Blog

Remaniement de la liste 2021 de l'OWASP : Un nouveau plan de bataille et un nouvel ennemi principal

Matias Madou, Ph.D.
Publié le 05 octobre 2021

Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles les gens pouvaient compter : Le soleil se lèvera le matin et se couchera le soir, Mario sera toujours plus cool que Sonic le hérisson, et les attaques par injection occuperont toujours la première place sur la liste de l'Open Web Application Security Project (OWASP) des dix vulnérabilités les plus courantes et les plus dangereuses que les attaquants exploitent activement.

Le soleil se lèvera demain et Mario a toujours une longueur d'avance sur Sonic, mais les attaques par injection ont perdu la première place sur la fameuse liste de l'OWASP, mise à jour en 2021. Les vulnérabilités par injection, l'une des plus anciennes formes d'attaques, existent depuis presque aussi longtemps que les réseaux informatiques. La vulnérabilité de couverture est à l'origine d'un large éventail d'attaques, allant des injections SQL traditionnelles aux exploits lancés contre les bibliothèques de navigation dans les graphes d'objets (OGNL). Elle est même à l'origine d'attaques directes contre des serveurs à l'aide de techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants - sans parler du nombre d'endroits susceptibles d'être attaqués - a permis à cette catégorie de rester en tête pendant de nombreuses années.

Mais le roi de l'injection est tombé. Vive le roi. 

Cela signifie-t-il que nous avons enfin résolu le problème des vulnérabilités par injection ? Il n'en est rien. Elle n'est pas tombée bien loin de sa position d'ennemi numéro un de la sécurité, puisqu'elle n'occupe plus que la troisième place sur la liste de l'OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car il montre à quel point le nouvel ennemi numéro un de l'OWASP est répandu, et pourquoi les développeurs doivent y prêter une attention particulière à l'avenir.

L'élément le plus intéressant, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte significative, avec de toutes nouvelles catégories qui font leur apparition : Conception non sécurisée, Défauts d'intégrité des logiciels et des données, et une entrée basée sur les résultats de l'enquête de la communauté : Falsification des requêtes côté serveur. Cela montre que l'accent est mis de plus en plus sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour la référence en matière de sécurité des logiciels.

Le contrôle d'accès brisé remporte la palme (et révèle une tendance)

Le contrôle d'accès brisé est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité du contrôle d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse, car elles permettent collectivement de causer des dommages sur plusieurs fronts. La catégorie comprend tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues. 

Parmi les exemples de contrôle d'accès défaillant cités par l'OWASP pour élever cette famille de vulnérabilités au rang de priorité, on peut citer ceux qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Elles peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API croie qu'ils sont quelqu'un d'autre, comme un administrateur disposant de privilèges plus élevés. Il existe même des vulnérabilités où les attaquants ne sont pas limités à la modification des métadonnées, ce qui leur permet de modifier des éléments tels que les jetons web JSON, les cookies ou les jetons de contrôle d'accès.

Une fois exploitée, cette famille de vulnérabilités peut être utilisée par des attaquants pour contourner les autorisations de fichiers ou d'objets, ce qui leur permet de voler des données, voire d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. En plus d'être de plus en plus courantes, les failles dans le contrôle d'accès sont donc extrêmement dangereuses.

Il est tout à fait convaincant - mais pas surprenant - que les vulnérabilités en matière d'authentification et de contrôle d'accès deviennent le terrain le plus fertile à exploiter pour les attaquants. Le dernier rapport d'enquête de Verizon sur les violations de données révèle que les problèmes de contrôle d'accès sont fréquents dans presque tous les secteurs, en particulier les technologies de l'information et les soins de santé, et que 85 % de toutes les violations impliquent un élément humain. L'expression "élément humain" couvre des incidents tels que les attaques par hameçonnage, qui ne sont pas un problème d'ingénierie, mais 3 % des brèches impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et d'erreurs humaines, telles qu'une mauvaise configuration de la sécurité.

Alors que les bogues de sécurité décrépits comme XSS et l'injection SQL continuent de faire trébucher les développeurs, il est de plus en plus évident que la conception de la sécurité de base est défaillante, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur de la menace, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique. 

