Remaniement de la liste 2021 de l'OWASP : Un nouveau plan de bataille et un nouvel ennemi principal
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles les gens pouvaient compter : Le soleil se lèvera le matin et se couchera le soir, Mario sera toujours plus cool que Sonic le hérisson, et les attaques par injection occuperont toujours la première place sur la liste de l'Open Web Application Security Project (OWASP) des dix vulnérabilités les plus courantes et les plus dangereuses que les attaquants exploitent activement.
Le soleil se lèvera demain et Mario a toujours une longueur d'avance sur Sonic, mais les attaques par injection ont perdu la première place sur la fameuse liste de l'OWASP, mise à jour en 2021. Les vulnérabilités par injection, l'une des plus anciennes formes d'attaques, existent depuis presque aussi longtemps que les réseaux informatiques. La vulnérabilité de couverture est à l'origine d'un large éventail d'attaques, allant des injections SQL traditionnelles aux exploits lancés contre les bibliothèques de navigation dans les graphes d'objets (OGNL). Elle est même à l'origine d'attaques directes contre des serveurs à l'aide de techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants - sans parler du nombre d'endroits susceptibles d'être attaqués - a permis à cette catégorie de rester en tête pendant de nombreuses années.
Mais le roi de l'injection est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème des vulnérabilités par injection ? Il n'en est rien. Elle n'est pas tombée bien loin de sa position d'ennemi numéro un de la sécurité, puisqu'elle n'occupe plus que la troisième place sur la liste de l'OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car il montre à quel point le nouvel ennemi numéro un de l'OWASP est répandu, et pourquoi les développeurs doivent y prêter une attention particulière à l'avenir.
L'élément le plus intéressant, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte significative, avec de toutes nouvelles catégories qui font leur apparition : Conception non sécurisée, Défauts d'intégrité des logiciels et des données, et une entrée basée sur les résultats de l'enquête de la communauté : Falsification des requêtes côté serveur. Cela montre que l'accent est mis de plus en plus sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour la référence en matière de sécurité des logiciels.
Le contrôle d'accès brisé remporte la palme (et révèle une tendance)
Le contrôle d'accès brisé est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité du contrôle d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse, car elles permettent collectivement de causer des dommages sur plusieurs fronts. La catégorie comprend tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de contrôle d'accès défaillant cités par l'OWASP pour élever cette famille de vulnérabilités au rang de priorité, on peut citer ceux qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Elles peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API croie qu'ils sont quelqu'un d'autre, comme un administrateur disposant de privilèges plus élevés. Il existe même des vulnérabilités où les attaquants ne sont pas limités à la modification des métadonnées, ce qui leur permet de modifier des éléments tels que les jetons web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par des attaquants pour contourner les autorisations de fichiers ou d'objets, ce qui leur permet de voler des données, voire d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. En plus d'être de plus en plus courantes, les failles dans le contrôle d'accès sont donc extrêmement dangereuses.
Il est tout à fait convaincant - mais pas surprenant - que les vulnérabilités en matière d'authentification et de contrôle d'accès deviennent le terrain le plus fertile à exploiter pour les attaquants. Le dernier rapport d'enquête de Verizon sur les violations de données révèle que les problèmes de contrôle d'accès sont fréquents dans presque tous les secteurs, en particulier les technologies de l'information et les soins de santé, et que 85 % de toutes les violations impliquent un élément humain. L'expression "élément humain" couvre des incidents tels que les attaques par hameçonnage, qui ne sont pas un problème d'ingénierie, mais 3 % des brèches impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et d'erreurs humaines, telles qu'une mauvaise configuration de la sécurité.
Alors que les bogues de sécurité décrépits comme XSS et l'injection SQL continuent de faire trébucher les développeurs, il est de plus en plus évident que la conception de la sécurité de base est défaillante, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur de la menace, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème est que peu d'ingénieurs bénéficient d'une formation et d'un développement des compétences allant au-delà des bases, et encore moins voient leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés, au niveau du code, qui sont généralement introduits par les développeurs.
Prévenir les bogues que les robots trouvent rarement
La nouvelle famille de vulnérabilités de contrôle d'accès brisé est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès brisés et comment les arrêter sur notre chaîne YouTube et notre blog.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié, englobant un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faiblesse trouvée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés dans l'arsenal. Si la majeure partie de la liste OWASP Top 10 est toujours établie sur la base de données d'analyse, les nouvelles entrées couvrant la conception non sécurisée et les failles d'intégrité des données - entre autres - montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour réaliser ce que les robots ne peuvent pas faire.
