PROJET TOP 10 OWASP : LE CLASSEMENT DES POINTS CYBERSÉCURITÉ POUR VOTRE ENTREPRISE

Tous développeurs et entreprises de développement d’applications Web ayant des connaissances en cybersécurité se doivent de connaître l’OWASP. C’est avant tout une communauté ayant pour vocation première d’aider à améliorer la sécurité des logiciels et applications Web. Optimum Circle revient sur le projet « Top 10 » de l’OWASP, le classement des points cybersécurité pour votre entreprise.

Fondée en septembre 2001, cette communauté cybersécurité travaille sur plusieurs projets. Elle vise à proposer des outils et méthodes à l’intention des internautes et développeurs mais aussi des entreprises. Elle a pour but le contrôle et l’aide de prise de décision concernant la sécurisation des produits Web. La fondation OWASP (Open Web Application Security Project) est mondialement reconnue pour ses travaux et recommandations pour un codage plus sécurisé. Elle ambitionne même de faire évoluer la culture des organisations en termes de développement logiciel et de produits plus sûrs. Sa philosophie étant basée sur l’Open Source, ses contributions sont libres et ouvertes à tous. Parmi les différents projets portés par la Fondation, nous nous intéressons dans cet article au projet « Top 10 » de l’OWASP. Derrière ce nom, se trouve un standard sur la sensibilisation des développeurs aux dix principaux risques liés à la sécurité des applications Web.
cybersecurite-protection

Il est important de mentioner que le dernier classement Top10 date de 2017. 2020 est un peu particulière pour ce projet car une mise à jour est en cours. Une contribution mondiale a été ouverte entre mai 2020 et le 30 novembre dernier. Le but est de recueillir un ensemble de données le plus complet lié aux vulnérabilités d’applications. Cette collecte doit permettre, après validation, normalisation puis analyse des données fournies, de mettre à jour ce classement. Elle recherche des statistiques plus précises et représentatives des vulnérabilités observées entre 2017 et aujourd’hui.

Dans l’attente du futur classement en 2021, Optimum circle revient pour vous sur les 10 vulnérabilités en cybersécurité.

Failles d’injection de codes

En premier lieu, les failles d’injection surviennent lorsqu’une application envoie des données non fiables à un interpréteur. La data n’ayant pas été préalablement validées, filtrées ou nettoyées. Presque toute source de données peut être un vecteur d’injection. Et il faut prendre en compte que n’importe qui peut envoyer des données nocives au système (utilisateurs ou administrateurs).

Très souvent, vous pouvez les retrouver dans les requêtes SQL, LDAP, XPath, noSQL, commandes OS, parseurs XML, arguments de programme, etc.

En conclusion, une injection de code malveillant peut résulter en une perte ou une corruption de données. Cela peut aussi s’apparenter à une divulgation à des tiers non autorisés, une perte de droits, ou un refus d’accès. Cela peut aller même à la prise de contrôle du serveur par l’attaquant.

Authentification contournée (problème majeur en cybersécurité)

À savoir que si les fonctions liées à l’authentification et la gestion des sessions ne sont pas implémentées correctement, l’attaquant peut potentiellement usurper des identités. Cela ouvre des possibilités de fraudes à la sécurité sociale, au blanchiment d’argent ou encore à la divulgation d’informations très sensibles.

Exposition de données sensibles

En effet, les données, dites sensibles, nécessitent des mesures particulières pour garantir leur protection. Citons par exemple les numéros de carte de paiement, les mots de passe ou encore les données confidentielles liées à la santé. Des précautions d’usage, comme le recours au chiffrement pour stocker et échanger ces informations, sont obligatoires pour éviter toute compromission.

XML External Entities (XXE)

Il est vrai que le recours à des processeurs XML anciens peut permettre à un hacker d’envoyer du XML. On peut ainsi injecter du code malveillant dans un document XML. Ces failles peuvent alors être utilisées pour extraire des données, exécuter des requêtes à distance ou analyser les systèmes internes.  De plus, il est aussi possible d’effectuer une attaque par déni de service (DoS), ou exécuter d’autres attaques.

Contrôle d’accès contourné

Premièrement, il faut souligner que les contrôles d’accès servent à appliquer une politique assurant que les utilisateurs respectent les droits, et permissions qui leurs sont accordées. Une mauvaise implémentation de ces contrôles peut résulter que le pirate obtienne des droits d’un autre utilisateur voire d’un administrateur. De ce fait, ils peuvent potentiellement accéder à des fonctionnalités ou données non autorisées. Le pirate peut ainsi consulter des données sensibles, modifier des données d’autres utilisateurs ou altérer des droits d’accès.

cybersecurite-protection

Mauvaises configurations de la sécurité

Tout d’abord, la mauvaise configuration de la sécurité est l’erreur la plus fréquemment observée. On peut énumérer les configurations et comptes par défaut non sécurisés, les configurations incomplètes ou ad-hoc. Les stockages cloud ouverts, des en-têtes HTTP mal paramétrés ou encore des messages d’erreurs verbeux contiennent aussi des informations sensibles. Cela concerne les systèmes d’exploitation, les frameworks, bibliothèques et applications utilisés, qui doivent être correctement configurés. Il faut avoir une politique attentive de patchs et de mises à jour.

