Lorsque l’on parle de sécurité informatique, on pense failles sur les applications Web, attaques de serveurs, intrusion, IDS, bref, on réfléchit surtout en termes d’informatique. Mais il existe un autre domaine, qui semble sans rapport avec le premier, qu’il peut être intéressant de maitriser, à savoir, les statistiques.
En effet, surtout en matière d’application Web, il convient de savoir quelles sont les « tendances » actuelles afin d’acquérir ou d’affiner les connaissances relatives au pentest. Exemple concret, partir du postulat qu’une majorité de site recourant à un CMS fonctionne avec Wordpress, c’est bien, pouvoir le vérifier statistiquement, c’est mieux.
Ainsi, une récente estimation énonce que plus de 8 millions de sites Internet fonctionnerait avec Wordpress. Arrive ensuite Joomla avec plus de 2 millions et Drupal avec environ 555 000 sites. A partir de là, on peut commencer à se dire que les trois CMS sur lesquels il faut acquérir des connaissances spécifiques – notamment sur leurs failles – sont Wordpress, Joomla et Drupal et que même s’il peut être intéressant d’y jeter un œil, on peut oublier SPIP, qui ne compterait qu’environ 34 000 adeptes.
Il y a également le pendant e-commerce avec VirtuelMart, ZenCart et Magento.
De la même façon, savoir quelles sont les technologies les plus utilisées actuellement permet d’avoir une idée du potentiel de vulnérabilités qui peut exister aujourd’hui. A titre d’exemple, plus de 7 millions de sites ont recours à Shockwave Flash Embed.
Cela permet également de détecter certains monopoles en matière d’outils complémentaires destinés aux webmasters. Ainsi apprend-t-on que les outils pour webmasters de Google sont utilisés sur 72,51% des sites.
Au-delà de ces données brutes, il y a également l’aspect « tendance » qui peut être pertinent de regarder. A titre d’exemple, si on regarde du côté des données statistiques des librairies Javascript, on observe que la librairie Underscore.js connaît une augmentation d’utilisation de 53% sur un mois.
A partir du recensement de ces informations, on peut établir un profil-type des sites Internet avec les différentes technologies utilisées et analyser les failles les plus récurrentes.
Cette recherche statistique rejoint la démarche adoptée par certains attaquants, qui procèdent à des détections de certaines technologies utilisées sur les sites pour cibler leurs attaques. Enfin cela permet également de détecter le vrai du faux. Lorsque certains vendeurs proclament que leurs outils sont parmi les plus utilisés dans le monde, on peut immédiatement se rendre compte de la véracité du propos.
Vous pouvez consulter les données statistiques relatives aux sites Internet sur Built With.
Commentaires
Anonyme (non vérifié)
Saturday 16 February 2013 à 21:05
Permalien
En quoi savoir qu'un site
En quoi savoir qu'un site utilise google webmaster est-il important pour sa sécurité ?
Tris Acatrinei
Saturday 16 February 2013 à 21:12
Permalien
En fait, un attaquant
En fait, un attaquant potentiel peut se servir de ces données statistiques pour cibler ses victimes, en utilisant notamment du phishing et de l'ingénierie sociale. Exemple : je fais de la prise d'info d'une cible, je vois qu'elle utilise certains services comme Google Analytics, je peux tenter de faire un petit mail disant que le webmaster doit se connecter à telle ou telle URL pour mettre sa version de GA à jour ou que sais-je et en réalité, je lance une petite attaque.
Donc je dirais que de l'autre côté, les administrateurs doivent redoubler de vigilance car, il faut être très clair, les attaquants font attention à ce genre de statistiques.
Ajouter un commentaire