En d'autres termes, les scanners de sécurité ne font pas de grands modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut aider l'équipe AppSec de manière incommensurable en développant leur QI de sécurité en ligne avec les meilleures pratiques, ainsi qu'avec les besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, en sachant que si le Top 10 de l'OWASP est une excellente base, le paysage des menaces évolue si rapidement (sans parler des exigences des objectifs de développement internes) qu'il doit y avoir un plan pour aller plus loin et de manière plus spécifique dans la montée en compétence des développeurs en matière de sécurité. Si vous ne le faites pas, vous manquerez inévitablement des occasions de remédier rapidement à la situation et vous empêcherez une approche holistique réussie de la cybersécurité préventive, dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Mettez vos développeurs sur la voie d'une parcours de compétences en matière de sécurité dès aujourd'hui.
Les attaques par injection, le fameux roi des vulnérabilités (par catégorie), ont perdu la première place au profit d'un contrôle d'accès défaillant en tant que pire des pires, et les développeurs doivent s'en rendre compte.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationMatias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles les gens pouvaient compter : Le soleil se lèvera le matin et se couchera le soir, Mario sera toujours plus cool que Sonic le hérisson, et les attaques par injection occuperont toujours la première place sur la liste de l'Open Web Application Security Project (OWASP) des dix vulnérabilités les plus courantes et les plus dangereuses que les attaquants exploitent activement.
Le soleil se lèvera demain et Mario a toujours une longueur d'avance sur Sonic, mais les attaques par injection ont perdu la première place sur la fameuse liste de l'OWASP, mise à jour en 2021. Les vulnérabilités par injection, l'une des plus anciennes formes d'attaques, existent depuis presque aussi longtemps que les réseaux informatiques. La vulnérabilité de couverture est à l'origine d'un large éventail d'attaques, allant des injections SQL traditionnelles aux exploits lancés contre les bibliothèques de navigation dans les graphes d'objets (OGNL). Elle est même à l'origine d'attaques directes contre des serveurs à l'aide de techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants - sans parler du nombre d'endroits susceptibles d'être attaqués - a permis à cette catégorie de rester en tête pendant de nombreuses années.
Mais le roi de l'injection est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème des vulnérabilités par injection ? Il n'en est rien. Elle n'est pas tombée bien loin de sa position d'ennemi numéro un de la sécurité, puisqu'elle n'occupe plus que la troisième place sur la liste de l'OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car il montre à quel point le nouvel ennemi numéro un de l'OWASP est répandu, et pourquoi les développeurs doivent y prêter une attention particulière à l'avenir.
L'élément le plus intéressant, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte significative, avec de toutes nouvelles catégories qui font leur apparition : Conception non sécurisée, Défauts d'intégrité des logiciels et des données, et une entrée basée sur les résultats de l'enquête de la communauté : Falsification des requêtes côté serveur. Cela montre que l'accent est mis de plus en plus sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour la référence en matière de sécurité des logiciels.
Le contrôle d'accès brisé remporte la palme (et révèle une tendance)
Le contrôle d'accès brisé est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité du contrôle d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse, car elles permettent collectivement de causer des dommages sur plusieurs fronts. La catégorie comprend tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de contrôle d'accès défaillant cités par l'OWASP pour élever cette famille de vulnérabilités au rang de priorité, on peut citer ceux qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Elles peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API croie qu'ils sont quelqu'un d'autre, comme un administrateur disposant de privilèges plus élevés. Il existe même des vulnérabilités où les attaquants ne sont pas limités à la modification des métadonnées, ce qui leur permet de modifier des éléments tels que les jetons web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par des attaquants pour contourner les autorisations de fichiers ou d'objets, ce qui leur permet de voler des données, voire d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. En plus d'être de plus en plus courantes, les failles dans le contrôle d'accès sont donc extrêmement dangereuses.
Il est tout à fait convaincant - mais pas surprenant - que les vulnérabilités en matière d'authentification et de contrôle d'accès deviennent le terrain le plus fertile à exploiter pour les attaquants. Le dernier rapport d'enquête de Verizon sur les violations de données révèle que les problèmes de contrôle d'accès sont fréquents dans presque tous les secteurs, en particulier les technologies de l'information et les soins de santé, et que 85 % de toutes les violations impliquent un élément humain. L'expression "élément humain" couvre des incidents tels que les attaques par hameçonnage, qui ne sont pas un problème d'ingénierie, mais 3 % des brèches impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et d'erreurs humaines, telles qu'une mauvaise configuration de la sécurité.
