Une application backend est installée dans un réseau local avec plusieurs autres serveurs, notamment une base de données. Ce réseau est en danger lorsqu’il est ouvert à Internet, par le biais d’une passerelle ou d’un routeur (appareil qui sert de passage d’un réseau à un autre). Il devient alors public, et ses applications peuvent être prises pour cible par des personnes malveillantes.
Il y a plusieurs techniques pour utiliser les failles de sécurité d’une application backend, par exemple l’ingénierie sociale (envoyer un lien dans un e-mail à une victime) ou le déni de service (saturer le serveur avec des requêtes). Une application attaquée risque de s’arrêter, de se faire voler des données, d’escroquer un utilisateur, ou encore d’infecter un réseau.
On développe une application à l’aide de bibliothèques, dont le kit de développement logiciel (SDK). Elles réalisent en grande partie l’exécution d’un programme, évitant aux développeurs de réécrire du code. Leurs failles de sécurités connues sont publiées en ligne sous le nom de CVE (Common Vulnerabilities and Exposures). Il existe des outils qui analysent la composition d’un logiciel (Software Composition Analysis) pour vérifier qu’il ne contient pas de CVE. Dependency-Check en est un gratuit pour les applications Java.
Les développeurs peuvent introduire des failles de sécurités dans une application. Une communauté a créé une liste de faiblesses communes (Common Weakness Enumeration) afin d’aider les développeurs à identifier les vulnérabilités courantes. En complément, les SAST (Static Application Security Testing) sont des outils qui scannent le code source pour détecter certaines vulnérabilités. Le logiciel SonarQube intègre un SAST multilangages.
Un moyen de trouver des failles de sécurités est d’attaquer l’application comme le ferait un cybercriminel. Il y a diverses méthodes, notamment le test de sécurité dynamique d’application (DAST) qui peut être automatisé.
Relever les vulnérabilités backend permet de connaître les dégâts qui peuvent être causés, et de mettre en place des actions visant à les éliminer. Votre application a surement besoin d’une mise à jour…
