DANGER. Les chiffres sont éloquents : 90% des applications web sont vulnérables. Et leur nombre ne cesse d'augmenter de façon drastique. Un article de Sylvain Maret

1. l C O M M U N I C AT I O N
La sécurité des applications web
Les firewalls applicatifs HTTP
DANGER. Les chiffres sont éloquents : 90% des applications
web sont vulnérables. Et leur nombre ne cesse d’augmenter
de façon drastique. Un article de e-Xpert Solutions.
généralement basées sur une vent être mises en œuvre. L’ap-
architecture en trois tiers : proche classique consiste à sé-
curiser le périmètre, les com-
1. Présentation munications et les systèmes
Le premier tiers est responsable d’exploitation qui hébergent les
de la présentation des informa- applications web.
tions entre le client et le serveur.
Cette partie est composée du Sécurité du périmètre –
navigateur et d’un serveur web, firewall
auxquels s’ajoute généralement Le but de la sécurisation du pé-
un générateur de pages (JSP, rimètre est de protéger l’accès
ASP, Java Script, HTML, etc.). réseau aux applications web et
plus particulièrement au ser-
2. Application veur web frontal (Apache, IIS,
Le deuxième tiers est le «mo- IPlanet, etc.). Cette protection
teur» de l’application. Il est est généralement mise en place
L
es problèmes de sécurité responsable de la logique de à l’aide d’un firewall. Son rôle
sont incontestablement l’application, du traitement des principal est de filtrer les accès
un motif de préoccupa- données, de la prise de déci- et de n’autoriser que les proto-
tion, un frein important au dé- sion, etc. Cette partie est géné- coles réseaux nécessaires au
ploiement des applications et ralement basée sur une appli- bon fonctionnement de l’appli-
services web. Cet article a pour cation serveur (WebLogic, cation web.
ambition d’explorer les outils, WebSphere, Jakarta, JBoss, Dans la plupart des cas – s’il
classiques ou plus avant-gar- etc.) et a recours à des techno- s’agit d’une application web
distes, qui peuvent être mis en logies comme Java, .Net, PHP, publique – le serveur web est
œuvre pour réduire tout ces CGI, etc. placé sur une DMZ (zone pu-
risques. blique du firewall). Le firewall
3. Données n’autorise alors que le proto-
Les applications web Enfin, le dernier tiers assure cole HTTP (port 80), voire le
Une application web est une l’interfaçage et le stockage des protocole HTTPS (SSL port
application qui n’a besoin que informations nécessaires au 443). Tous les autres sont par
du protocole HTTP pour être fonctionnement de l’application contre bloqués.
pilotée par un utilisateur. Ce- web. Plusieurs méthodes d’ac- Sécurisation des
lui-ci a alors besoin d’un sim- cès peuvent être utilisées, telles communications – SSL
ple navigateur web ou d’une que XLM, SQL, JDBC, etc. Dans certains cas, il est néces-
application propriétaire utili- Naturellement, il existe des ap- saire de sécuriser l’accès entre
sant le protocole HTTP. plications web beaucoup plus le navigateur et l’application
La plupart des applications simples, qui ne fonctionnent web. SSL est une solution très
web sont accessibles depuis pas sur ce modèle. Elles néces- intéressante à cet égard. Elle
Internet. Un grand nombre sitent toutefois autant de pré- offre :
d’entre elles se trouvent égale- cautions en termes de sécurisa- la confidentialité, qui permet
ment sur des intranets. Or, tion. de chiffrer les communications
ceux-ci ne peuvent pas non entre le navigateur et le serveur
plus être considérés comme L’approche classique web par des algorithmes cryp-
des réseaux sûrs. Différentes manières de proté- tographiques du type 3DES,
Les applications web sont ger les applications web peu- RC4, etc. Il devient alors extrê-
58 l 04/03

2. l C O M M U N I C AT I O N
mement difficile pour des «hac- caractères, Back Door, Cookies
kers» de déchiffrer les informa- e-Xpert Solutions SA Poisoning, Brute force, Mani-
tions transitant sur le réseau; Au bénéfice d'une longue expérience dans les secteurs financier et pulation d’URL, etc.
l’intégrité, qui propose un mé- industriel, e-Xpert Solutions SA propose à sa clientèle des solutions
canisme capable de détecter «clés en main» dans le domaine de la sécurité informatique des ré- Déploiement
d’éventuelles modifications des seaux et des applications. Des solutions qui vont de la sécurité La mise en œuvre d’une solu-
d'architecture – tel le firewall, VPN, IDS, FIA, le contrôle de contenu,
informations transitant entre le tion de sécurisation des appli-
l’antivirus – aux solutions plus avant-gardistes comme la préven-
navigateur et le serveur web. Il tion des intrusions (approche comportementale), les firewalls ap-
cations web peut s’effectuer de
est dès lors très difficile de mo- plicatifs HTTP, l'authentification forte, la biométrie, les architectu- plusieurs façons :
difier les informations sans lais- res PKI ou encore la sécurisation des OS Unix et Microsoft et des • installation d’un agent sur le
ser de traces; postes clients (firewall personnel). serveur web frontal;
l’authentification des commu- • installation d’une machine re-
nications. Avec la technologie lais (reverse proxy) devant le
des certificats numériques (PKI, l’administration (SecurID, Pourquoi le port 80 serveur web.
