Imaginez que vous êtes sur ICQ un soir, et vous voyez ce mec débarquer dans votre salon de discussion. Très vite, vous commencez à vous disputer comme des gamines et le « mec » dit qu'il va vous griller, alors vous le mettez au défi de passer à l'action !
Tout à coup, votre super PC Windows 95 plante, vous laissant avec l'écran bleu de la mort. « Mais qu'est-ce que c'est que ce bordel ?! » sort de vos lèvres brûlées.

Alors, qu'est-il arrivé à votre ordinateur ? Votre machine a-t-elle planté à cause de cet autre ringard ? Comment a-t-il provoqué cet écran bleu ? Bien que l'écran bleu de la mort (BSoD) fût une vision trop courante, le timing était trop parfait pour ne pas penser que c'était lui.

Ce fut ma première expérience avec la cybersécurité. Avoir du pouvoir sur quelqu'un à l'autre bout du monde, tout en étant confortablement assis derrière un clavier, était passionnant. J'ai voulu en savoir plus, et c'est ainsi que je suis entré dans le monde merveilleux de la cybersécurité et que je n'ai jamais regardé en arrière.
Depuis mes débuts, la cybersécurité a beaucoup évolué. J'ai vu de nombreux aspects, des solutions d'authentification Unix à Active Directory, en passant par la direction de projets de gestion d'identité globale pour des entreprises du Fortune 100, et des nuits passées avec des clients confrontés à des attaques applicatives sophistiquées de la part d'États-nations.
Comment j'ai vu le marché évoluer
Tout au long de l'histoire, la sécurité tournait autour du mur d'enceinte de votre château et de sa taille. Plus le mur était haut et large, plus vous étiez en sécurité. Cependant, il y avait une porte pour que d'autres puissent vous rendre visite et faire des affaires. Les attaquants se sont donc concentrés sur les portes, car c'est là que se trouvaient les failles. Les temps ont changé et, aux débuts de la technologie, il s'agissait de la taille de votre pare-feu de périmètre pour protéger votre entreprise.
Et maintenant, les applications ont créé les failles dans votre pare-feu. Dès qu'un pare-feu de périmètre est déployé, les ports 80 et 443 sont ouverts. Aujourd'hui, non seulement vos employés et partenaires privilégiés ont besoin d'accéder aux applications, mais les clients ont également besoin d'accéder à vos applications et à vos données, et leurs navigateurs doivent être autorisés à y accéder.
Avec de plus en plus d'applications et de données partagées, nous avions besoin d'un moyen d'inspecter les visiteurs qui traversaient notre périmètre pour nous assurer de notre sécurité. Cela a conduit à l'avènement des pare-feu d'applications web (WAF), une sorte de nouveau gardien qui examine plus en profondeur le trafic web et recherche du contenu malveillant avant de l'autoriser à passer.
À mesure que les applications web sont devenues plus répandues, le WAF est devenu un composant essentiel de votre pile de sécurité. Sans ce gardien, ce ne serait qu'une question de minutes avant qu'une application non protégée ne soit découverte et attaquée.
Les WAF sont devenus très efficaces pour utiliser des signatures afin d'identifier et de bloquer les types d'attaques connus tels que l'injection SQL (SQLi), le cross-site scripting (XSS) et la falsification de requêtes intersites (CSRF). De plus, la plupart des WAF offrent désormais des politiques de limitation de débit pour protéger vos applications contre les attaques par déni de service distribué (DDoS).
Cependant, dans ce jeu du chat et de la souris sans fin, à mesure que les solutions ont évolué pour protéger nos applications, les attaquants ont également évolué pour les contourner et trouver de nouvelles voies d'accès à votre environnement. De nos jours, un attaquant moyennement sophistiqué peut éviter la détection avec facilité. Il peut utiliser des proxys et des réseaux de bots pour attaquer depuis des pays spécifiques et de multiples adresses IP afin de masquer sa présence.
La différence la plus significative aujourd'hui est que les applications ne sont plus les mêmes. Par le passé, chaque clic ou chaque rafraîchissement de page rechargeait la page depuis le serveur web. Tout le gros du travail et la plupart des vulnérabilités ciblées par les attaquants se trouvaient dans le centre de données. Aujourd'hui, avec des millions de visiteurs et des centaines de millions de requêtes (sans parler de notre capacité d'attention décroissante), les développeurs d'applications ont besoin d'un moyen de présenter les données plus rapidement sans avoir à retourner au centre de données pour la page complète à chaque requête.
Pour répondre à ces nouvelles exigences, les développeurs d'applications se sont tournés vers les frameworks JavaScript frontend modernes comme React, et les applications sont désormais construites comme des applications monopages (SPA). Avec les SPA, vous ne chargez le code de l'application (HTML, CSS, JavaScript) qu'une seule fois, et lorsque vous interagissez avec l'application, JavaScript intercepte les événements du navigateur, et au lieu de faire une nouvelle requête au serveur, le client demande du JSON. Cela permet à la page que l'utilisateur voit de rester intacte tandis que seules les données nécessaires sont récupérées et mises à jour dans le navigateur.
Ce n'est pas parce que j'utilise toujours un navigateur pour visiter un site web que le site répond avec du HTML hérité. Avec ce changement, les vulnérabilités et l'attention des attaquants se sont également déplacées.
Pourquoi Salt Security
En travaillant avec diverses industries et clients, j'ai remarqué une tendance. Les applications sont devenues davantage axées sur les API, et les plateformes mobiles ont été développées avant le navigateur. Cela a conduit à des failles de sécurité béantes dans la pile de sécurité applicative traditionnelle. Des failles que les WAF n'ont pas réussi à combler efficacement.
Les WAF s'appuient sur la classification des clients pour réduire les faux positifs. Cela nécessite l'injection de cookies et de JavaScript pour lire la télémétrie du navigateur. Les CAPTCHA étaient souvent un dernier recours pour prévenir les attaques d'applications, ce qui offre une expérience négative à vos utilisateurs.