Le problème est que peu d'ingénieurs bénéficient d'une formation et d'un développement des compétences allant au-delà des bases, et encore moins voient leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés, au niveau du code, qui sont généralement introduits par les développeurs.

Prévenir les bogues que les robots trouvent rarement

La nouvelle famille de vulnérabilités de contrôle d'accès brisé est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès brisés et comment les arrêter sur notre chaîne YouTube et notre blog.

Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié, englobant un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faiblesse trouvée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés dans l'arsenal. Si la majeure partie de la liste OWASP Top 10 est toujours établie sur la base de données d'analyse, les nouvelles entrées couvrant la conception non sécurisée et les failles d'intégrité des données - entre autres - montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour réaliser ce que les robots ne peuvent pas faire.

En d'autres termes, les scanners de sécurité ne font pas de grands modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut aider l'équipe AppSec de manière incommensurable en développant leur QI de sécurité en ligne avec les meilleures pratiques, ainsi qu'avec les besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, en sachant que si le Top 10 de l'OWASP est une excellente base, le paysage des menaces évolue si rapidement (sans parler des exigences des objectifs de développement internes) qu'il doit y avoir un plan pour aller plus loin et de manière plus spécifique dans la montée en compétence des développeurs en matière de sécurité. Si vous ne le faites pas, vous manquerez inévitablement des occasions de remédier rapidement à la situation et vous empêcherez une approche holistique réussie de la cybersécurité préventive, dirigée par l'homme.

Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Mettez vos développeurs sur la voie d'une parcours de compétences en matière de sécurité dès aujourd'hui.

Voir la ressource
Voir la ressource

Les attaques par injection, le fameux roi des vulnérabilités (par catégorie), ont perdu la première place au profit d'un contrôle d'accès défaillant en tant que pire des pires, et les développeurs doivent s'en rendre compte.

Vous souhaitez en savoir plus ?

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Matias Madou, Ph.D.
Publié le 05 octobre 2021

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.

Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.

Partager sur :

Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles les gens pouvaient compter : Le soleil se lèvera le matin et se couchera le soir, Mario sera toujours plus cool que Sonic le hérisson, et les attaques par injection occuperont toujours la première place sur la liste de l'Open Web Application Security Project (OWASP) des dix vulnérabilités les plus courantes et les plus dangereuses que les attaquants exploitent activement.

Le soleil se lèvera demain et Mario a toujours une longueur d'avance sur Sonic, mais les attaques par injection ont perdu la première place sur la fameuse liste de l'OWASP, mise à jour en 2021. Les vulnérabilités par injection, l'une des plus anciennes formes d'attaques, existent depuis presque aussi longtemps que les réseaux informatiques. La vulnérabilité de couverture est à l'origine d'un large éventail d'attaques, allant des injections SQL traditionnelles aux exploits lancés contre les bibliothèques de navigation dans les graphes d'objets (OGNL). Elle est même à l'origine d'attaques directes contre des serveurs à l'aide de techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants - sans parler du nombre d'endroits susceptibles d'être attaqués - a permis à cette catégorie de rester en tête pendant de nombreuses années.

Mais le roi de l'injection est tombé. Vive le roi. 

Cela signifie-t-il que nous avons enfin résolu le problème des vulnérabilités par injection ? Il n'en est rien. Elle n'est pas tombée bien loin de sa position d'ennemi numéro un de la sécurité, puisqu'elle n'occupe plus que la troisième place sur la liste de l'OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car il montre à quel point le nouvel ennemi numéro un de l'OWASP est répandu, et pourquoi les développeurs doivent y prêter une attention particulière à l'avenir.

L'élément le plus intéressant, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte significative, avec de toutes nouvelles catégories qui font leur apparition : Conception non sécurisée, Défauts d'intégrité des logiciels et des données, et une entrée basée sur les résultats de l'enquête de la communauté : Falsification des requêtes côté serveur. Cela montre que l'accent est mis de plus en plus sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour la référence en matière de sécurité des logiciels.

Le contrôle d'accès brisé remporte la palme (et révèle une tendance)

Le contrôle d'accès brisé est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité du contrôle d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse, car elles permettent collectivement de causer des dommages sur plusieurs fronts. La catégorie comprend tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues. 

