles avaient augmenté de 67% au cours des cinq dernières années..

Les coûts des hacks

L’ampleur même de la cybercriminalité et les énormes nombres impliqués peuvent parfois signifier que les victimes de piratages – individus, entreprises et même gouvernements – peuvent être oubliées. Examinons donc les effets réels de la cybercriminalité.

  1. Le rapport annuel sur la criminalité de Cybersecurity Ventures pour 2020 donne quelques chiffres sur les conséquences des hacks pour les entreprises. Ils ont découvert que les dommages causés par la cybercriminalité devraient coûter aux entreprises 6 000 milliards de dollars par an d’ici 2021, un chiffre qui, selon eux, «représente le plus grand transfert de richesse de l’histoire de l’humanité».
  2. De ces 6 billions de dollars, les dommages causés par les ransomwares sont ceux qui croissent le plus rapidement. Cybersecurity Ventures déclare que le coût des ransomwares atteindra 20 milliards de dollars d’ici 2021.
  3. Selon l’étude mondiale d’Accenture, le coût moyen de la cybercriminalité pour les organisations est estimé à 13 millions de dollars par an.

Les victimes

La cybercriminalité est un énorme problème en ce qui concerne la rentabilité et la durabilité des entreprises. Mais les hacks réussis peuvent également avoir de graves conséquences pour un grand nombre de consommateurs.

  1. Supprimons une chose: les États-Unis sont la cible numéro un des cyberattaques, selon les recherches de Norton. Cela pourrait être une statistique où les citoyens américains sont moins que fiers d’être n ° 1.
  2. Aux États-Unis, plus de 60% des citoyens ont été exposés à la fraude en ligne, selon un rapport de l’American Institute of CPAs.
  3. L’enquête annuelle de Gallup sur la criminalité semble un peu plus approfondie et a révélé que l’ampleur de la cybercriminalité aux États-Unis est surprenante. 23% des Américains déclarent avoir été, ou quelqu’un qu’ils connaissent, directement victime de cybercriminalité.
  4. La majorité de ces personnes ont été victimes d’un petit nombre d’énormes violations de données. En 2018, selon un rapport de RBS, seulement 12 violations de données ont révélé plus des trois quarts de tous les enregistrements compromis cette année-là. Le nombre d’enregistrements? Plus de 100 millions.
  5. En regardant vers l’avenir, Juniper Research affirme que 33 milliards d’enregistrements par an seront volés d’ici 2021.

Cybercriminalité par industrie

Certaines industries sont plus susceptibles d’être la cible de la cybercriminalité que d’autres. En particulier, les entreprises qui travaillent avec une infrastructure critique ou des informations personnelles sensibles sont les plus exposées.

  1. À l’heure actuelle, les fabricants et les sociétés minières sont des cibles privilégiées. Un rapport de Make UK et AIG a révélé que 48% des fabricants au Royaume-Uni ont été ciblés par des cybercriminels et, selon le rapport sur les risques de sécurité Internet de Symantec, 38,4% des entreprises du secteur minier ont subi des attaques similaires.
  2. À l’avenir, les entreprises de soins de santé seront de plus en plus ciblées. Cybersecurity Ventures a déclaré s’attendre à ce que les attaques contre les entreprises de soins de santé augmentent cinq fois (oui, cinq fois) d’ici 2021.
  3. Selon le rapport sur les risques de sécurité Internet de Symantec, le secteur public est également de plus en plus ciblé. Un e-mail sur 302 reçu par les fonctionnaires en 2020 est une arnaque.
  4. Les logiciels malveillants sont également en augmentation, en particulier dans les secteurs bancaire et financier. Kaspersky Labs a récemment mis à jour sa liste de familles de malwares pour inclure plus de 20 types de logiciels ATM malveillants.

The Top Hacks

Maintenant pour la galerie du voyou: les plus gros hacks de 2018 (et début 2020), et le nombre de victimes de chacun.

