En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...

Les applications web toujours aussi vulnérables

Comme chaque année, l’Owasp, une organisation communautaire, publie son palmarès des risques liés aux applications web. En étant plus didactique, ce document vise à sensibiliser les dirigeants.

laisser un avis
Les principaux risques liés aux applications web restent toujours les mêmes. Telle est la conclusion du Top 10 publié par l'Owasp (Open Web Application Security Project), une organisation mondiale indépendante basée sur le volontariat et l'open source. En 2007, le trio de tête était le suivant : injections côté serveur, injections de scripts côté client, et enfin, gestion défaillante de l'authentification et des sessions. Il est identique dans le dernier Top 10.
Les risques les plus dangereux concernent toujours les injections de commande. L'attaque de type cross site scripting qui, il y a peu, a fait tomber Apache, l'a confirmé récemment. Ce document de l'Owasp confirme les faiblesses structurelles des applications web. Conçues principalement pour améliorer le travail des entreprises, elles privilégient souvent l'efficacité au détriment de la sécurité. « De nombreuses applications disposent d'une interface d'administration. Or, elles sont régulièrement mises en production sans changer le mot de passe par défaut de l'interface », constate Jean-Baptiste Aviat, consultant sécurité chez HSC.
Sébastien Gioria, consultant en sécurité et représentant du chapitre français de l'Owasp, rappelle qu'il « existe à ce jour au moins plusieurs centaines de problèmes affectant l'ensemble de la sécurité d'une application web ».

Sensibiliser les dirigeants...

Mais repérer et colmater une vulnérabilité n'est pas suffisant : il faut une approche globale de la sécurité. C'est la raison pour laquelle l'Owasp a modifié le contenu de son palmarès pour le rendre accessible à tout le monde. Son Top 10 a en effet acquis une légitimité depuis sa création en 2003, mais il est surtout lu par des experts. « En étant plus pédagogique, nous visons notamment les dirigeants, explique Sébastien Gioria. Nous avons décidé de parler de risques et non plus uniquement de vulnérabilités. C'est l'impact qui est important. Il faut anticiper », poursuit-il.

... et les développeurs

Pour cet expert, « il faut appliquer les concepts de sécurité dans le cycle de développement (Secure Software Development Life Cycle ou SDLC). Les programmes sont à sécuriser par conception, pendant le développement et par défaut. »
La situation semble d'ailleurs évoluer. « Dans les tests d'intrusions effectués au quotidien, HSC a remarqué une baisse des injections SQL dans les applications récentes. Cette évolution s'explique, en partie, par la généralisation de l'utilisation de frameworks tels que Hibernate ou Ruby on Rails, qui embarquent nativement des mécanismes comme les requêtes préparées », explique Jean-Baptiste Aviat. Pour ce consultant, « il est important de laisser du temps aux développeurs pour leur formation, mais également pour la veille technologique relative au langage, aux frameworks employés, aux composants tiers (plug in, bases de données...) ».
envoyer
par mail
imprimer
l'article


@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
L’Internet des objets : un cauchemar ou une chance pour la sécurité ?
Sécurité : Deloitte France intègre la société HSC
Sécurité: les RSSI inquiets face aux cyberattaques sophistiquées
Alten lance une co-entreprise dans la cybersécurité
Des PDG et des directeurs financiers, piégés par... des macros Word
Intel rachète PasswordBox, un gestionnaire de mots de passe
Les acteurs du numérique redoutent les effets de la directive européenne NIS
CA Technologies aurait dédommagé la banque RBS pour sa méga-panne de 2012
Siemens corrige des failles sur ses systèmes industriels Scada
Quand les logiciels espions se font passer pour de vraies applis
Comment limiter les risques lors d'une attaque comme celle subie par Sony
Regin, le malware furtif qui espionne à tout va
Uber embauche une équipe pour mieux protéger les données de ses clients
La banque anglaise RBS paie cher sa méga-panne informatique de 2012
Samsung s'allie à BlackBerry pour sécuriser les flottes de mobiles Galaxy
Bull et Gras Savoye assurent les entreprises contre les cyber-risques
Sécurité: les pratiques des salariés divergent des consignes édictées
[Vidéo 01 Replay] La sécurisation des données personnelles sur le web préoccupe les Français
[Vidéo 01 Replay] Sécurité numérique : Gemalto poursuit sa conquête du marché