Parmi les exemples de contrôle d'accès défaillant cités par l'OWASP pour élever cette famille de vulnérabilités au rang de priorité, on peut citer ceux qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Elles peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API croie qu'ils sont quelqu'un d'autre, comme un administrateur disposant de privilèges plus élevés. Il existe même des vulnérabilités où les attaquants ne sont pas limités à la modification des métadonnées, ce qui leur permet de modifier des éléments tels que les jetons web JSON, les cookies ou les jetons de contrôle d'accès.

Une fois exploitée, cette famille de vulnérabilités peut être utilisée par des attaquants pour contourner les autorisations de fichiers ou d'objets, ce qui leur permet de voler des données, voire d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. En plus d'être de plus en plus courantes, les failles dans le contrôle d'accès sont donc extrêmement dangereuses.

Il est tout à fait convaincant - mais pas surprenant - que les vulnérabilités en matière d'authentification et de contrôle d'accès deviennent le terrain le plus fertile à exploiter pour les attaquants. Le dernier rapport d'enquête de Verizon sur les violations de données révèle que les problèmes de contrôle d'accès sont fréquents dans presque tous les secteurs, en particulier les technologies de l'information et les soins de santé, et que 85 % de toutes les violations impliquent un élément humain. L'expression "élément humain" couvre des incidents tels que les attaques par hameçonnage, qui ne sont pas un problème d'ingénierie, mais 3 % des brèches impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et d'erreurs humaines, telles qu'une mauvaise configuration de la sécurité.

Alors que les bogues de sécurité décrépits comme XSS et l'injection SQL continuent de faire trébucher les développeurs, il est de plus en plus évident que la conception de la sécurité de base est défaillante, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur de la menace, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique. 

Le problème est que peu d'ingénieurs bénéficient d'une formation et d'un développement des compétences allant au-delà des bases, et encore moins voient leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés, au niveau du code, qui sont généralement introduits par les développeurs.

Prévenir les bogues que les robots trouvent rarement

La nouvelle famille de vulnérabilités de contrôle d'accès brisé est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès brisés et comment les arrêter sur notre chaîne YouTube et notre blog.

Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié, englobant un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faiblesse trouvée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés dans l'arsenal. Si la majeure partie de la liste OWASP Top 10 est toujours établie sur la base de données d'analyse, les nouvelles entrées couvrant la conception non sécurisée et les failles d'intégrité des données - entre autres - montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour réaliser ce que les robots ne peuvent pas faire.

En d'autres termes, les scanners de sécurité ne font pas de grands modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut aider l'équipe AppSec de manière incommensurable en développant leur QI de sécurité en ligne avec les meilleures pratiques, ainsi qu'avec les besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, en sachant que si le Top 10 de l'OWASP est une excellente base, le paysage des menaces évolue si rapidement (sans parler des exigences des objectifs de développement internes) qu'il doit y avoir un plan pour aller plus loin et de manière plus spécifique dans la montée en compétence des développeurs en matière de sécurité. Si vous ne le faites pas, vous manquerez inévitablement des occasions de remédier rapidement à la situation et vous empêcherez une approche holistique réussie de la cybersécurité préventive, dirigée par l'homme.

Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Mettez vos développeurs sur la voie d'une parcours de compétences en matière de sécurité dès aujourd'hui.

Voir la ressource
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.

Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles les gens pouvaient compter : Le soleil se lèvera le matin et se couchera le soir, Mario sera toujours plus cool que Sonic le hérisson, et les attaques par injection occuperont toujours la première place sur la liste de l'Open Web Application Security Project (OWASP) des dix vulnérabilités les plus courantes et les plus dangereuses que les attaquants exploitent activement.

Le soleil se lèvera demain et Mario a toujours une longueur d'avance sur Sonic, mais les attaques par injection ont perdu la première place sur la fameuse liste de l'OWASP, mise à jour en 2021. Les vulnérabilités par injection, l'une des plus anciennes formes d'attaques, existent depuis presque aussi longtemps que les réseaux informatiques. La vulnérabilité de couverture est à l'origine d'un large éventail d'attaques, allant des injections SQL traditionnelles aux exploits lancés contre les bibliothèques de navigation dans les graphes d'objets (OGNL). Elle est même à l'origine d'attaques directes contre des serveurs à l'aide de techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants - sans parler du nombre d'endroits susceptibles d'être attaqués - a permis à cette catégorie de rester en tête pendant de nombreuses années.

