Skip to main content
BlogSécuritéDigest de sécurité Linode 10-17 janvier 2022

Digest de sécurité Linode 10-17 janvier 2022

Digest de sécurité Linode

Nous allons commencer la nouvelle année en discutant de la nécessité d'un pare-feu d'application Web (WAF), de l'utilisation de cadres et de bibliothèques de sécurité pour le code source, et d'un nouveau service appelé Bugalert qui vous informera à la volée de toute vulnérabilité de gravité élevée/critique. 

Utiliser ou ne pas utiliser un WAF 

L'efficacité des WAF est un sujet très débattu car il peut être difficile de déterminer l'efficacité d'un WAF. Les WAFs peuvent être bénéfiques lorsque les conditions suivantes sont remplies : 

  • Le coût de la correction des vulnérabilités est plus élevé que la mise en œuvre d'un WAF ; ou
  • Le volume de trafic qui sera bloqué est inférieur à votre seuil de tolérance. 

Vous pouvez également utiliser un pare-feu pour mettre en œuvre des mesures d'atténuation qui empêchent les robots et les racleurs d'accéder à votre site web, offrent une sécurité au niveau de la couche d'application et autorisent/interdisent l'inscription d'adresses IP. Une mise en œuvre simple d'un WAF pourrait inclure l'utilisation d'un Captcha ou d'un défi Javascript pour réduire ces types de bots. Vous pouvez utiliser un WAF comme un proxy pour autoriser un trafic spécifique tout en interdisant le reste. 

Un point important à retenir à propos des WAF est qu'il ne s'agit pas d'une solution prête à l'emploi et à oublier. Ils nécessitent des soins attentifs depuis leur conception jusqu'à leur déploiement. Il faut une équipe dédiée pour maintenir le WAF afin d'optimiser son utilisation en permanence. 

La façon idéale d'aborder un WAF est de le considérer comme une solution principalement conçue pour bloquer le trafic indésirable vers votre application web. 

Exploiter les cadres et les bibliothèques de sécurité pour sécuriser le code

La mise en œuvre d'un code sécurisé par ses propres moyens peut être une tâche difficile à exécuter correctement. Les attaquants peuvent abuser de petits bouts de votre code pour rendre votre application vulnérable.  

En ce qui concerne la capacité à sécuriser votre code, il existe des frameworks et des bibliothèques qui vous permettent de vous concentrer sur la sécurité tout en vous permettant de vous concentrer sur la construction de votre produit. Cet article de Github présente différentes méthodes et facteurs qui peuvent vous aider à évaluer ce que vous devez rechercher lorsque vous utilisez ces frameworks et bibliothèques. 

Lorsque vous décidez d'utiliser une bibliothèque, vous devez tenir compte de ces cinq facteurs : 

  1. Le paquet est-il largement utilisé ?
  2. Le paquet jouit-il d'une bonne réputation ? 
    • La bibliothèque en question fait-elle l'objet de bonnes critiques ?
  3. Le paquet fait-il l'objet d'une maintenance active ? 
  4. Le paquet a-t-il une maturité ? 
    • C'est un bon indicateur de l'existence d'une feuille de route claire, la plupart des fonctionnalités étant mises en œuvre de manière cohérente. 
  5. Les problèmes de sécurité du paquet sont-ils résolus en temps utile ? 

Lorsque l'on travaille avec des frameworks web et que l'on souhaite les sécuriser, il est important de déterminer quelles tâches de sécurité (encodage de sortie XSS ou validation d'entrée) doivent être prises en charge par le framework. 

Un facteur important à prendre en compte lors de l'utilisation d'un cadre web intégrant une certaine forme de sécurité est de permettre au cadre de gérer l'encodage des données à votre place. Lorsque vous laissez le cadre gérer l'encodage des données pour vous, vous réduisez les risques qu'un utilisateur manque une mesure de sécurité ou qu'il la mette en œuvre de manière incorrecte. Si vous autorisez un comportement non sécurisé, vous devez procéder à une analyse approfondie du comportement autorisé et vous rendre compte qu'il ne s'agit pas du comportement par défaut. 

Lorsque vous intégrez des bibliothèques et des frameworks, il est important de mettre à jour les dépendances dans votre code source. Vous pouvez utiliser des outils d'analyse de composition logicielle tels que GitHub Dependabot pour maintenir vos dépendances à jour. 

Bugalert

Après la vulnérabilité de log4j, un professionnel de la sécurité, Matthew Sullivan, a lancé un nouveau service appelé Bugalert, qui alerte les professionnels de la sécurité et de l'informatique en cas de vulnérabilités importantes et critiques. Le seul objectif de Bugalert est de notifier rapidement les failles logicielles graves par courrier électronique, téléphone ou SMS. 

Bugalert recherche actuellement des contributeurs pour développer et améliorer son programme. Si vous souhaitez contribuer, n'hésitez pas à ouvrir une question sur Github

Commentaires

Laissez un commentaire

Votre adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.