Chaque fin d’année, l’Owasp publie ses « 10 commandements » du développeur Web sachant sécuriser. Les erreurs humaines se suivant et se ressemblant, rares sont les bouleversements en termes de vulnérabilités potentielles. Le dernier classement fait mentir cette habitude.
Le tiercé gagnant des attaques est sans surprise : Injection, violation de session, XSS. Cela change à la quatrième place qui voit le retour d’un classique presque oublié, la violation du contrôle d’accès. Viennent ensuite les inévitables « config par défaut » et assimilées ainsi que l’accès aux données sensibles. L’actualité 2017 en a fourmillé. A la septième place, un genre de risque nouveau, la protection insuffisante aux attaques (autrement dit l’absence de mise en place de mécanismes automatiques ou manuels de détection, prévention et réponse à des agressions externes). Une manière comme une autre de plaider en faveur d’une généralisation des campagnes de test de pénétration et des outils d’application de correctifs automatiques. La huitième marche du podium est occupée par les attaques CSRF, la neuvième par l’exploitation de vulnérabilités référencées et non colmatées, et la dixième (ce sera la troisième nouveauté du classement) concerne les attaques visant les API. Une émergence, explique les techniciens de l’Owasp, par la généralisation des applications écrites en Javascript, lesquelles font appel à des API pour collecter des données. Or, sécuriser les API se heurte à deux écueils : l’hétérogénéité de plateforme entre l’émetteur de données (parfois distant) et l’application Web, et surtout la multiplicité des protocoles et plateformes (SOAP/XML, REST/JSON, RPC… ) qui rendent toute protection ou vérification par des logiciels de sécurité ou campagne de pentesting excessivement difficiles, voir impossibles.
2 commentaires