Pour finir, de tels défauts ou vulnérabilités en cybersécurité fournissent souvent aux hackers un accès non autorisé à certaines données du système. Cela peut aller jusqu’à des fonctionnalités où même parfois à entraîner une compromission complète du système.

Cross-Site scripting (XSS)

À ce jour, les failles XSS se produisent lorsqu’une application inclut des données non fiables sans validation ni contrôle des caractères spéciaux. Un attaquant peut alors exécuter arbitrairement du code HTML ou scripts JavaScript dans le navigateur de la victime. Il peut ainsi détourner des sessions utilisateur, défigurer des sites Web ou encore rediriger l’utilisateur vers des sites malveillants.

Désérialisation non-sécurisée

La sérialisation/désérialisation consiste à coder/décoder une information sous forme d’une suite d’informations plus petites en vue de sa sauvegarde, de son transport ou d’échanges standardisés avec d’autres applications. La désérialisation non sécurisée d’informations conduit souvent à l’exécution de codes à distance ou à des dénis de service distribués (DDoS). Ces failles en cybersécurité peuvent également être utilisées pour effectuer des attaques de relecture, d’injection de code ou d’escalade de privilèges.

Utilisation de composants avec des vulnérabilités connues en cybersécurité

Les composants, tels que les bibliothèques, frameworks et autres modules logiciels, s’exécutent avec les mêmes privilèges que l’application. Si un composant vulnérable est exploité, une telle attaque peut faciliter la perte de données graves ou la prise de contrôle du serveur. Les applications et les API utilisant des composants avec des vulnérabilités connues peuvent affaiblir les défenses et causer diverses attaques et impacts.

Surveillance insuffisante de cybersécurité (journalisation, supervision)

Pour commencer, il convient de mettre en place des mesures pour détecter des attaques dont l’application Web peut faire l’objet. L’exploitation des insuffisances de supervision et de journalisation sont à la base de presque tous les incidents majeurs. Ces carences, dans la supervision et la gestion de réactions rapides et adéquates, permettent aux pirates de réaliser leurs objectifs sans être détectés. Le pirate peut alors maintenir la persistance, pivoter vers plus de systèmes ou encore de compromettre, extraire ou détruire des données. La plupart des études sur les atteintes à la violation montrent que le temps nécessaire pour leur détection est supérieur à 200 jours. De plus, elles sont généralement découvert par des parties externes plutôt que par des processus internes ou une surveillance.

Pour chacun de ces risques, des pistes sont proposées sur le site de la Fondation pour aider à déterminer si l’application peut être vulnérable. Elle propose aussi des recommandations afin de s’en prémunir et illustrer par des scénarios pertinents d’attaques. Parmi les autres projets de l’OWASP, « WebGoat » propose une plateforme de formation relative aux vulnérabilités Web les plus courantes.

Pour plus d’informations sur la cybersécurité et la sécurisation de vos sites webs, Optimum Circle a mis à disposition des livres blancs pour vous éclairer. Vous souhaitez en savoir plus sur tout ce qui touche à la sécurité web ? N’hésitez pas à nous contacter dès à présent !

Trois idées à retenir

Fondée en septembre 2001, l’OWASP (Open Web Application Security Project) vise à proposer des outils et méthodes à l’intention des internautes et développeurs mais aussi des entreprises. Elle a pour but le contrôle et l’aide de prise de décision concernant la sécurisation des produits Web. La fondation est mondialement reconnue pour ses travaux et recommandations pour un codage plus sécurisé.

Comme son nom l’indique, le projet Top 10 OWASP est un projet de la fondation OWASP. un standard sur la sensibilisation des développeurs aux 10 principaux risques liés à la sécurité des applications Web. Le but est de recueillir un ensemble de données le plus complet lié aux vulnérabilités d’applications. Le dernier classement date de 2017, la prochaine mise à jour devrait arriver pour 2021.

Dans ce classement des 10 vulnérabilités en cybersécurité, nous retrouvons, les failles d’injection de codes, l’authentification contournée, l’exposition de données sensibles, les processus XML External Entities (XXE), le contrôle d’accès contourné, les mauvaises configurations de la sécurité, les failles Cross-Site scripting (XSS), la désérialisation non-sécurisée, l’utilisation de composants avec des vulnérabilités connues et la surveillance insuffisante de cybersécurité.

OPTIMUM CIRCLE » CYBERSÉCURITÉ » PROJET TOP 10 OWASP : LE CLASSEMENT DES POINTS CYBERSÉCURITÉ POUR VOTRE ENTREPRISE