En décembre 2012, un pirate a attaqué Yahoo ! via une injection SQL, s’appuyant sur une vulnérabilité dans une application tierce fournie sur le site web de Yahoo ! Cette attaque souligne le risque qui pèse sur de nombreuses applications web : beaucoup font appel à des programmes tiers (comme des API) qui n’ont pas été programmés par les développeurs eux-mêmes.

« La vulnérabilité utilisée n’a pas été programmée par les développeurs de Yahoo ! et elle n’était même pas présente sur les serveurs de Yahoo ! », déclare Amichai Shulman, CTO d’Imperva. « Néanmoins, c’est Yahoo ! qui a été attaqué à travers ce code tiers.Il ressort de cette attaque que les entreprises présentes sur le Web doivent prendre la responsabilité de sécuriser le code tiers et les applications dans le Cloud. »

Dans son rapport « Lessons Learned from the Yahoo ! Hack », Imperva proposeplusieurs recommandations.

D’un point de vue légal, les entreprises devraient :

– Définir contractuellement des clauses légales sur ce qu’elles accepteront ou non en matière de sécurité.

– Intégrer des activités de sécurité pour toute fusion ou acquisition.

D’un point de vue technique, Imperva leur conseille de :

– Conduire une évaluation de la vulnérabilité des applications web.L’évaluation manuelle de la sécurité ou l’utilisation adéquate d’un système automatisé de sécurisation de ces applications permet de détecter les vulnérabilités potentielles, qui doivent être prises en compte dans le cycle de développement des logiciels.

– Mettre en place un pare-feu d’applications web (Web Application Firewall ou WAF),qui servira de point d’application des règles de sécurité pour éviter l’exploitation des applications web vulnérables.