Alors que les bogues de sécurité décrépits comme XSS et l'injection SQL continuent de faire trébucher les développeurs, il est de plus en plus évident que la conception de la sécurité de base est défaillante, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur de la menace, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème est que peu d'ingénieurs bénéficient d'une formation et d'un développement des compétences allant au-delà des bases, et encore moins voient leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés, au niveau du code, qui sont généralement introduits par les développeurs.
Prévenir les bogues que les robots trouvent rarement
La nouvelle famille de vulnérabilités de contrôle d'accès brisé est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès brisés et comment les arrêter sur notre chaîne YouTube et notre blog.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié, englobant un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faiblesse trouvée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés dans l'arsenal. Si la majeure partie de la liste OWASP Top 10 est toujours établie sur la base de données d'analyse, les nouvelles entrées couvrant la conception non sécurisée et les failles d'intégrité des données - entre autres - montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour réaliser ce que les robots ne peuvent pas faire.
En d'autres termes, les scanners de sécurité ne font pas de grands modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut aider l'équipe AppSec de manière incommensurable en développant leur QI de sécurité en ligne avec les meilleures pratiques, ainsi qu'avec les besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, en sachant que si le Top 10 de l'OWASP est une excellente base, le paysage des menaces évolue si rapidement (sans parler des exigences des objectifs de développement internes) qu'il doit y avoir un plan pour aller plus loin et de manière plus spécifique dans la montée en compétence des développeurs en matière de sécurité. Si vous ne le faites pas, vous manquerez inévitablement des occasions de remédier rapidement à la situation et vous empêcherez une approche holistique réussie de la cybersécurité préventive, dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Mettez vos développeurs sur la voie d'une parcours de compétences en matière de sécurité dès aujourd'hui.
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles les gens pouvaient compter : Le soleil se lèvera le matin et se couchera le soir, Mario sera toujours plus cool que Sonic le hérisson, et les attaques par injection occuperont toujours la première place sur la liste de l'Open Web Application Security Project (OWASP) des dix vulnérabilités les plus courantes et les plus dangereuses que les attaquants exploitent activement.
Le soleil se lèvera demain et Mario a toujours une longueur d'avance sur Sonic, mais les attaques par injection ont perdu la première place sur la fameuse liste de l'OWASP, mise à jour en 2021. Les vulnérabilités par injection, l'une des plus anciennes formes d'attaques, existent depuis presque aussi longtemps que les réseaux informatiques. La vulnérabilité de couverture est à l'origine d'un large éventail d'attaques, allant des injections SQL traditionnelles aux exploits lancés contre les bibliothèques de navigation dans les graphes d'objets (OGNL). Elle est même à l'origine d'attaques directes contre des serveurs à l'aide de techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants - sans parler du nombre d'endroits susceptibles d'être attaqués - a permis à cette catégorie de rester en tête pendant de nombreuses années.
Mais le roi de l'injection est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème des vulnérabilités par injection ? Il n'en est rien. Elle n'est pas tombée bien loin de sa position d'ennemi numéro un de la sécurité, puisqu'elle n'occupe plus que la troisième place sur la liste de l'OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car il montre à quel point le nouvel ennemi numéro un de l'OWASP est répandu, et pourquoi les développeurs doivent y prêter une attention particulière à l'avenir.
L'élément le plus intéressant, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte significative, avec de toutes nouvelles catégories qui font leur apparition : Conception non sécurisée, Défauts d'intégrité des logiciels et des données, et une entrée basée sur les résultats de l'enquête de la communauté : Falsification des requêtes côté serveur. Cela montre que l'accent est mis de plus en plus sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour la référence en matière de sécurité des logiciels.
Le contrôle d'accès brisé remporte la palme (et révèle une tendance)
Le contrôle d'accès brisé est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité du contrôle d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse, car elles permettent collectivement de causer des dommages sur plusieurs fronts. La catégorie comprend tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de contrôle d'accès défaillant cités par l'OWASP pour élever cette famille de vulnérabilités au rang de priorité, on peut citer ceux qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Elles peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API croie qu'ils sont quelqu'un d'autre, comme un administrateur disposant de privilèges plus élevés. Il existe même des vulnérabilités où les attaquants ne sont pas limités à la modification des métadonnées, ce qui leur permet de modifier des éléments tels que les jetons web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par des attaquants pour contourner les autorisations de fichiers ou d'objets, ce qui leur permet de voler des données, voire d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. En plus d'être de plus en plus courantes, les failles dans le contrôle d'accès sont donc extrêmement dangereuses.
