Chaque application analysée dans le rapport a subi des attaques et plus de 75 % des applications ont été victimes de chacun des huit types d'attaque identifiés (1). Les applications ont été la cible d'un nombre en nette augmentation d'attaques de type injection SQL (SQLi) et cross-site scripting (XSS). Les attaques SQLi sont conçues pour interroger directement des données qui ne sont pas censées être divulguées, tandis que les attaques XSS servent fréquemment à infecter des utilisateurs. L'année 2015 a également vu des pirates s'attaquer davantage à des applications de santé, ce qui reflète vraisemblablement la valeur au marché noir des données personnelles contenues dans ces applications. Le rapport fait également apparaître un accroissement de la proportion d'attaques identifiées et bloquées avec succès par des services à base de réputation, ce qui confirme que des pirates déjà connus recourent à l'automatisation afin de gagner en efficacité dans le lancement d'attaques contre un large éventail de cibles.
« Cette année, le rapport montre que toute application web peut faire l'objet d'une attaque par des cybercriminels, en grande partie du fait que les pirates ont industrialisé – rendant possibles des attaques de grande ampleur – les techniques employées pour accéder à de précieuses informations personnelles », commente Amichai Shulman, cofondateur et CTO (Chief Technology Officer) d'Imperva. « En conséquence, chaque application web est menacée. Les entreprises doivent prêter tout particulièrement attention à la protection directe des données et des applications, par des mesures de sécurité telles qu'un firewall applicatif web, dans l'idéal en conjonction avec des services de réputation en temps réel. »
Parmi les principaux enseignements du rapport :
- Des attaques Shellshock ont été enregistrées contre 100 % des applications analysées.
- Les applications ont subi trois fois plus d'attaques SQLi d'une année sur l'autre. En cas de succès, ces attaques permettent à des cybercriminels d'accéder à des données censées rester confidentielles.
- Les applications ont connu, par rapport à l'année précédente, 2,5 fois plus d'attaques XSS, fréquemment utilisées par des cybercriminels pour infecter des utilisateurs.
- Les applications du secteur de la santé sont dix fois plus visées par des attaques XSS que celles des autres secteurs, alors que le e-commerce était le secteur le plus touché l'an passé.
- 78 % des alertes ont été identifiées par les services de réputation Imperva ThreatRadar comme provenant d'acteurs malveillants connus.
- Les applications CMS ont été attaquées trois fois plus souvent que les autres.
- Les sites hébergés sur WordPress, un système CMS répandu, sont particulièrement menacés, les applications WordPress enregistrant 250 % d'attaques en plus que les autres types d'applications.
1/ Les huit types d'attaque analysés dans le rapport sont l'injection SQL (SQLi), l'inclusion de fichier à distance (RFI), l'exécution de code à distance (RCE), la traversée de répertoire (DT), le cross-site scripting (XSS), le spam, l'envoi de fichier (FU) et la reconnaissance HTTP.