i-Watch: Détection des modifications de l'application

Les problèmes les plus graves ne sont pas toujours les plus complexes. Les applications Web en apportent quotidiennement une nouvelle preuve. Dans ce monde en perpétuel changement l'absence d'information sur l'évolution des applications représente un des problèmes majeurs pour les responsables sécurité. En effet, parce que la mise en ligne des nouvelles fonctionnalités est un processus prioritaire au sein des organisations, il arrive souvent que de nouveaux scripts ou de nouveaux formulaires soient déployés sans que leur sécurité ne puisse être vérifiée, et ceci simplement parce que les personnes concernées n'en n'ont pas été notifiées.

Encore plus grave est le cas où la modification de l'application ne provient pas des développeurs mais résulte des conséquences d'une intrusion. De nombreuses stratégies d'attaques (Cross Site Scripting, Phishing...) reposent en effet sur un concept de piège, lequel se matérialise par un code malicieux déposé par le Hacker afin de dérober diverses informations confidentielles (cookie d'identification, code d'accès...) sur les postes clients ayant consultés la page infestée de l'application.

Grâce à la simple lecture du trafic, une détection des nouvelles pages ou ressources peut ainsi être effectuée de façon transparente et permet de remonter une alerte vers les administrateurs. Ces alertes prendront la forme de rapports attachés à un mail.


Mode opératoire:

i-Watch surveille les applications spécifiées et va, chaque jour, déterminer si de nouvelles
ressources sont apparues. Si c'est le cas, il enverra à l'administrateur par mail, un rapport décrivant
chaque ressource nouvellement apparue et analysant les vulnérabilités et les risques inhérents à ces
ressources. Dans le cas où aucune nouvelle ressource n'apparait, i-Watch n'envoie aucun rapport.

• Lors de l'activation de la fonctionnalité, i-Watch va découvrir l'application à observer et les premiers rapports contiendront la description de toute l'application, associée à une analyse de son niveau de sécurité.
• Pendant quelques jours i-Watch va affiner sa connaissance de l'application et générera des des rapports complémentaires sur les nouvelles ressources découvertes.
• Une fois la découverte de l'application terminée, c'est à dire une fois que i-Watch aura pu observer un trafic suffisamment représentatif, i-Watch n'émet normalement plus de rapport.
• Lorsque i-Watch observe l'apparition d'une nouvelle ressources, il en avertit l'administrateur par mail.