Le monde des applications web s’est élargi à un rythme extrêmement rapide ces dernières années. C’est une bonne nouvelle pour les consommateurs et c’est une nouvelle encore plus fantastique pour les pirates, qui se sont vus obtenir l’accès à un nombre presque infini de nouvelles cibles. Une nouvelle étude montre que les applications web sont piratées en moyenne une fois tous les trois jours alors que certaines sont attaquées jusqu’à 2700 fois par an.
Une des raisons pour lesquelles les applications web sont si susceptibles d’être attaquées par les pirates, est qu’elles sont publiquement disponibles et disposent de beaucoup de sources de publications. Selon l’étude d’Imperva, une compagnie spécialisée en sécurité web, l’attaque la plus commune sur les applications web est l’injection SQL, un outil testé et approuvé par les pirates informatiques du monde entier, qui est conçu pour exploiter une erreur de programmation commune à beaucoup d’applications web. Structured Query Language (SQL) est une langue de programmation qui gère des données dans des registres de données : une injection de SQL est une attaque similaire à celle qui a pénétré les défenses de Yahoo plus tôt cette année, compromettant 453000 mots de passe vocaux.
Pour son étude, Imperva a observé 50 applications web pendant six mois. Les résultats ont montré que si les applications web subissent environ une attaque tous les trois jours, certaines applications sont ciblées jusqu’à 292 jours par an et les attaques multiples dans une même journée sont courantes. Une attaque moyenne dure moins de huit minutes, mais la plus longue qu’Imperva a enregistrée était de presque 80 minutes.
A cause de la nature irrégulière et imprévisible des attaques, l’étude d’Imperva a conclu que les mesures de sécurité devraient être conçues pour supporter le pire scénario et pas seulement l’attaque moyenne.
L’étude relève que » l’intensité de l’attaque sera écrasante si de son côté la défense a seulement été préparée au cas moyen (27 ou 18 attaques par heure comme cela a été découvert dans des études précédentes), car l’attaque se composera de centaines voire de milliers d’attaques individuelles ».