Mais le roi de l'injection est tombé. Vive le roi. 

Cela signifie-t-il que nous avons enfin résolu le problème des vulnérabilités par injection ? Il n'en est rien. Elle n'est pas tombée bien loin de sa position d'ennemi numéro un de la sécurité, puisqu'elle n'occupe plus que la troisième place sur la liste de l'OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car il montre à quel point le nouvel ennemi numéro un de l'OWASP est répandu, et pourquoi les développeurs doivent y prêter une attention particulière à l'avenir.

L'élément le plus intéressant, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte significative, avec de toutes nouvelles catégories qui font leur apparition : Conception non sécurisée, Défauts d'intégrité des logiciels et des données, et une entrée basée sur les résultats de l'enquête de la communauté : Falsification des requêtes côté serveur. Cela montre que l'accent est mis de plus en plus sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour la référence en matière de sécurité des logiciels.

Le contrôle d'accès brisé remporte la palme (et révèle une tendance)

Le contrôle d'accès brisé est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité du contrôle d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse, car elles permettent collectivement de causer des dommages sur plusieurs fronts. La catégorie comprend tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues. 

Parmi les exemples de contrôle d'accès défaillant cités par l'OWASP pour élever cette famille de vulnérabilités au rang de priorité, on peut citer ceux qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Elles peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API croie qu'ils sont quelqu'un d'autre, comme un administrateur disposant de privilèges plus élevés. Il existe même des vulnérabilités où les attaquants ne sont pas limités à la modification des métadonnées, ce qui leur permet de modifier des éléments tels que les jetons web JSON, les cookies ou les jetons de contrôle d'accès.

Une fois exploitée, cette famille de vulnérabilités peut être utilisée par des attaquants pour contourner les autorisations de fichiers ou d'objets, ce qui leur permet de voler des données, voire d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. En plus d'être de plus en plus courantes, les failles dans le contrôle d'accès sont donc extrêmement dangereuses.

Il est tout à fait convaincant - mais pas surprenant - que les vulnérabilités en matière d'authentification et de contrôle d'accès deviennent le terrain le plus fertile à exploiter pour les attaquants. Le dernier rapport d'enquête de Verizon sur les violations de données révèle que les problèmes de contrôle d'accès sont fréquents dans presque tous les secteurs, en particulier les technologies de l'information et les soins de santé, et que 85 % de toutes les violations impliquent un élément humain. L'expression "élément humain" couvre des incidents tels que les attaques par hameçonnage, qui ne sont pas un problème d'ingénierie, mais 3 % des brèches impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et d'erreurs humaines, telles qu'une mauvaise configuration de la sécurité.

Alors que les bogues de sécurité décrépits comme XSS et l'injection SQL continuent de faire trébucher les développeurs, il est de plus en plus évident que la conception de la sécurité de base est défaillante, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur de la menace, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique. 

Le problème est que peu d'ingénieurs bénéficient d'une formation et d'un développement des compétences allant au-delà des bases, et encore moins voient leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés, au niveau du code, qui sont généralement introduits par les développeurs.

Prévenir les bogues que les robots trouvent rarement

La nouvelle famille de vulnérabilités de contrôle d'accès brisé est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès brisés et comment les arrêter sur notre chaîne YouTube et notre blog.

Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié, englobant un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faiblesse trouvée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés dans l'arsenal. Si la majeure partie de la liste OWASP Top 10 est toujours établie sur la base de données d'analyse, les nouvelles entrées couvrant la conception non sécurisée et les failles d'intégrité des données - entre autres - montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour réaliser ce que les robots ne peuvent pas faire.

En d'autres termes, les scanners de sécurité ne font pas de grands modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut aider l'équipe AppSec de manière incommensurable en développant leur QI de sécurité en ligne avec les meilleures pratiques, ainsi qu'avec les besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, en sachant que si le Top 10 de l'OWASP est une excellente base, le paysage des menaces évolue si rapidement (sans parler des exigences des objectifs de développement internes) qu'il doit y avoir un plan pour aller plus loin et de manière plus spécifique dans la montée en compétence des développeurs en matière de sécurité. Si vous ne le faites pas, vous manquerez inévitablement des occasions de remédier rapidement à la situation et vous empêcherez une approche holistique réussie de la cybersécurité préventive, dirigée par l'homme.

Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Mettez vos développeurs sur la voie d'une parcours de compétences en matière de sécurité dès aujourd'hui.

Accès aux ressources

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Partager sur :
Vous souhaitez en savoir plus ?

Partager sur :
Auteur
Matias Madou, Ph.D.
Publié le 05 octobre 2021

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.

Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.

Partager sur :

Dans ce monde de plus en plus chaotique, il y a toujours eu quelques constantes sur lesquelles les gens pouvaient compter : Le soleil se lèvera le matin et se couchera le soir, Mario sera toujours plus cool que Sonic le hérisson, et les attaques par injection occuperont toujours la première place sur la liste de l'Open Web Application Security Project (OWASP) des dix vulnérabilités les plus courantes et les plus dangereuses que les attaquants exploitent activement.

Le soleil se lèvera demain et Mario a toujours une longueur d'avance sur Sonic, mais les attaques par injection ont perdu la première place sur la fameuse liste de l'OWASP, mise à jour en 2021. Les vulnérabilités par injection, l'une des plus anciennes formes d'attaques, existent depuis presque aussi longtemps que les réseaux informatiques. La vulnérabilité de couverture est à l'origine d'un large éventail d'attaques, allant des injections SQL traditionnelles aux exploits lancés contre les bibliothèques de navigation dans les graphes d'objets (OGNL). Elle est même à l'origine d'attaques directes contre des serveurs à l'aide de techniques d'injection de commandes du système d'exploitation. La polyvalence des vulnérabilités d'injection pour les attaquants - sans parler du nombre d'endroits susceptibles d'être attaqués - a permis à cette catégorie de rester en tête pendant de nombreuses années.

Mais le roi de l'injection est tombé. Vive le roi. 

Cela signifie-t-il que nous avons enfin résolu le problème des vulnérabilités par injection ? Il n'en est rien. Elle n'est pas tombée bien loin de sa position d'ennemi numéro un de la sécurité, puisqu'elle n'occupe plus que la troisième place sur la liste de l'OWASP. Ce serait une erreur de sous-estimer les dangers persistants des attaques par injection, mais le fait qu'une autre catégorie de vulnérabilité ait pu la surpasser est significatif, car il montre à quel point le nouvel ennemi numéro un de l'OWASP est répandu, et pourquoi les développeurs doivent y prêter une attention particulière à l'avenir.

L'élément le plus intéressant, cependant, est que le Top 10 2021 de l'OWASP reflète une refonte significative, avec de toutes nouvelles catégories qui font leur apparition : Conception non sécurisée, Défauts d'intégrité des logiciels et des données, et une entrée basée sur les résultats de l'enquête de la communauté : Falsification des requêtes côté serveur. Cela montre que l'accent est mis de plus en plus sur les vulnérabilités architecturales et que l'on va au-delà des bogues de surface pour la référence en matière de sécurité des logiciels.

Le contrôle d'accès brisé remporte la palme (et révèle une tendance)

Le contrôle d'accès brisé est passé de la cinquième place sur la liste des dix principales vulnérabilités de l'OWASP à la première place actuelle. À l'instar de l'injection et des nouvelles entrées telles que la conception non sécurisée, la vulnérabilité du contrôle d'accès interrompu englobe un large éventail de failles de codage, ce qui ajoute à sa popularité douteuse, car elles permettent collectivement de causer des dommages sur plusieurs fronts. La catégorie comprend tous les cas où les politiques de contrôle d'accès peuvent être violées afin que les utilisateurs puissent agir en dehors des autorisations prévues. 

Parmi les exemples de contrôle d'accès défaillant cités par l'OWASP pour élever cette famille de vulnérabilités au rang de priorité, on peut citer ceux qui permettent aux attaquants de modifier une URL, l'état interne d'une application ou une partie d'une page HTML. Elles peuvent également permettre aux utilisateurs de modifier leur clé d'accès principale afin qu'une application, un site ou une API croie qu'ils sont quelqu'un d'autre, comme un administrateur disposant de privilèges plus élevés. Il existe même des vulnérabilités où les attaquants ne sont pas limités à la modification des métadonnées, ce qui leur permet de modifier des éléments tels que les jetons web JSON, les cookies ou les jetons de contrôle d'accès.

