OWASP Top 10 2025 : Défaillances de la chaîne d'approvisionnement en logiciels

Avec l'arrivée très attendue du Top Ten 2025 de l'OWASP, les entreprises doivent se méfier de quelques nouvelles menaces, dont l'une se trouve en tête de liste. Les défaillances de la chaîne d'approvisionnement des logiciels, qui constituent une nouvelle catégorie mais ne sont pas tout à fait nouvelles, occupent la troisième place sur la liste quadriennale des risques les plus graves pour la sécurité des applications web établie par l'Open Web Application Security Project. C'est un risque que les entreprises doivent prendre très au sérieux, si elles ne le font pas déjà. 

Les défaillances de la chaîne d'approvisionnement des logiciels sont issues d'une catégorie de la liste précédente de 2021, Composants vulnérables et obsolètes, et comprennent désormais un éventail plus large de compromissions dans l'écosystème logiciel des dépendances, des systèmes de construction et de l'infrastructure de distribution. Et son apparition sur la liste ne devrait pas être une surprise particulière, compte tenu des dommages causés par des attaques de la chaîne d'approvisionnement très médiatisées telles que SolarWinds en 2019, le piratage de Bybit plus tôt cette année, et la campagne Shai-Hulud en cours, un ver npm particulièrement méchant et autoreproducteur qui fait des ravages dans les environnements de développeurs exposés.

Le Top 10 de l'OWASP est généralement cohérent, ce qui convient à une liste qui paraît tous les quatre ans, même si des mises à jour sont effectuées entre-temps. Il y a généralement quelques changements au sein de la liste - l'injection, un résident de longue date, passe de la troisième à la cinquième place, par exemple, et la conception non sécurisée perd deux places pour atteindre la sixième, tandis que la mauvaise configuration de la sécurité passe de la cinquième à la deuxième place. Le contrôle d'accès défaillant conserve la première place. L'édition 2025 compte deux nouvelles entrées, à savoir les défaillances de la chaîne d'approvisionnement des logiciels, déjà mentionnées, et la mauvaise gestion des conditions exceptionnelles, qui fait son entrée dans la liste à la 10e place. Nous examinons ici de près la nouvelle entrée relative aux vulnérabilités de la chaîne d'approvisionnement.

[VOIR VIDÉO]

Les vulnérabilités peuvent apparaître presque partout

Les défaillances de la chaîne d'approvisionnement des logiciels constituent une catégorie quelque peu inhabituelle dans la liste car, parmi les 10 entrées, elle a le moins d'occurrences dans les données de recherche de l'OWASP, mais elle a également les scores moyens d'exploit et d'impact les plus élevés résultant des cinq énumérations de faiblesses communes (Common Weakness Enumerations - CWE) dans la catégorie. L'OWASP soupçonne que la présence limitée de cette catégorie est due aux difficultés actuelles des tests, qui pourraient éventuellement s'améliorer. Quoi qu'il en soit, les répondants à l'enquête ont massivement cité les défaillances de la chaîne d'approvisionnement des logiciels comme l'une de leurs principales préoccupations.

La plupart des vulnérabilités de la chaîne d'approvisionnement découlent de la nature interconnectée des activités commerciales, qui impliquent des partenaires en amont et en aval et des tiers. Chaque interaction implique des logiciels dont les composants (dépendances ou bibliothèques) pourraient ne pas être protégés. Une entreprise peut être vulnérable si elle ne suit pas toutes les versions de ses propres composants (côté client, côté serveur ou imbriqués), ainsi que les dépendances transitives (d'autres bibliothèques) pour s'assurer qu'elles ne sont pas vulnérables, non prises en charge ou obsolètes. Les composants ont généralement les mêmes privilèges que l'application, de sorte que les composants compromis, y compris ceux qui proviennent de tiers ou de dépôts de logiciels libres, peuvent avoir un impact considérable. Il est essentiel que les correctifs et les mises à jour soient effectués en temps voulu - même les programmes de correctifs mensuels ou trimestriels réguliers peuvent laisser une entreprise exposée pendant des jours ou des mois. 

De même, l'absence de processus de gestion des changements dans votre chaîne d'approvisionnement peut créer des vulnérabilités si vous ne suivez pas les environnements de développement intégrés (IDE) ou les modifications apportées à votre référentiel de code, à vos référentiels d'images et de bibliothèques ou à d'autres parties de la chaîne d'approvisionnement. Une organisation doit renforcer la chaîne d'approvisionnement en appliquant des politiques de contrôle d'accès et de moindre privilège, en veillant à ce qu'aucune personne ne puisse créer du code et le déployer en production sans supervision, et à ce que personne ne puisse télécharger des composants à partir de sources non fiables. 

