Selon l’Open Web Application Security Project (OWASP), une organisation à but non lucratif de développeurs web qui se consacre à la lutte contre les failles de sécurité sur le web, les restrictions d’accès insuffisantes constituent actuellement la plus grande menace pour les applications web. C’est le résultat d’un projet de Top 10 de l’OWASP pour 2021, qui vient d’être présenté aux développeurs intéressés par le projet. Le dernier Top 10 de l’OWASP remonte à 2017 – à l’époque, les vulnérabilités par injection étaient en tête de liste (comme en 2013). Les restrictions d’accès défectueuses occupaient déjà la deuxième place en 2017 et en 2013.
L’OWASP est considéré par les développeurs web et les responsables de projets logiciels comme une bonne source d’informations sur les problèmes de sécurité des applications web et sur la manière de les éviter. Le projet a pour but d’améliorer la compréhension des vulnérabilités de sécurité parmi les développeurs et d’augmenter ainsi la qualité fondamentale des logiciels sur l’Internet. Les données qui servent de base à la liste du Top 10 proviennent d’informations sur les vulnérabilités de sécurité trouvées dans les logiciels Web publics et signalées par les canaux industriels pertinents. L’OWASP mène également des enquêtes régulières auprès d’experts qui sont confrontés directement à ces lacunes. L’organisation souligne régulièrement que ses informations sont principalement basées sur des problèmes qui peuvent être détectés à l’aide de processus automatisés – ce qui signifie que le Top 10 a généralement un certain retard sur les dernières tendances en matière d’Infosec.
Sommaire
Crypto-fail en 2ème position
Il est intéressant de noter que les vulnérabilités d’injection – qui ont longtemps été le pain et le beurre de tous ceux qui se préoccupent de sécuriser les applications web – ont glissé à la deuxième place dans la nouvelle liste, déplacées par des restrictions d’accès défectueuses et des failles de cryptographie. Cela correspond à l’évaluation du projet Common Weakness Enumeration (CWE), qui ne répertorie plus les vulnérabilités par injection de code dans sa liste actuelle des 25 premières. Cette tendance ne concerne donc pas seulement les logiciels sur le net.
L’OWASP définit les restrictions d’accès défectueuses comme tout type de vulnérabilité de sécurité où les informations d’identification ne sont pas demandées du tout, ou sont demandées d’une manière qui peut être contournée ou trompée. Il existe une catégorie distincte pour les cas où l’utilisateur est mal identifié (7e sur la liste). La catégorie des crypto-faillites était appelée « Exposition de données sensibles » à l’OWASP et couvre désormais un champ plus large. Il couvre toutes sortes de défaillances cryptographiques, depuis les crypto-monnaies mal mises en œuvre ou fabriquées par soi-même avec négligence, jusqu’aux erreurs dans la génération de données pseudo-aléatoires, en passant par – éternel classique – les mots de passe non sécurisés intégrés aux systèmes.
Les vulnérabilités de type « cross-site scripting » (XSS), qui occupaient la 7e place dans la liste précédente, sont désormais rejointes par les vulnérabilités d’injection en 3e position. Ils sont rejoints pour la première fois cette année par le Server Side Request Forgery (SSRF), à la dixième place de la liste. Deux autres nouveaux ajouts sont les catégories « Conception non sécurisée » et « Erreurs d’intégrité dans les logiciels ou les données ». La dernière catégorie concerne les hypothèses peu sûres que les développeurs font lorsqu’ils saisissent des données critiques, mettent à jour des logiciels ou dans le cadre du flux de développement et de diffusion de leurs logiciels.
Le Top 10 de l’OWASP en détail
| Rang | OWASP Top 10 2021 | 2017 |
|
1 |
Contrôles d’accès défaillants |
5 |
|
2 |
Défaillances cryptographiques |
3 |
|
3 |
Injection |
1 |
|
4 |
Insecure Design |
Nouvelle arrivée |
|
5 |
Mauvaise configuration de la sécurité |
6 |
|
6 |
Composants vulnérables et obsolètes |
9 |
|
7 |
Défauts d’identification et d’authentification |
2 |
|
8 |
Défauts d’intégrité des logiciels et des données |
Nouvelle entrée |
|
9 |
Défaillances de la journalisation et de la surveillance de la sécurité |
10 |
|
10 |
Falsification des requêtes côté serveur (SSRF) |
Nouvelle arrivée |
Bien que le Top 10 de l’OWASP pour 2021 ne soit pas encore officiel – une publication correspondante prendra probablement encore quelques mois – il vaut déjà la peine de jeter un coup d’œil à la liste complète. Étant donné l’omniprésence des failles de sécurité dans les applications web, les développeurs et les chefs de projet ne peuvent jamais être trop conscients de ces vulnérabilités. Toutefois, il faut savoir que les informations fournies par l’OWASP ne peuvent donner qu’une indication approximative. Ils servent principalement à sensibiliser les experts en informatique aux problèmes qui se posent fréquemment. Un logiciel qui fait l’objet d’un contrôle régulier pour les dix problèmes du top 10 peut être plus sûr, mais cela ne signifie pas qu’il est exempt de vulnérabilités. L’OWASP met en garde à plusieurs reprises contre l’utilisation abusive du Top 10 comme une simple liste de contrôle à cocher – ce qui s’est probablement produit à maintes reprises dans le passé, en particulier dans les cercles de cadres moyens des grandes organisations.
Pour ceux qui souhaitent approfondir les détails des vulnérabilités de sécurité du Top 10 de l’OWASP, l’atelier en ligne de heise Events, animé par Tobias Glemser les 22 et 23 septembre, est vivement recommandé. L’atelier est limité à 20 personnes afin de laisser suffisamment de place aux questions des participants. M. Glemser est un testeur de pénétration certifié BSI et directeur général de la société de sécurité secuvera. En tant que chef du chapitre allemand de l’Open Web Application Security Project (OWASP), il est également le co-traducteur du Top 10 de l’OWASP.
(fab)