Les XSS sont sur le point d’être dépassés par les fuites d’information (64 % des sites frappés), loin devant les risques de spoofing de contenu (43%) ou de forgerie de requêtes en cross site (24 %). La majorité des sites Web dans le monde est affectée par au moins une vulnérabilité différente par jour. Constat certes pessimiste, mais qui s’explique par la frénésie de perfectionnements, d’améliorations fonctionnelles et d’enrichissements divers que l’on apporte en permanence aux serveurs Internet. Ce constat est dressé par un récent rapport publié par White Hat (inscription obligatoire), entreprise dirigée par le célèbre Jeremiah Grossman. Cette fièvre d’enrichissements (et les vulnérabilités nouvelles qui l’accompagnent) est souvent plus rapide que ne le sont les campagnes de conception et de déploiement de correctifs. La fenêtre de vulnérabilité qui caractérise chaque site est donc accrue, ce qui permet d’estimer à 9 mois par an (270 jours) la « période de faillibilité moyenne » d’un site. Fenêtre d’autant plus difficile à réduire que certains bugs de conception dépendent d’applications écrites « à façon », donc non standard et ne pouvant bénéficier d’un correctif d’éditeur prêt à consommer. L’Owasp a encore bien du chemin à parcourir.
Les 15 pages du rapport fourmillent de métriques, notamment sur les temps de déploiement de patch par secteur industriel. En volume de failles « sérieuses » (exploitables) , c’est le secteur de la distribution qui est le plus touché, avec une moyenne de 404 « trous » par an, suivi par le secteur de la finance (266 failles) et des télécoms (215). Les secteurs « sensibles » sont plus prompts à balayer devant leur porte. Ainsi, dans le domaine bancaire, cette « moyenne annuelle des trous » tombe à 30, à 33 dans le secteur médical, 111 dans le milieu IT… et 35 seulement dans le domaine de la production industrielle.
A noter également que les risques en fonction de l’activité sectorielle peuvent varier du tout au tout. La proportion d’attaques potentielles en brute force ou en injection SQL est bien plus importante dans les secteurs bancaire, IT, distribution et finance que dans les domaines de l’éducation, de la santé ou des produits manufacturés.