Les attaques contre la chaîne d'approvisionnement peuvent prendre de nombreuses formes. La célèbre attaque de SolarWinds a commencé lorsque des attaquants russes ont injecté des logiciels malveillants dans une mise à jour du célèbre logiciel de gestion de réseau de l'entreprise. Environ 18 000 clients ont été touchés. Bien que le nombre d'entreprises réellement touchées soit plus proche de 100, cette liste comprenait de grandes sociétés et des agences gouvernementales. Le piratage de Bybit, d'une valeur de 1,5 milliard de dollars, dont la Corée du Nord est à l'origine, concernait des applications de crypto-monnaie compromises. La récente attaque de la chaîne d'approvisionnement Glass Worm impliquait un code invisible et autoreproducteur qui a infecté la place de marché Open VSX. 

Prévenir les exploits de la chaîne d'approvisionnement

Comme les attaques contre la chaîne d'approvisionnement impliquent l'interdépendance des systèmes, la défense contre ces attaques nécessite une approche globale. L'OWASP propose des conseils pour prévenir les attaques, notamment en mettant en place des processus de gestion des correctifs :

• Connaissez votre nomenclature logicielle (SBOM) pour tous les logiciels et gérez-la de manière centralisée. Il est préférable de générer les SBOM pendant la construction, plutôt que plus tard, en utilisant des formats standard, tels que SPDX ou CycloneDX, et de publier au moins un SBOM lisible par machine par version.
• Suivez toutes vos dépendances, y compris les dépendances transitives, en supprimant les dépendances inutilisées, ainsi que les fonctionnalités, les composants, les fichiers et la documentation superflus. 
• Inventoriez en permanence les composants côté client et côté serveur et leurs dépendances à l'aide d'outils tels que OWASP Dependency Check ou retire.js.
• Tenez-vous au courant des vulnérabilités en surveillant en permanence des sources telles que le site web Common Vulnerabilities and Exposures (CVE) et la National Vulnerability Database (NVD) et en vous abonnant à des alertes par courrier électronique pour les vulnérabilités de sécurité liées aux composants que vous utilisez.
• Utilisez des composants obtenus uniquement auprès de sources fiables via des liens sécurisés. Un fournisseur digne de confiance, par exemple, serait prêt à collaborer avec un chercheur pour divulguer un CVE que ce dernier a découvert dans un composant.
• Choisissez délibérément la version d'une dépendance que vous utiliserez et mettez-la à jour uniquement lorsque vous en avez besoin. Travaillez avec des bibliothèques tierces dont les vulnérabilités ont été publiées dans une source bien connue telle que NVD. 
• Surveillez les bibliothèques et les composants non maintenus ou non pris en charge. S'il n'est pas possible d'appliquer un correctif, envisagez de déployer un correctif virtuel pour surveiller, détecter ou protéger contre le problème découvert.
• Mettre régulièrement à jour les outils de développement.
• Traitez les composants de votre pipeline CI/CD comme faisant partie de ce processus, en les renforçant et en les surveillant tout en documentant les changements.

La gestion des changements ou un processus de suivi devrait également s'appliquer à vos paramètres CI/CD, aux référentiels de code, aux bacs à sable, aux environnements de développement intégrés (IDE), aux outils SBOM, aux artefacts créés, aux systèmes de journalisation et aux journaux, aux intégrations tierces telles que SaaS, au référentiel d'artefacts et à votre registre de conteneurs. Vous devez également renforcer les systèmes, depuis les postes de travail des développeurs jusqu'au pipeline CI/CD. Veillez également à activer l'authentification multifactorielle tout en appliquant des politiques solides de gestion des identités et des accès. 

La protection contre les défaillances de la chaîne d'approvisionnement en logiciels est une entreprise permanente à multiples facettes dans un monde hautement interconnecté. Les organisations doivent appliquer des mesures défensives solides tout au long du cycle de vie de leurs applications et de leurs composants afin de se défendre contre cette menace moderne qui évolue rapidement.

Note aux utilisateurs duSCW Trust Score™ :

Comme nous mettons à jour le contenu de notre Learning Platform pour l'aligner sur la norme OWASP Top 10 2025, il se peut que vous observiez des ajustements mineurs dans le score de confiance de vos développeurs Full Stack. N'hésitez pas à contacter votre représentant Customer Success si vous avez des questions ou si vous avez besoin d'aide.