Mercredi 18 Décembre 2019
Laurent Leloup

Le comble de l’absurdité

Chardy Ndiki – directeur Contrast Security France et Europe du Sud.


L'automatisation des tests est un sujet cher à notre cœur. Et pour une bonne raison. En dotant les logiciels de capacités d'évaluation des vulnérabilités, les agents peuvent analyser le code en continu et en temps réel, et pas seulement à la fin du processus DevOp. Ainsi, les défauts peuvent être automatiquement identifiés avant de pouvoir frapper. Et là, vous ouvrez les yeux. Lorsque nous avons récemment analysé des milliers d'applications actuellement utilisées, nous avons constaté que sept sur dix (71%) d'entre elles intégraient au moins l'une des dix vulnérabilités les plus courantes de l'OWASP. Les analystes constatent que la majorité des applications présentent encore au moins une des 10 principales vulnérabilités de l'OWASP lorsqu'elles sont intégrées.

Bien que ce chiffre soit inquiétant, il montre que des progrès ont été réalisés. Lorsque la même enquête fut conduite il y a tout juste deux ans, quatre applications sur cinq (80%) possédaient au moins une de ces vulnérabilités. Cette baisse des vulnérabilités traduit certainement l'attention croissante portée à la sécurité au sein des organisations de toutes tailles dans le monde entier et souligne l’intégration de la sécurité tout au long du cycle de vie du développement logiciel, et surtout au sein des équipes d'application. Cependant, il souligne également le besoin constant d'améliorer l’automatisation des tests pour s'assurer que ces vulnérabilités ne glissent pas entre les mailles du filet.

Dans les tests, les cinq vulnérabilités les plus fréquentes du Top 10 de l'OWASP sont :

#1 Exposition aux données sensibles - affectant 65% des applications
La vulnérabilité la plus élevée en 2017 reste la plus répandue en 2019. L'importance du chiffrement du trafic Web et des données sensibles dans le stockage ne doit pas être sous-estimée. Cette vulnérabilité est limitée aux failles qui exposent les données sensibles au risque d'être exposées ou volées. L'impact potentiel d'un pirate informatique accédant à ces informations est énorme. Les équipes de développement devraient se concentrer sur la création d'une stratégie unifiée pour identifier les données sensibles et les crypter partout où elles vont.

#2 Mauvaise configuration de la sécurité - affectant 36 % des applications
Une mauvaise configuration de la sécurité peut se produire lorsqu'il n'y a pas de mise en œuvre sécurisée de tous les contrôles de sécurité d'une application. Cela peut se produire à n'importe quel niveau d'une pile d'applications, y compris la plate-forme, le serveur Web, le serveur d'applications, la base de données, le cadre et le code personnalisé. Elle touche actuellement la même proportion d'applications qu'en 2017.

#3 Violation de l’authentification - affectant 33% des applications
En 2017, cette vulnérabilité a touché 41% des applications. En raison d'une conception et d'une mise en œuvre médiocres de la plupart des contrôles d'identité et d'accès, la prévalence d’une authentification rompue est assez répandue.

#4 Injection - affectant 25% des applications
Les vulnérabilités d'injection permettent des entrées malveillantes dans une application. Elles sont responsables des quatre principaux types d'attaque sur 10 les plus répandus : OGNL, Zxpression Language, Command et SQL injections. Lors d'une attaque par injection, des entrées non fiables ou de code non autorisé sont "injectés" dans un programme, et sont ensuite interprétés comme faisant partie d'une requête ou d'une commande.

#5 Violation du contrôle d'accès - affectant 18% des applications
La violation du contrôle d’accès a rassemblé deux des Top 10 OWASP de la liste 2013 : Insecure Direct Object References et Missing Function Level Access Control. Réunies, ces catégories représentent les failles et les lacunes qui permettent à un pirate d'agir en tant qu'utilisateur ou administrateur de l'application.

Pour mieux cerner les tendances, nous avons également comparé les 10 principales vulnérabilités de l'OWASP dans deux des principaux langages de développement d'applications Web - Java et .NET. Nous avons toutefois constaté qu'il y a eu peu de changement dans ces paramètres au cours des deux dernières années.

Comme le disait si bien Albert Einstein : Le comble de l'absurdité, c'est de répéter les mêmes gestes constamment et de s'attendre à des résultats différents. Pourtant, les équipes n'apprennent apparemment pas leurs leçons. Aucune des vulnérabilités ci-dessus n'est nouvelle. Nous devons donc permettre à chacun, tout au long du cycle de vie du logiciel d'automatiser les tests et d'effectuer des tests de sécurité dans le cadre de leurs attributions. En identifiant et en rapportant les résultats en temps réel, on peut obtenir des résultats précis, ce qui permet à chaque personne responsable de l'application d'être également responsable de sa sécurité.


Finyear & Chaineum

Lisez gratuitement le quotidien Finyear & sa newsletter quotidienne.
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en finance digitale, corporate finance & crypto finance.

Read for free The daily newspaper Finyear & its daily newsletter.
Receive the Finyear's newsletter every morning by email, a daily snapshot of the best news and expertise in digital finance, corporate finance & crypto finance.

------------------------

Chaineum :
Fondée en 2015, Chaineum est une boutique STO offrant une expertise de premier plan en matière d’ICO et STO, avec une vision stratégique orientée tant vers le métier de ses clients que sur la technologie blockchain. A ce titre, Chaineum a participé à la mise en œuvre de bonnes pratiques dans le secteur (ICO Charter, Security Token Network).
La division services blockchain de Chaineum, développe la technologie Chaineum Segment, une blockchain privée orientée objets.

About Chaineum:
Founded in 2015, Chaineum is a STO Boutique with a strong expertise in ICO and STO, and a strategic focus on both its clients' business and blockchain technology. As such, Chaineum paved the way in the implementation of certain best practices in this sector (ICO Charter, Security Token Network).
Chaineum's blockchain services division, is developing Chaineum Segment technology, an object-oriented private blockchain.

-------------------------

No Offer, Solicitation, Investment Advice, or Recommendations

This website is for informational purposes only and does not constitute an offer to sell, a solicitation to buy, or a recommendation for any security, nor does it constitute an offer to provide investment advisory or other services by FINYEAR.
No reference to any specific security constitutes a recommendation to buy, sell or hold that security or any other security.
Nothing on this website shall be considered a solicitation or offer to buy or sell any security, future, option or other financial instrument or to offer or provide any investment advice or service to any person in any jurisdiction.
Nothing contained on the website constitutes investment advice or offers any opinion with respect to the suitability of any security, and the views expressed on this website should not be taken as advice to buy, sell or hold any security. In preparing the information contained in this website, we have not taken into account the investment needs, objectives and financial circumstances of any particular investor.
This information has no regard to the specific investment objectives, financial situation and particular needs of any specific recipient of this information and investments discussed may not be suitable for all investors.
Any views expressed on this website by us were prepared based upon the information available to us at the time such views were written. Changed or additional information could cause such views to change.
All information is subject to possible correction. Information may quickly become unreliable for various reasons, including changes in market conditions or economic circumstances.


Articles similaires