  1. En fait, le plus gros hack de 2018 était en dehors des États-Unis. Un incroyable 1,5 milliard de citoyens indiens ont vu leurs informations personnelles divulguées lors d’un piratage de la base de données nationale d’identité du pays. C’est presque tout le monde dans le pays.
  2. Aux États-Unis, le plus grand hack de 2020 a également été la plus grande violation de données de l’histoire. En mars, un chercheur en sécurité informatique a trouvé une base de données appelée «Collection 1», qui contenait des adresses e-mail et des mots de passe de 1,16 milliard de personnes.
  3. Facebook semble avoir une importante violation de données chaque année, et 2020 n’a pas fait exception. 540 millions de documents ont été révélés publiquement, selon un rapport d’Upguard.
  4. La liste continue. Le groupe Marriott a révélé les informations personnelles de 500 millions d’utilisateurs fin 2018, et 340 millions de dossiers clients ont été divulgués par Exactis, selon CNET.

Les types de vulnérabilité de site Web les plus courants

Maintenant, nous avons une idée de l’ampleur de la cybercriminalité, regardons la source de vulnérabilités la plus courante pour les entreprises et autres organisations: leurs sites Web.

Examiner les vulnérabilités des sites Web les plus courantes en 2020 est une tâche légèrement déprimante. En effet, les vulnérabilités les plus courantes (et les plus dangereuses) sont celles qui figuraient sur la même liste en 2018, en 2008 et en 1988.

Ce sont: les attaques DDoS, les infections de logiciels malveillants, les attaques Man in the Middle et les applications Web mal sécurisées.

Regardons chacun séparément.

Attaques DDoS

Les attaques par déni de service distribué (DDoS) sont plus courantes que jamais et restent la forme d’attaque de site Web la plus répandue..

  1. Compte tenu de cela, il n’est pas surprenant que 2018 ait vu la plus grande attaque DDoS de tous les temps. Un «fournisseur basé aux États-Unis», selon NETSCOUT, a été la cible d’une attaque de réflexion / amplification qui a frappé leur site Web avec 1,7 téraoctets de demandes malveillantes par seconde. Pour une certaine perspective, c’est la bande passante équivalente de 200 000 émissions de télévision HD en streaming simultanément.
  2. Les DDoS représentent également une grande partie du coût de la cybercriminalité. Le rapport annuel sur la cybersécurité de Bulletproof de 2020 a révélé qu’une attaque DDoS coûte généralement 2 millions de dollars aux grandes entreprises et 120 000 $ aux petites entreprises..
  3. Ce n’est pas surprenant, étant donné que les «kits d’attaque» DDoS, disponibles à l’achat sur le Dark Web, coûtent environ 20 $, selon un article d’Ars Technica..
  4. Selon NETSCOUT, la durée moyenne nécessaire à un appareil nouvellement connecté à Internet pour être attaqué par une demande DDoS est de 5 minutes..
  5. Toutes ces statistiques sont familières, mais les attaques DDoS présentent également de nouvelles fonctionnalités. Selon Kaspersky, par exemple, la Chine représentait plus de 50% des attaques DDoS fin 2018.
  6. Une autre préoccupation est que, avec plus d’appareils IoT que jamais connectés au Web, la puissance des attaques DDoS ne fera qu’augmenter. Gartner a estimé que le nombre d’appareils IoT atteindrait 20,4 milliards d’ici 2020, et que cela rendrait les attaques DDoS plus dangereuses que jamais.

Malware

Les logiciels malveillants restent un énorme problème. En fait, les logiciels malveillants sont plus courants que jamais.

  1. Le courrier électronique est toujours le moyen le plus courant de propagation des logiciels malveillants. CSO Online a signalé que le courrier électronique est responsable de la propagation de 92% des instances de logiciels malveillants. Mais cela ne signifie pas que les sites Web ne sont pas vulnérables aux logiciels malveillants.
  2. La plupart des logiciels malveillants sont désormais distribués sous forme de scripts malveillants. Les scripts PowerShell ont longtemps été une énorme source de vulnérabilité, mais Symantec a constaté que l’utilisation de scripts Powershell malveillants a bondi de 1000% en 2018. Le même rapport a révélé que les scripts constituent 47,5% des pièces jointes malveillantes..
  3. Les logiciels malveillants affectent tous les types d’appareils et peuvent constituer une menace pour les sites Web à partir d’ordinateurs portables, de tablettes et de smartphones. En fait, les smartphones pourraient bien devenir la plus grande source de logiciels malveillants au cours de la prochaine décennie: les ransomwares mobiles ont augmenté de 33% cette année, selon Symantec.
  4. Les logiciels malveillants constituent également désormais une menace énorme pour les entreprises. Les logiciels malveillants spécifiquement destinés aux entreprises ont augmenté de 12% en 2020, comme l’a constaté Symantec.