X509), tout navigateur qui se Token USB, carte à puces, pose-t-il problème? La première approche est in-
connecte à un serveur web SSL etc.); Les statistiques le démontrent téressante en termes de coûts,
peut obtenir la preuve qu’il est • mise en place de mécanismes largement : la plupart des ap- mais elle est très intrusive. La
bien en train de communiquer d’alerte; plications web sont vulnérables seconde offre une architecture
avec le serveur de son choix. Le • mise en place de procédures aux attaques applicatives. Ces plus robuste, dans la mesure où
certificat numérique permet en de backup; vulnérabilités sont essentielle- la machine relais est pensée
effet d’attester l’appartenance • application des patchs de sé- ment dues à des failles dans pour être très sécurisée.
d’un site web à telle ou telle so- curité; leurs différents composants lo-
ciété. A noter que ce mécanisme • etc. giciels. Un «hacker» a dès lors Nécessaire
propose une authentification à Afin de garantir l’intégrité tout loisir d’exploiter ces mais pas suffisant
sens unique : l’utilisateur peut des systèmes d’exploitation, il failles par l’intermédiaire du Encore trop d’entreprises pen-
authentifier le serveur web, peut s’avérer très utile de met- protocole HTTP (port 80/443). sent que dès lors qu’elles ont
mais pas l’inverse. tre en œuvre une solution de Le firewall classique n’est mis en place un firewall clas-
Avec SSL, il est toutefois contrôle d’intégrité. Il s’agit donc pas en mesure de bloquer sique, elles sont à l’abri de me-
possible de disposer de l’au- alors de surveiller, grâce à des de telles attaques. naces externes. Certes, le fire-
thentification mutuelle. Cela si- mécanismes de signature digi- wall classique est un élément
gnifie que le serveur web peut, tale, les fichiers sensibles. La Quelle solution? nécessaire. Il ne peut cependant
lui aussi, identifier avec certi- technologie FIA (File Integrity Le firewall applicatif HTTP protéger, à lui seul, les applica-
tude la personne utilisant le na- Assesment) – dont le produit le Une autre solution consiste à tions web. Il est dès lors re-
vigateur. Pour cela, il est néces- plus utilisé est Tripwire – per- protéger les applications web commandé, pour sécuriser vos
saire de délivrer un certificat met de déceler le moindre des attaques externes. Cette applications web stratégiques,
numérique à l’utilisateur lui- changement intervenant sur une protection se comporte comme de recourir à un firewall appli-
même. Le certificat sera alors machine. Elle est ainsi très effi- un firewall classique, à cette catif HTTP. l
utilisé par le navigateur web. cace pour détecter et lutter différence près qu’elle se
contre les intrusions (technolo- concentre exclusivement sur le Sylvain Maret
Sécurisation des systèmes gie IDS). protocole HTTP et son contenu Directeur
d’exploitation – FIA (XML, SOAP, HTML, etc.). veille technologique
Malgré la multiplication des fi- Limites de l’approche Cette technologie, appelée fire- e-Xpert Solutions SA
rewalls, il est entré dans les classique – le port 80 wall applicatif HTTP, est à
mœurs de sécuriser les systè- L’approche classique est néces- même de filtrer toutes les re- Contact : e-Xpert Solutions SA
mes d’exploitation qui héber- saire, mais elle ne répond pas au quêtes HTTP, de manière à ne Route de Pré-Marais 29
gent les applications web et principal problème de sécurité laisser passer que les informa- 1233 Bernex
plus particulièrement le ser- des applications web. En dépit tions nécessaires et considérées Tél : +41 22 727 05 55
veur web. Qu’il s’agisse d’une de tous les mécanismes mis en comme non dangereuses. Il est info@e-xpertsolutions.com
plate-forme Unix/Linux ou place, il est nécessaire de laisser ainsi possible de se prémunir http://www.e-
Windows, l’approche reste la le port 80 ou 443 traverser le fi- contre des attaques de type : xpertsolutions.com
même. rewall pour atteindre le serveur Buffer Overflow, Directory
L’idée est de blinder l’OS. web frontal. Dans ce cas, le rôle Traversal, Cross Site Scripting
Différentes mesures peuvent du firewall est donc d’autoriser (XSS), SQL Injection, Meta
être prises à cet effet : ou non le port 80 ou 443. Il n’est
• restriction des services, blin- toutefois pas en mesure d’analy- Article paru dans IB com, avril 2003
dage du «stack» IP; ser les informations transportées
• sécurisation de la méthode par le protocole. Cela revient à
d’administration (SSH, Re- laisser des camions passer la
mote contrôle sécurisé); douane sans regarder le contenu
• authentification forte pour de leur cargaison!
04/03 l 59