REPUBLIQUE DU BENIN

*********
MINISTERE DE L’ENSEIGNEMENT SUPERIEUR ET DE LA
RECHERCHE SCIENTIFIQUE

Université Nationale des Sciences, Technologies, Ingénierie et Mathématiques

Institut National Supérieur de Technologie Industrielle de Lokossa (INSTI)

DEPARTEMENT
Génie Electrique et Informatique (GEI)
OPTION
Informatique et Télécommunication

Sécurité des applications web

Réalisé par : Sous la supervision de :

AHOGNISSE Ariel Madame HOUNGUE Pélagie
GOHOUE Rodias

ANNEE ACADEMIQUE
2021-2022
 PLAN
1 Introduction
I- Définition de la Sécurité des application web

II- Objectif de la sécurité des applications web

III- Les attaques web

3-1-Les raisons d’attaques

3-2- Les types courants de vulnérabilités

IV- Quelques bonnes pratiques de sécurité pour sécuriser les

applications web
V- Travaux Pratique sur la sécurité d’une application web

Conclusion
 INTRODUCTION
La sécurité Web est une vraie affaire, et il vaut mieux la reconnaître plus tôt que
d'attendre que quelque chose de mal se produise. Après l'introduction des applications
Web HTML5 modernes et du Web 2.0, les demandes des clients ont changé. En
conséquence, les entreprises en ligne sont également poussées à rendre leurs
données disponibles à tout moment. Cette avancée a également invité des escrocs et
des pirates malveillants qui développent de temps en temps de nouveaux vecteurs de
menaces. Pour atténuer toutes ces attaques, la sécurité des applications Web est née
il y a longtemps.
 I- Definition de la sécurité des applications web

La sécurité Web, la cybersécurité ou la sécurité des applications Web est le moyen

de protéger les services en ligne et les sites Web contre diverses menaces exploitant
les vulnérabilités associées aux codes d'une application.
Certaines des cibles courantes de ces attaques sont les solutions de gestion de bases
de données telles que phpMyAdmin, les applications SaaS, les systèmes de gestion
de contenu (CMS) comme WordPress, etc.

II- Objectif de la sécurité des applications web

La sécurité Web vise à empêcher de telles attaques en refusant l'accès,

l'utilisation, la destruction / perturbation ou la modification non autorisés.

III- Les attaques web

3-1- Les raisons des attaques

Alors, quelle est la raison pour laquelle les attaquants ciblent largement les applications Web?

• Complexité inhérente au code source de l'application, augmentant la

probabilité de vulnérabilités ainsi que la manipulation du code.
• Les applications sont faciles à exécuter ; par conséquent, les attaquants
peuvent facilement lancer ou automatiser la plupart des attaques, ce qui peut
cibler des milliers d'applications à la fois.
• Des butins de grande valeur qui incluent des données sensibles et privées via
la manipulation du code source ainsi que des profits financiers

3-2- Types courants de vulnérabilité

Script intersites (XSS)

XSS permet aux attaquants d'infuser des scripts avec javaScripts côté
client dans une page Web et d'accéder directement aux données
importantes, d'amener les utilisateurs à divulguer des données
importantes ou de se faire passer pour des utilisateurs. Ses
conséquences incluent l'accès aux comptes, l'activation des chevaux de
Troie, la modification du contenu de la page, etc.
 Falsification de demandes intersites (CSRF)
CSRF trompe les victimes lorsqu'elles font une demande qui utilise leur
autorisation ou leur authentification. Par conséquent, grâce à ces
privilèges de compte, les attaquants peuvent faire des requêtes usurpant
l'identité de l'utilisateur. Cela pourrait entraîner un transfert de fonds, des
changements de mot de passe, etc.
Déni de service (DoS) et déni de service distribué
(DDoS)

Les attaquants surchargent le serveur ciblé et / ou son infrastructure avec

divers trafics d'attaque. Une fois que le serveur devient incapable de
traiter efficacement les demandes inkling, il commence à se comporter
lentement et refuse finalement le service à davantage de demandes
entrantes, même de visiteurs légitimes.
Injection SQL 💉
Méthode utilisée par un attaquant pour exploiter les vulnérabilités de la
même manière que les bases de données implémentent les requêtes de
recherche. Les attaquants utilisent SQI pour accéder à des données non
autorisées, créer ou modifier des autorisations utilisateur, détruire ou
manipuler des données sensibles, etc.
Inclusion de fichiers à distance
Les attaquants l'utilisent pour injecter des fichiers malveillants avec des
codes dans un serveur d'application Web afin d'exécuter ces codes afin
d'endommager l'application, de la manipuler et de voler des données.
Autres
D'autres attaques incluent la corruption de mémoire, la violation de
données, le détournement de clic, la traversée de répertoire, la
commande injection, débordement de beurre, et plus encore.
J'espère que cela suffit pour comprendre que la sécurité Web est la
nécessité de l'heure et pourquoi tout le monde doit la mettre en œuvre le
plus tôt possible avant qu'elle ne puisse constituer une menace pour votre
application et vous nuire financièrement ou sur le plan de votre réputation.
En raison de ses demandes croissantes, de nombreuses personnes se
présentent pour apprendre. Et si vous êtes désireux d'apprendre ce sujet,
cela pourrait être une excellente option de carrière et bénéfique au niveau
personnel.

IV- Quelques bonnes pratiques de sécurité pour

sécuriser les application web
Premièrement, il ne faut accepter que des mots de passe d'une longueur suffisante.
8 est un minimum mais plus est encore mieux. Trop de règles (nombres, majuscules,
caractères spéciaux) ne vont pas forcément améliorer la sécurité, les dictionnaires
utilisés par les attaquants ayant intégrés ces règles.
Une authentification sans mot de passe est possible. Des entreprises comme Medium
ou Slack utilisent la méthode suivante : un utilisateur existant entre son adresse e-
mail et reçoit un e-mail avec un lien pour se connecter automatiquement.

Utilisation de pare-feu d'applications Web (WAF)

WAF aide à protéger vos applications Web contre les requêtes HTTP malveillantes. Il
place une barrière entre l'attaquant et votre serveur. Il peut protéger la couche sept
contre des menaces telles que XSS, CSRF, injection SQL, etc.

Atténuation des attaques DDoS

Comme son nom l'indique, il est utilisé pour atténuer les attaques DDoS et les attaques
de la couche réseau, sécurisant ainsi les sites Web, les applications et l'infrastructure
des serveurs.

Transmission de données

Transmettre des données en clair est dangereux. Le SSL est obligatoire pour toutes
les applications web. Mais le chiffrement est aussi essentiel à tous les niveaux.

Avez-vous remarqué que certains sites Web ont une icône verte dans le coin de
l'URL champ de votre navigateur ? C’est un badge qui indique que ces sites ont
activé le protocole SSL crypté, qui protège les informations de vos utilisateurs lors de
leur transfert entre votre site Web et votre base de données. Le chiffrement rend
beaucoup plus difficile l'accès à votre site et à son trafic sans autorisation.

Filtrage des robots

Il est mis en œuvre pour filtrer le mauvais trafic des robots.

Les Captchas utilisant des images

En réalité, les Captchas sont un ensemble de méthodes utilisées pour différencier un
humain d'un robot. Nous avons vu les captchas utilisant du texte déformé et illisible.
Il existe un autre type de Captcha, plus intéressante et plus amusante je trouve, celle
consistant à répondre à une question simple.

Protection DNS

Le système de noms de domaine (DNS) est ce qui convertit les domaines lisibles par
l’homme (tels que themillergroup.com) en une adresse IP à laquelle se connecter
(comme 162.210.70.63).

Cela est fait pour protéger votre requête DNS contre le piratage par des attaques sur
chemin et l'empoisonnement du cache DNS.

La protection DNS fournit une couche de protection supplémentaire entre

un employé et Internet en mettant sur liste noire les sites dangereux et en
filtrant le contenu indésirable. En utilisant des serveurs DNS sécurisés à la
maison et au travail, les employés peuvent éviter les risques inutiles et le
potentiel d’attaques malveillantes. Voici tout ce que vous devez savoir sur
les avantages des serveurs DNS sécurisés.

Utiliser HTTPS

HTTPS crypte toutes les données échangées entre le serveur et votre client pour
protéger les identifiants de connexion, les informations d'en-tête, les cookies, les
données de demande, etc. En plus de cela, HTTPS empêche le proxy d’intégrer
du contenu sur votre site Web, comme les sociétés de publicité qui publient du
contenu sur d’autres sites Web.

Tableau regroupant les acronymes en anglais et en français

Acronymes Anglais Français

SaaS Software as a service Logiciel en tant que
service
SSL Secure Sockets Layer technologie standard
destinée à la sécurité de la
connexion Internet et à la
protection des données
sensibles qui sont
 transmises entre deux
systèmes
HTTPS Hyper Text Transfer s'affiche sur l'URL
Protocol Secure lorsqu'un site web est
protégé par un certificat
SSL.
 Conclusion
En résumé On pourra souligner que la comptabilité constitue un outil
essentiel du système d’information. Elle a pour objet de fournir des
informations sur l’entreprise. Cette information est d’abord destinée aux
dirigeants et aux associés et actionnaires de l’entreprise, qui sont les plus
concernés par l’activité de l’entreprise. Cette information intéresse ensuite
les tiers qui travaillent avec l’entreprise (les fournisseurs, les clients, les
organismes financiers, l’Etat à travers l’administration fiscale…).