Homme au milieu des attaques

Une des principales sources de vulnérabilité des sites Web est l’homme au milieu des attaques. Pour les sites Web mal sécurisés, il est relativement facile pour les pirates de s’insérer entre les clients et les propriétaires de sites Web et d’intercepter toutes les informations échangées entre eux..

Les attaques MITM, comme on les appelle, sont également en augmentation.

  1. Par exemple, les techniques MITM ont été impliquées dans 35% de l’exploitation des sites Web en 2018, selon le X-Force Threat Intelligence Index 2020 d’IBM.
  2. Cela n’est pas surprenant, étant donné le degré de préparation de nombreuses entreprises aux attaques MITM. Netcraft a constaté, par exemple, que 95% des serveurs HTTPs étaient vulnérables à MiTM en 2016, et que peu de choses ont été faites depuis pour corriger ces vulnérabilités.
  3. Plus inquiétant encore est le fait que seulement 10% des entreprises ont mis en place le HSTS pour leurs sites Web, ce qui les laisse ouvertes aux attaques. W3Techs a effectué cette recherche et a également recommandé que tous les sites Web mettent en œuvre le protocole dès que possible.

Attaques d’applications Web

Les applications Web font désormais partie intégrante de presque tous les sites Web, et l’augmentation de leur utilisation s’est accompagnée d’une augmentation similaire de leur exploitation. Selon les recherches d’Imperva, par exemple, plus de la moitié des applications Web ont un exploit public qui est disponible pour les pirates, et plus d’un tiers de ces exploits n’ont pas de solution.

  1. Selon un rapport de TrustWave, les formes d’attaques d’applications Web les plus courantes sont celles qui exploitent le cross-site scripting (XSS), qui représentaient environ 40% de ces attaques, et les injections SQL, qui représentaient 24%.
  2. Les vulnérabilités des applications Web sont également extrêmement courantes. Acunetix a constaté que 46% des sites Web présentent ce type de vulnérabilité.
  3. Ce type de vulnérabilité de site Web est également en augmentation. Les attaques par injection SQL et de script intersite ont augmenté de 38% en 2018, selon les recherches d’Akamai. WordPress, le CMS le plus populaire de loin, est une cible courante des injections SQL car les hôtes WordPress les plus populaires utilisent SQL par défaut.
  4. Le formjacking a également connu une forte augmentation en 2018. Le nombre moyen de sites Web compromis par des exploits de form-jacking par mois en 2018 était de 4818, selon Symantec.
  5. Selon Acunetix, 2% des applications Web étaient également sensibles à l’exécution de code à distance, ce qui permet à un utilisateur malveillant d’exécuter son propre code (malveillant) dans les scripts de votre site Web. Et bien que 2% ne semblent pas si élevés, étant donné le nombre considérable de sites Web, cela représente un grand nombre de sites Web vulnérables.
  6. En fait, la grande majorité de la pénétration des réseaux locaux (LAN) en 2020 est due à des faiblesses des applications Web, selon les recherches de Positive Technologies.

The Bottom Line

Et voilà: l’ampleur de la vulnérabilité des sites Web en 2020 et les formes les plus courantes d’exploits.

Ces chiffres peuvent être choquants, mais ils confirment une vérité que nous connaissons tous depuis plusieurs années. L’ampleur de la cybercriminalité est un énorme problème, que nous sommes loin de résoudre.

Prendre des mesures de base pour sécuriser votre site Web peut aider à limiter votre vulnérabilité à ces cyberattaques et potentiellement à en sauver votre entreprise. Et vous devez également vous rappeler que vous n’êtes pas seul – si vous utilisez l’une des meilleures sociétés d’hébergement Web au Canada, elles vous aideront en fournissant des outils de sécurité qui peuvent assurer la sécurité de votre site Web..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map