mercredi 5 mai 2010

Les applications web sont toujours vulnérables

Comme chaque année, l'OWASP (une organisation communautaire) publie son palmarès des risques liés aux applications web.

Et ca ne change pas : les principaux risques liés aux applications web restent toujours les mêmes. C’est la principale conclusion qui ressort du Top Ten publié par l’OWASP (Open Web Application Security Project), une organisation communautaire mondiale indépendante, basée sur le volontariat et l’Open Source.

En 2007, le trio de tête était le suivant : Injections coté serveur, Injections de scripts coté client et enfin Gestion défaillante de l’authentification et des sessions. Ce trio est le même dans son dernier Top 10 !

Les risques les plus dangereux concernent toujours les injections de commande. L’attaque de type Cross Site Scripting qui a récemment fait tomber Apache l’a confirmé récemment. Ce document de l’OWASP confirme les faiblesses structurelles des applications web.

Conçues principalement pour améliorer le travail des entreprises, elles privilégient souvent l’efficacité au détriment de la sécurité. « De nombreuses applications disposent d'une interface d'administration (native ou dépendant du serveur).

Or, elles sont régulièrement mises en production sans changer le mot de passe de l'interface ce qui permet souvent de compromettre la machine », constate Jean-Baptiste Aviat, consultant sécurité chez HSC.
Sébastien Gioria, consultant en sécurité et représentant du chapitre français de l’OWASP, rappelle qu’il « existe à ce jour au moins plusieurs centaines de problèmes affectant l’ensemble de la sécurité d’une application web ».

Sensibiliser les dirigeants

Mais repérer et colmater une vulnérabilité n’est pas suffisant ; il faut une approche globale de la sécurité. C’est la raison pour laquelle l’OWASP a modifié le contenu de son palmarès pour le rendre plus clair et accessible à tout le monde. Son Top Ten a en effet acquis une légitimité depuis sa création en 2003 mais il est surtout lu par des experts.

« En étant plus pédagogique, nous visons notamment les dirigeants, explique Sébastien Gioria. Nous avons décidé de parler de risques et non plus uniquement de vulnérabilités. Donner des priorités sur des vulnérabilités sans prendre en compte leur contexte n’a pas de sens. C’est l’impact qui est important. Il faut anticiper », précise Sébastien Gioria.

Pour cet expert, « il faut appliquer les concepts de sécurité dans le cycle de développement (Secure Software Development Life Cycle ou SDLC en anglais). Les programmes sont à sécuriser par conception, pendant le développement et par défaut. »

Aucun commentaire:

Enregistrer un commentaire