Les sites Web sans faille restent rares

Gilbert Kallenborn

01net.

le 24/04/2007 à 15h05

laisser un avis

envoyer
par mail

imprimer
l'article

La société américaine WhiteHat vient de compiler dans un livre blanc les résultats des études de vulnérabilité des sites Web qu’elle réalise pour ses entreprises clientes.

Ainsi, le “ cross site scripting ” est de loin la vulnérabilité la plus répandue sur la Toile. Près des deux tiers des sites analysés par WhiteHat présentaient ce défaut. C’est d’autant plus grave que cette faille est également l’une des plus dangereuses. Elle permet d’injecter du code externe dans un site Web et, par voie de conséquence, de voler des informations relatives aux sessions ou aux cookies.

Mais la faille considérée par WhiteHat comme la plus dangereuse reste l’injection SQL qui détourne des requêtes SQL côté serveur. La manœuvre nécessite seulement de remplir les requêtes avec des caractères non conventionnels comme la ponctuation, voire avec des commandes, par l’intermédiaire de formulaires de recherche ou d’authentification par exemple. Elle donne ainsi un accès direct aux bases de données de l’entreprise. Le livre blanc indique que 17 % des sites sont exposés à ce type de risque.

Des pages orphelines sur 22 % des sites

Cependant, il n’est pas besoin d’être un spécialiste en PHP ou en MySQL pour pirater le Web. Sur 36 % des sites, WhiteHat a détecté la présence malencontreuse d’informations sensibles (adresses IP, commentaires de développeurs, messages d’erreur), facilement exploitables par des utilisateurs mal intentionnés.

Sur 22 % des sites, il existe par ailleurs des pages orphelines, c'est-à-dire qui ne sont plus liées à aucune autre partie et qui sont tombées dans l’oubli. Le cas de figure est également valable pour des documents mis en ligne et oubliés depuis. L’accès à ces informations au travers des moteurs de recherche permet là aussi de glaner des données critiques. C’est ce qu’on appelle le Google hacking.