Une fois exploitée, cette famille de vulnérabilités peut être utilisée par des attaquants pour contourner les autorisations de fichiers ou d'objets, ce qui leur permet de voler des données, voire d'exécuter des fonctions destructrices au niveau de l'administrateur, telles que la suppression de bases de données. En plus d'être de plus en plus courantes, les failles dans le contrôle d'accès sont donc extrêmement dangereuses.

Il est tout à fait convaincant - mais pas surprenant - que les vulnérabilités en matière d'authentification et de contrôle d'accès deviennent le terrain le plus fertile à exploiter pour les attaquants. Le dernier rapport d'enquête de Verizon sur les violations de données révèle que les problèmes de contrôle d'accès sont fréquents dans presque tous les secteurs, en particulier les technologies de l'information et les soins de santé, et que 85 % de toutes les violations impliquent un élément humain. L'expression "élément humain" couvre des incidents tels que les attaques par hameçonnage, qui ne sont pas un problème d'ingénierie, mais 3 % des brèches impliquaient des vulnérabilités exploitables et, selon le rapport, il s'agissait principalement de vulnérabilités plus anciennes et d'erreurs humaines, telles qu'une mauvaise configuration de la sécurité.

Alors que les bogues de sécurité décrépits comme XSS et l'injection SQL continuent de faire trébucher les développeurs, il est de plus en plus évident que la conception de la sécurité de base est défaillante, laissant place à des vulnérabilités architecturales qui peuvent être très avantageuses pour un acteur de la menace, en particulier si elles ne sont pas corrigées après que la faille de sécurité d'une version particulière d'une application a été rendue publique. 

Le problème est que peu d'ingénieurs bénéficient d'une formation et d'un développement des compétences allant au-delà des bases, et encore moins voient leurs connaissances et leurs applications pratiques étendues au-delà des bogues localisés, au niveau du code, qui sont généralement introduits par les développeurs.

Prévenir les bogues que les robots trouvent rarement

La nouvelle famille de vulnérabilités de contrôle d'accès brisé est assez diversifiée. Vous pouvez trouver des exemples spécifiques de contrôles d'accès brisés et comment les arrêter sur notre chaîne YouTube et notre blog.

Cependant, je pense qu'il est important de célébrer ce nouveau Top 10 de l'OWASP ; en effet, il est plus varié, englobant un plus large éventail de vecteurs d'attaque, y compris ceux que les scanners ne détecteront pas nécessairement. Pour chaque faiblesse trouvée au niveau du code, des failles architecturales plus complexes passeront inaperçues pour la plupart des technologies de sécurité, quel que soit le nombre de boucliers et d'armes automatisés dans l'arsenal. Si la majeure partie de la liste OWASP Top 10 est toujours établie sur la base de données d'analyse, les nouvelles entrées couvrant la conception non sécurisée et les failles d'intégrité des données - entre autres - montrent que les horizons de formation des développeurs doivent s'élargir rapidement pour réaliser ce que les robots ne peuvent pas faire.

En d'autres termes, les scanners de sécurité ne font pas de grands modélisateurs de menaces, mais une équipe de développeurs compétents en matière de sécurité peut aider l'équipe AppSec de manière incommensurable en développant leur QI de sécurité en ligne avec les meilleures pratiques, ainsi qu'avec les besoins de l'entreprise. Cela doit être pris en compte dans un bon programme de sécurité, en sachant que si le Top 10 de l'OWASP est une excellente base, le paysage des menaces évolue si rapidement (sans parler des exigences des objectifs de développement internes) qu'il doit y avoir un plan pour aller plus loin et de manière plus spécifique dans la montée en compétence des développeurs en matière de sécurité. Si vous ne le faites pas, vous manquerez inévitablement des occasions de remédier rapidement à la situation et vous empêcherez une approche holistique réussie de la cybersécurité préventive, dirigée par l'homme.

Nous sommes prêts pour le Top 10 2021 de l'OWASP, et ce n'est que le début ! Mettez vos développeurs sur la voie d'une parcours de compétences en matière de sécurité dès aujourd'hui.

Table des matières

Voir la ressource
Vous souhaitez en savoir plus ?

Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles