COMMUNIQUE DE PRESSE : Nuit du Hack 2017 : pourquoi nous aimons les Bug Bounty chez DenyAll

DenyAll a participé une nouvelle fois à l’événement de La Nuit du Hack qui a eu lieu à Paris le 24 et 25 juin dernier. Pour son second “Bug Bounty”, DenyAll a vu 2 500 experts tester ses parefeux applicatifs Web et parefeux pour Services Web, afin d’atteindre les quatre sites web et APIs vulnérables. Les données recueillies seront analysées afin d’optimiser davantage la pertinence et l’efficacité des moteurs de sécurité applicative de DenyAll.

DenyAll a participé pour la deuxième fois à « La Nuit du Hack« , événement organisé par les équipes HackerzVoice et YesWeHack. Au cours du Bug Bounty, les WAFs de DenyAll ont reçu environ 600 000 requêtes en quelques heures, combinant des scanners de vulnérabilités, des techniques de fuzzing avancées et des ruses manuelles pour déjouer la sécurité fournie par les produits de DenyAll.

 

Le nombre de requêtes était très élevé, démontrant la capacité de DenyAll à fournir un environnement disponible à 100% avec peu de latence, en utilisant l’infrastructure cloud d’Amazon Web Services (AWS), et les images pré-packagées de ses WAFs, disponibles sur la place de marché AWS.

Plus de 100 Go de logs ont été capturés pendant la Nuit du Hack et vont être rejoués et analysés en profondeur pour améliorer constamment l’efficacité des moteurs de sécurité de DenyAll. Parmi les 600 000 requêtes enregistrées par les WAFs, moins de 20 bugs ont été validés et récompensés financièrement, en accord avec la politique de confidentialité mise en place par les organisateurs de l’événement.

La protection des Web Services et des APIs

La configuration était basée sur quatre applications destinées à tester des vulnérabilités de type injection SQL, cross-site scripting et bien d’autres :

  • Damn Vulnerable Web Application (DVWA), une application Web en PHP/MySql qui est sacrément vulnérable. Pleine de failles à exploiter, DVWA est destinée aussi bien aux professionnels de la sécurité qu’aux personnes souhaitant tester des attaques Web dans un environnement légal. Protégée par DenyAll Web Application Firewall.
  • Site web Hackazon, un site de test vulnérable s’apparentant à une boutique en ligne construite avec des technologies complexes utilisées dans les interfaces clients d’aujourd’hui (JSON, XML, AJAX…). Protégé par DenyAll Web Application Firewall.
  • Application mobile et API Hackazon, une application e-commerce mobile basée sur des Web Services (RESTful API). Protégée par DenyAll Web Services Firewall.
  • Damn Vulnerable Web Services (DVWS), un ensemble d’APIs vulnérables (à la fois en SOAP et REST) qui peut être utilisé pour comprendre le fonctionnement des vulnérabilités des Web Services. Protégé par DenyAll Web Services Firewall.

Cet exercice à démontrer la capacité de DenyAll à protéger les Web Services et les APIs. “Que nous les voyions ou non, les APIs sont aujourd’hui un rouage important de l’entreprise” dit Vincent Maury, le CTO de DenyAll. “Les interfaces de programmes d’applications sont utilisées tous les jours par les équipes informatiques et DevOps pour les transactions B2B, automatiser les applications et toute sorte de processus basé sur le trafic SOAP & REST. Les entreprises reposent plus que jamais sur les APIs, et cela créé de nouveaux vecteurs d’attaques pour les pirates”.

Cette tendance est soulignée dans la dernière version de l’OWASP (Open Web Application Security Project) publiée en 2017. En effet, deux nouvelles catégories d’insécurité ont été ajoutées à la liste du Top 10 des principales vulnérabilités, nommées A7 et A10 pour la “Protection insuffisante contre les attaques” et “APIs non-sécurisées”. Les APIs sont la nouvelle cible des pirates, c’est pourquoi DenyAll investit dans de nouveaux moteurs de sécurité pour protéger les entreprises qui jonglent au quotidien avec les applications et les APIs.

Xavier Quoniam, Marketing Manager on Linkedin
Xavier Quoniam, Marketing Manager
Xavier est notre Marketing Manager. Il est passionné par les nouvelles technologies qui transforment la façon dont les entreprises communiquent. Il nous apporte sa passion, sa curiosité et ses idées innovantes pour promouvoir au mieux DenyAll et Cloud Protector.
  • Nicolas

    Yes j’y étais !
    Belle nuit… instructive et riche.

    Nous envisageons des collaborations avec YesWeHack et DenyALL prochainement…

    N.