Thibault Koechlin, Responsable Sécurité et René Armirkhanian, Directeur Technique, NBS System

Jeremiah Grossman a illustré les différentes manières de se faire de l’argent sur Internet… en exploitant essentiellement les défauts de logique business, et donc, sans exploit ou code malicieux. Cette dernière conférence était beaucoup plus ludique qu’instructive, néanmoins, elle permettait de mettre en évidence qu’un certain nombre de « piratage » n’ont jamais utilisée de vulnérabilités connues, puisqu’il s’agissait de défaut dans les processus industriels.

En 3 points, les problèmes logiques sont difficilement décelables :

1. Les tests qualités ne voit pas ce genre de défaut : ils testent ce que le logiciel doit faire, pas ce qu’il peut faire ;
2. Les scanners ne peuvent pas identifier ce genre de problème : ces programmes ne tiennent pas compte du contexte et ne savent souvent pas si quelque chose à marché, ou pas ;
3. Les WAF (Web Application Framework) et IDS ne détectent pas ce genre de failles. Toutes les en-têtes HTTP apparaissent comme tout à fait normales.

Les petites anecdotes ne manquent pas pour illustrer cette nouvelle complexité :

– La réservation complète d’un avion : lors d’achats en lignes, les sièges sont réservés pendant la commande avant le paiement. Cette réservation a lieu pendant quelques minutes à plusieurs heures… Il devient alors possible de réserver et bloquer tous les sièges d’un avion (ou des tickets de concerts, iPhones...)

– L’utilisation intensive de coupons électroniques. L’idée derrière le coupon électronique est la saisie d’un code unique, qui se monétise alors auprès du marchand. Un marchand online avait lancé ce genre de campagne, à l’origine, seuls 3 coupons étaient autorisés par commande, puis le programme devint populaire et la restriction fût enlevée. Quelqu’un a alors créé un script pour trouver des milliers de coupons valides et a commandé pour plus de 50 000$ de matériel.

– Les micro-dépôts : un virement de 0.01 $ à 2 $ est effectué pour valider les coordonnées bancaires sur de nombreux sites. Michael Largent, a ouvert plus de 58 000 comptes de courtage (brokerage accounts) en utilisant de faux noms, numéros de sécurité sociale. Au total, malgré tout, plus de 60 000$ détournés.

– Un Service Provider américain hébergeait un grand nombre de banques, l’url d’accès au service une fois authentifié présentait un identifiant pour le client, la banque et le numéro de compte. La gestion d’erreur était plutôt bavarde : « Le compte #X appartient à la banque #Y », « La banque #Y possède le client #Z ». Aucune notion d’autorisation dans ce concept, il était possible de basculer d’un compte à un autre. Pire : la possibilité d’effectuer des virements négatifs existait, résultat : possibilité de virer de l’argent d’un compte externe vers le sien.

– Que se passe-t-il lorsque les annulations de commandes sont trop lentes ? Les gens commandent des produits, annulent et reçoivent les produits. Quantina Moore-Perry (33 ans) a commandé plus de 1800 objets et les a mis en vente sur eBay pour un montant s’élevant à plus de 412 000 $.

D’autres exemples illustrent ces défauts de business logic, et il est troublant de constater que les plus grands méfaits ne sont pas nécessaire l’œuvre de pirates utilisant les dernières technologies en matière de furtivité et/ou de vulnérabilités. Au-delà des détections de logiciels et du renforcement des périmètres défensifs pour détecter des menaces de plus en plus discrètes et dangereuses, la vigilance doit rester de mise sur les concepts logistiques eux-mêmes qui bien souvent peuvent malgré tout être mis à mal et provoquer bien plus de dégâts.

Par René Armirkhanian, Directeur Technique, et Thibault Koechlin, Responsable Sécurité, NBS System