Il est tout à fait convaincant - mais pas surprenant - que les vulnérabilités en matière d'authentification et de contrôle d'accès deviennent le terrain le plus fertile à exploiter pour les attaquants. Le dernier rapport d'enquête de Verizon sur les violations de données révèle que les problèmes de contrôle d'accès sont fréquents dans presque tous les secteurs, en particulier les technologies de l'information et les soins de santé, et que 85 % de toutes les violations impliquent un élément humain. L'expression "élément humain" couvre des incidents tels que les attaques par hameçonnage, qui ne sont pas un problème d'ingénierie, mais 3 % des brèches impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et d'erreurs humaines, telles qu'une mauvaise configuration de la sécurité.
Alors que les bogues de sécurité décrépits comme XSS et l'injection SQL continuent de faire trébucher les développeurs, il est de plus en plus évident que la conception de la sécurité de base est défaillante, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur de la menace, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème est que peu d'ingénieurs bénéficient d'une formation et d'un développement des compétences allant au-delà des bases, et encore moins voient leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés, au niveau du code, qui sont généralement introduits par les développeurs.
Prévenir les bogues que les robots trouvent rarement
La nouvelle famille de vulnérabilités de contrôle d'accès brisé est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès brisés et comment les arrêter sur notre chaîne YouTube et notre blog.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié, englobant un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faiblesse trouvée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés dans l'arsenal. Si la majeure partie de la liste OWASP Top 10 est toujours établie sur la base de données d'analyse, les nouvelles entrées couvrant la conception non sécurisée et les failles d'intégrité des données - entre autres - montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour réaliser ce que les robots ne peuvent pas faire.
En d'autres termes, les scanners de sécurité ne font pas de grands modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut aider l'équipe AppSec de manière incommensurable en développant leur QI de sécurité en ligne avec les meilleures pratiques, ainsi qu'avec les besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, en sachant que si le Top 10 de l'OWASP est une excellente base, le paysage des menaces évolue si rapidement (sans parler des exigences des objectifs de développement internes) qu'il doit y avoir un plan pour aller plus loin et de manière plus spécifique dans la montée en compétence des développeurs en matière de sécurité. Si vous ne le faites pas, vous manquerez inévitablement des occasions de remédier rapidement à la situation et vous empêcherez une approche holistique réussie de la cybersécurité préventive, dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Mettez vos développeurs sur la voie d'une parcours de compétences en matière de sécurité dès aujourd'hui.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationMatias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles les gens pouvaient compter : Le soleil se lèvera le matin et se couchera le soir, Mario sera toujours plus cool que Sonic le hérisson, et les attaques par injection occuperont toujours la première place sur la liste de l'Open Web Application Security Project (OWASP) des dix vulnérabilités les plus courantes et les plus dangereuses que les attaquants exploitent activement.
Le soleil se lèvera demain et Mario a toujours une longueur d'avance sur Sonic, mais les attaques par injection ont perdu la première place sur la fameuse liste de l'OWASP, mise à jour en 2021. Les vulnérabilités par injection, l'une des plus anciennes formes d'attaques, existent depuis presque aussi longtemps que les réseaux informatiques. La vulnérabilité de couverture est à l'origine d'un large éventail d'attaques, allant des injections SQL traditionnelles aux exploits lancés contre les bibliothèques de navigation dans les graphes d'objets (OGNL). Elle est même à l'origine d'attaques directes contre des serveurs à l'aide de techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants - sans parler du nombre d'endroits susceptibles d'être attaqués - a permis à cette catégorie de rester en tête pendant de nombreuses années.
Mais le roi de l'injection est tombé. Vive le roi.
Cela signifie-t-il que nous avons enfin résolu le problème des vulnérabilités par injection ? Il n'en est rien. Elle n'est pas tombée bien loin de sa position d'ennemi numéro un de la sécurité, puisqu'elle n'occupe plus que la troisième place sur la liste de l'OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car il montre à quel point le nouvel ennemi numéro un de l'OWASP est répandu, et pourquoi les développeurs doivent y prêter une attention particulière à l'avenir.
L'élément le plus intéressant, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte significative, avec de toutes nouvelles catégories qui font leur apparition : Conception non sécurisée, Défauts d'intégrité des logiciels et des données, et une entrée basée sur les résultats de l'enquête de la communauté : Falsification des requêtes côté serveur. Cela montre que l'accent est mis de plus en plus sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour la référence en matière de sécurité des logiciels.
Le contrôle d'accès brisé remporte la palme (et révèle une tendance)
Le contrôle d'accès brisé est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité du contrôle d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse, car elles permettent collectivement de causer des dommages sur plusieurs fronts. La catégorie comprend tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues.
Parmi les exemples de contrôle d'accès défaillant cités par l'OWASP pour élever cette famille de vulnérabilités au rang de priorité, on peut citer ceux qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Elles peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API croie qu'ils sont quelqu'un d'autre, comme un administrateur disposant de privilèges plus élevés. Il existe même des vulnérabilités où les attaquants ne sont pas limités à la modification des métadonnées, ce qui leur permet de modifier des éléments tels que les jetons web JSON, les cookies ou les jetons de contrôle d'accès.
Une fois exploitée, cette famille de vulnérabilités peut être utilisée par des attaquants pour contourner les autorisations de fichiers ou d'objets, ce qui leur permet de voler des données, voire d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. En plus d'être de plus en plus courantes, les failles dans le contrôle d'accès sont donc extrêmement dangereuses.
Il est tout à fait convaincant - mais pas surprenant - que les vulnérabilités en matière d'authentification et de contrôle d'accès deviennent le terrain le plus fertile à exploiter pour les attaquants. Le dernier rapport d'enquête de Verizon sur les violations de données révèle que les problèmes de contrôle d'accès sont fréquents dans presque tous les secteurs, en particulier les technologies de l'information et les soins de santé, et que 85 % de toutes les violations impliquent un élément humain. L'expression "élément humain" couvre des incidents tels que les attaques par hameçonnage, qui ne sont pas un problème d'ingénierie, mais 3 % des brèches impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et d'erreurs humaines, telles qu'une mauvaise configuration de la sécurité.
Alors que les bogues de sécurité décrépits comme XSS et l'injection SQL continuent de faire trébucher les développeurs, il est de plus en plus évident que la conception de la sécurité de base est défaillante, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur de la menace, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique.
Le problème est que peu d'ingénieurs bénéficient d'une formation et d'un développement des compétences allant au-delà des bases, et encore moins voient leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés, au niveau du code, qui sont généralement introduits par les développeurs.
Prévenir les bogues que les robots trouvent rarement
La nouvelle famille de vulnérabilités de contrôle d'accès brisé est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès brisés et comment les arrêter sur notre chaîne YouTube et notre blog.
Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié, englobant un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faiblesse trouvée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés dans l'arsenal. Si la majeure partie de la liste OWASP Top 10 est toujours établie sur la base de données d'analyse, les nouvelles entrées couvrant la conception non sécurisée et les failles d'intégrité des données - entre autres - montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour réaliser ce que les robots ne peuvent pas faire.
En d'autres termes, les scanners de sécurité ne font pas de grands modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut aider l'équipe AppSec de manière incommensurable en développant leur QI de sécurité en ligne avec les meilleures pratiques, ainsi qu'avec les besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, en sachant que si le Top 10 de l'OWASP est une excellente base, le paysage des menaces évolue si rapidement (sans parler des exigences des objectifs de développement internes) qu'il doit y avoir un plan pour aller plus loin et de manière plus spécifique dans la montée en compétence des développeurs en matière de sécurité. Si vous ne le faites pas, vous manquerez inévitablement des occasions de remédier rapidement à la situation et vous empêcherez une approche holistique réussie de la cybersécurité préventive, dirigée par l'homme.
Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Mettez vos développeurs sur la voie d'une parcours de compétences en matière de sécurité dès aujourd'hui.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
La puissance d'OpenText Fortify + Secure Code Warrior
OpenText Fortify et Secure Code Warrior unissent leurs forces pour aider les entreprises à réduire les risques, à transformer les développeurs en champions de la sécurité et à renforcer la confiance des clients. Pour en savoir plus, cliquez ici.
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
Ressources pour vous aider à démarrer
10 prédictions clés : Secure Code Warrior sur l'influence de l'IA et de la conception sécurisée en 2025
Les organisations sont confrontées à des décisions difficiles sur l'utilisation de l'IA pour soutenir la productivité à long terme, la durabilité et le retour sur investissement de la sécurité. Au cours des dernières années, il nous est apparu clairement que l'IA ne remplacera jamais complètement le rôle du développeur. Des partenariats IA + développeurs aux pressions croissantes (et à la confusion) autour des attentes en matière de conception sécurisée, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine.
OWASP Top 10 pour les applications LLM : Ce qui est nouveau, ce qui a changé et comment rester en sécurité
Gardez une longueur d'avance dans la sécurisation des applications LLM avec les dernières mises à jour du Top 10 de l'OWASP. Découvrez ce qui est nouveau, ce qui a changé et comment Secure Code Warrior vous fournit des ressources d'apprentissage actualisées pour atténuer les risques dans l'IA générative.
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.