Top 10 des risques de sécurité applicatifs Web les plus critiques

1

Depuis sa création en 2001, la communauté OWASP (Open Web Application Security Project) est devenue l’une des principales références en matière de bonnes pratiques de sécurité en ligne. Son Top 10 des risques de sécurité applicatifs Web les plus critiques fait aujourd’hui figure de norme de facto dans le domaine de la sécurité des applications.

La récente édition 2017 du Top 10 de l’OWASP marque la première mise à jour du classement depuis 2013. Elle reflète les changements intervenus dans l’architecture fondamentale des applications au cours des dernières années, notamment :

  • Exécution de code source dans des navigateurs non fiables.
  • Création d’interface utilisateur modulaires à l’aide d’applications mobiles et monopages.
  • Création de microservices avec node.js et Spring Boot.
  • Code d’ancienne génération abrité derrière des API et des services Web RESTful.

Imperva traite quotidiennement les attaques figurant au Top 10, ce qui lui permet aujourd’hui d’analyser ce qui a changé depuis la publication de la liste en 2013.

Nouveautés du rapport 2017

Dans l’édition 2017 du rapport de l’OWASP, la méthodologie d’évaluation des menaces/risques a été revue. Elle comprend de nouvelles catégories, telles que l’exploitabilité, la prévalence, la détectabilité, ainsi que les répercussions techniques et business.

Les attaques décrites ci-dessous représentent les nouvelles menaces applicatives Web recensées dans le Top 10 2017 de l’OWASP.

A4 — XML External Entity (XXE)

Nouvelle catégorie s’appuyant principalement sur des jeux de données SAST, les attaques XXE (XML External Entity) tirent avantage de processeurs XML anciens ou mal configurés pour injecter du contenu malveillant dans un document XML.

L’exploitation de vulnérabilités au sein du code, des dépendances ou des intégrations des processeurs permet aux pirates d’exécuter une requête à distance depuis le serveur, de scanner les systèmes internes et de lancer des attaques par déni de service (DoS). Ceci peut entraîner la vulnérabilité de toute application acceptant le XML ou l’injection de contenu dans des documents XML.

A8 — Insecure Deserialization

(Désérialisation non sécurisée). La désérialisation, c’est-à-dire l’extraction de données d’une séquence d’octets, est un processus continu entre les applications qui communiquent entre elles. Une désérialisation mal sécurisée peut notamment conduire à l’exécution de code à distance et à des attaques, y compris par relecture, injection ou escalade de privilèges.

A10 — Insufficient Logging and Monitoring

(Journalisation et surveillance insuffisantes). Couplées à une réponse inefficace aux incidents, une journalisation et une surveillance insuffisantes permettent aux pirates de renforcer et de prolonger leurs stratégies d’attaque, de maintenir la persistance, de « pivoter vers d’autres systèmes, et d’altérer, extraire ou détruire des données ».

Afin de faire de la place pour ces nouvelles catégories, l’OWASP a modifié les menaces suivantes :

  • « Insecure Direct Object References » (références directes non sécurisées à un objet) et « Missing Function Level Access Control » (manque de contrôle d’accès au niveau fonctionnel) ont été regroupées dans une nouvelle catégorie baptisée « Broken Access Control » (violation du contrôle d’accès).
  • La catégorie CSRF a été rétrogradée à la treizième place du classement OWASP des menaces de sécurité.
  • La catégorie « Unvalidated Redirects and Forwards » (redirections et transferts non validés) a quant à elle été reléguée à la vingt-cinquième place.

Le Top 10 2017 en détails

Le Top 10 2017 de l’OWASP contient un certain nombre de changements qui reflètent mieux le paysage actuel des menaces pesant sur les applications. Ceci étant dit, plusieurs points auraient mérité d’être mieux expliqués et certaines menaces applicatives sont passées à la trappe.

Points positifs

Le Top 10 2017 fournit une analyse plus affûtée de la situation que l’édition 2013 dans le sens où il met davantage l’accent sur les tendances et technologies d’aujourd’hui.

Plusieurs attaques recensées dans le rapport 2013 ne constituent plus un risque aussi important et ont à juste titre été supprimées de la liste. Par exemple, moins de 5 % des jeux de données présentent aujourd’hui des vulnérabilités CSRF, et moins d’1 % des redirections et transferts non validés.

Dans le même temps, de nouvelles catégories, comme XML External Entity (XXE), la désérialisation non sécurisée, ainsi qu’une journalisation et une surveillance insuffisantes, permettent de mieux se prémunir contre de nouveaux types d’attaques et de menaces, telles que les requêtes REST, les interactions avec les API et les transmissions de données XML.

Points négatifs

Certaines catégories du nouveau Top 10 sont insuffisamment décrites. L’injection, en particulier, est un sujet encore trop vaste, et l’on regrette le manque d’informations sur les types d’injections auxquels les applications vulnérables s’exposent.

L’élimination de la catégorie « Unvalidated Redirects and Forwards » du Top 10 est compréhensible, laquelle représente également un contrôle de validation des entrées et un risque hautement probable de vulnérabilité XSS. Cela n’en reste pas moins une menace majeure qui aurait dû être mentionnée de manière plus explicite ou être intégrée à un autre contrôle au lieu d’être rétrogradée.

Points de désaccord

Bien que l’ajout de nouveaux contrôles soit une bonne chose, la catégorie « Insufficient Logging and Monitoring » n’a pas sa place dans le Top 10.

Le classement doit se concentrer sur les contrôles tangibles permettant d’éliminer ou de réduire les risques d’exposition à un bug. Une solution de journalisation et de surveillance joue un rôle important dans la sécurité des applications Web. Il s’agit toutefois d’un contrôle « réactif », qui ne cadre pas avec les autres contrôles de la liste, qui, eux, sont préventifs.

About Author

Daniel Svartman

Daniel Svartman est chercheur en sécurité chez Imperva avec plus de quinze ans d'expérience. Avant de rejoindre Imperva, il a travaillé chez Deloitte en tant que pen-tester. Sa spécialité, la recherche de nouveaux bugs dans les sites internet et les infrastructures avec à son palmarès, la découverte de dix vulnérabilités zéro day.

1 comentario

  1. Pour faire des ruptures, ce qui est le rôle de la DARPA (et donc, on ne parle pas dinnovation), il faut prendre des risques. Cela implique du temps et de prendre des risques. Donc cest incompatibles avec une administration française, car celui qui prendra des risques sur le temps long sera plus mal noté que celui qui vient avec des résultats, même peu innovants

Leave A Reply