L'utilisation accrue des API dans les applications empêche l'utilisation de ces fonctionnalités de sécurité critiques, et mes clients ont constaté une augmentation des attaques et une difficulté accrue à détecter le trafic malveillant.
J'ai réalisé qu'une nouvelle forme de sécurité des applications était nécessaire spécifiquement pour résoudre le problème des API. Les WAF et les signatures ne peuvent pas identifier les attaques d'API car ces API sont uniques à chaque organisation et à chaque application. Un ensemble standard de signatures et de politiques ne fonctionnera pas d'un client à l'autre. Les API au cœur des applications actuelles sont aussi complexes et uniques que les environnements auxquels elles se connectent, et les attaquants en profitent en recherchant des vulnérabilités dans la logique unique de chaque API.
En regardant au-delà du WAF, j'ai découvert Salt Security, la seule solution de sécurité API brevetée qui adopte une approche de sécurité basée sur le comportement pour protéger les applications web modernes. Salt utilise ensuite le profilage d'applications pour fournir une compréhension claire de la manière dont les utilisateurs interagissent avec vos API et de la manière dont ces utilisateurs se comportent normalement. Salt ajoute ensuite la classification des données pour déterminer le risque global du comportement de cet utilisateur et corrèle cette activité en une seule alerte. C'est très efficace.
Plus spécifiquement, cela signifie que Salt Security comprend la logique unique de chaque API à un niveau granulaire pour identifier les comportements potentiellement malveillants et arrêter les attaques. Mieux encore, cela ne nécessite ni configuration ni maintenance (c'est-à-dire des mises à jour) que vous pourriez associer à vos solutions de sécurité actuelles.
Les applications web modernes nécessitent une solution de sécurité moderne. Il est temps d'ajouter un peu de Salt à votre pile de sécurité et de sécuriser votre entreprise. Je suis très enthousiaste à l'idée de faire partie de l'équipe Salt Security et j'ai hâte de parler davantage de notre approche pour protéger les applications modernes.
Si vous souhaitez voir la plateforme de protection API de Salt Security en action, contactez-nous pour une démonstration personnalisée dès aujourd'hui !
