En cybersécurité, en particulier pour les testeurs d'intrusion, tout se résume aux vulnérabilités. La principale idée fausse lors de leur signalement est le lien entre les différentes vulnérabilités et le vecteur d'attaque possible.
Nous rencontrons souvent des développeurs qui prétendent qu'une vulnérabilité à haut risque dans une page protégée, ou plusieurs vulnérabilités à faible risque à différents endroits, ne constituent pas une menace réelle pour le système. Notre travail en tant que conseillers en sécurité est de leur montrer comment la vulnérabilité peut être exploitée (théoriquement et pratiquement) en utilisant le concept de Single Point of Failure (SPOF) et de Cascading Failure.
Un point de défaillance unique (SPOF) est un risque potentiel posé par un défaut dans la conception, la mise en œuvre ou la configuration d'un système. SPOF fait référence à un défaut ou à un dysfonctionnement pouvant entraîner l'arrêt du fonctionnement de tout un système.
Une défaillance en cascade est un processus dans un système de pièces interconnectées dans lequel la défaillance d'une ou de quelques pièces peut déclencher la défaillance d'autres pièces et ainsi de suite.
À la base, un test d'intrusion ne peut pas couvrir toutes les vulnérabilités possibles. Nous essayons de faire de notre mieux avec un laps de temps donné (2 à 4 semaines), pour analyser tous les points d'entrée et pointer dans la bonne direction en termes de détails et de points faibles, parfois nous sommes capables d'explorer des parties plus profondes des systèmes et d'autres fois, nous ne faisons qu'effleurer la surface.
Les acteurs malveillants, en revanche, peuvent rassembler des informations pour assembler un vecteur d'attaque complet. Ces vulnérabilités à faible risque créent un puzzle d'étapes après lesquelles les attaquants atteignent leur objectif. Chacun de ces risques contribue à l'échec en cascade du système, jouant un grand rôle dans l'exploit final.
Un autre exemple de SPOF sera une situation où une vulnérabilité à haut risque réside dans un environnement hautement sécurisé. De son point de vue, le risque d'exploitation est automatiquement réduit, mais nous savons tous qu'il n'existe pas de logiciel « parfait ». Il est fort probable qu'un jour quelqu'un trouve un bogue dans la bibliothèque que vous utilisez, ou dans votre processus d'autorisation que vous considérez comme sécurisé maintenant, et lorsque cela se produit, votre entreprise est immédiatement exposée à des exploits.
En fin de compte, l'évaluation de la vulnérabilité n'est qu'un outil permettant aux cyberspécialistes d'estimer l'impact possible sur le logiciel, le client ou l'entreprise. Mais n'oublions pas qu'un impact sur la sécurité, quelle qu'en soit la forme, entache toujours la réputation et l'intégrité du propriétaire, et laisse les développeurs travailler plus de temps sur les erreurs passées au lieu des fonctionnalités futures.
Itay Cheredman
Itay est chercheur en sécurité chez Sayfer. Il est passionné par la compréhension et la recherche des vecteurs d'attaque et de défense qui apparaissent dans les nouvelles technologies émergentes.
Vous voulez en savoir plus ?
Une réunion de conseil gratuite incluse.
