OWASP Top 10 2025 : Vulnérabilités dans la chaîne logistique des logiciels

Avec l'arrivée très attendue du Top 10 de l'OWASP 2025, les entreprises doivent faire face à une série de nouvelles menaces auxquelles elles doivent prêter une attention particulière, dont une qui figure en tête de liste. Les failles dans la chaîne logistique des logiciels, qui constituent une nouvelle catégorie mais ne sont pas tout à fait nouvelles, occupent la troisième place du classement quadriennal des risques de sécurité les plus graves pour les applications web établi par l'Open Web Application Security Project. Il s'agit d'un risque que les entreprises doivent prendre très au sérieux, si ce n'est déjà le cas.

Les erreurs dans la chaîne logistique des logiciels proviennent d'une catégorie de la liste précédente de 2021. Composants vulnérables et obsolètes, elle englobe désormais un éventail plus large de compromis dans l'ensemble de l'écosystème logiciel, depuis les dépendances jusqu'aux systèmes de compilation et aux infrastructures de distribution. Son apparition dans la liste n'est pas particulièrement surprenante compte tenu des dommages causés par des attaques de grande envergure contre la chaîne d'approvisionnement, comme SolarWinds en 2019, le piratage de Bybit au début de cette année et la campagne Shai-Hulud en cours, un ver npm particulièrement malveillant et auto-réplicatif qui sème le chaos dans les environnements de développement exposés.

Le Top 10 de l'OWASP est généralement cohérent, ce qui correspond à une liste publiée tous les quatre ans, mais avec des mises à jour intermédiaires. Il y a généralement quelques changements dans la liste : l'injection, qui figure depuis longtemps dans le classement, passe par exemple de la 3e à la 5e place, et la conception non sécurisée recule de deux places pour se classer 6e, tandis que la mauvaise configuration de la sécurité passe de la 5e à la 2e place. Le contrôle d'accès défaillant conserve la première place. L'édition 2025 comprend deux nouvelles entrées : les failles déjà mentionnées dans la chaîne logistique des logiciels et la mauvaise gestion des conditions exceptionnelles, qui occupent la 10e place de la liste. Nous allons ici examiner de plus près la nouvelle entrée concernant les failles de sécurité dans la chaîne logistique.

[REGARDER LA VIDÉO]

Les failles de sécurité peuvent apparaître presque partout.

Les défaillances de la chaîne logistique logicielle constituent une catégorie quelque peu inhabituelle dans cette liste, car elles sont les moins fréquentes parmi les 10 entrées répertoriées dans les données de recherche de l'OWASP, mais elles présentent également les valeurs moyennes d'exploitation et d'impact les plus élevées, qui résultent des cinq Common Weakness Enumerations (CWE) de cette catégorie. OWASP estime que la présence limitée de cette catégorie est due aux défis actuels liés aux tests dans ce domaine, qui pourraient finalement s'améliorer. Indépendamment de cela, les participants à l'enquête ont cité à une écrasante majorité les défaillances de la chaîne logistique des logiciels comme étant le principal problème.

La plupart des failles de sécurité dans la chaîne d'approvisionnement découlent de la mise en réseau des activités commerciales, auxquelles participent des partenaires en amont et en aval ainsi que des tiers. Chaque interaction implique des logiciels dont les composants (également appelés dépendances ou bibliothèques) peuvent être vulnérables. Une entreprise peut être vulnérable si elle ne suit pas toutes les versions de ses propres composants (côté client, côté serveur ou imbriqués) ainsi que les dépendances transitives (provenant d'autres bibliothèques) afin de s'assurer qu'ils ne sont pas vulnérables, qu'ils ne sont pas pris en charge ou qu'ils ne sont pas obsolètes. Les composants ont généralement les mêmes droits que l'application, de sorte que les composants compromis, y compris ceux provenant de fournisseurs tiers ou de référentiels open source, peuvent avoir des conséquences importantes. Il est essentiel d'appliquer les correctifs et les mises à jour en temps opportun. Même des plans de correctifs mensuels ou trimestriels réguliers peuvent exposer une entreprise à des risques pendant des jours, voire des mois.

De même, l'absence d'un processus de gestion du changement dans votre chaîne d'approvisionnement peut entraîner des failles de sécurité si vous ne suivez pas les environnements de développement intégrés (IDE) ou les modifications apportées à votre référentiel de code, à vos référentiels d'images et de bibliothèques ou à d'autres parties de la chaîne d'approvisionnement. Une entreprise doit sécuriser sa chaîne logistique en appliquant des contrôles d'accès et des politiques de privilèges minimaux afin de garantir que personne ne puisse créer de code et le déployer en production sans surveillance, et que personne ne puisse télécharger des composants provenant de sources non fiables.

Les attaques contre la chaîne d'approvisionnement peuvent prendre de nombreuses formes. La célèbre attaque SolarWinds a commencé lorsque des pirates russes ont introduit un logiciel malveillant dans une mise à jour du célèbre logiciel de gestion de réseau de l'entreprise. Environ 18 000 clients ont été touchés. Bien que le nombre d'entreprises réellement touchées soit plutôt de l'ordre de 100, cette liste comprenait également de grandes entreprises et des agences gouvernementales. Le piratage de Bybit, d'une valeur de 1,5 milliard de dollars, attribué à la Corée du Nord, a affecté des applications de cryptomonnaie compromises. La récente attaque de Glaswurm contre la chaîne d'approvisionnement impliquait un code invisible et auto-réplicatif qui a infecté l'Open VSX Marketplace.

Prévention des vulnérabilités dans la chaîne d'approvisionnement

Étant donné que les attaques contre la chaîne d'approvisionnement concernent l'interdépendance des systèmes, leur prévention nécessite une approche globale. L'OWASP fournit des conseils pour prévenir les attaques, notamment la mise en place de processus de gestion des correctifs pour :

• Veuillez vous informer sur votre nomenclature logicielle (SBOM) pour l'ensemble du logiciel et gérer la SBOM de manière centralisée. Il est recommandé de générer les SBOM pendant la compilation et non après, à l'aide de formats standard tels que SPDX ou CyclonedX, et de publier au moins une SBOM lisible par machine par version.
• Veuillez suivre toutes vos dépendances, y compris les dépendances transitives, et supprimer les dépendances inutilisées ainsi que les fonctions, composants, fichiers et documentations inutiles.
• Veuillez inventorier en continu les composants côté client et côté serveur ainsi que leurs dépendances à l'aide d'outils tels que OWASP Dependency Scanner ou retire.js.
• Restez informé des failles de sécurité et surveillez en permanence des sources telles que le site Web Common Vulnerabilities and Exposures (CVE) et la National Vulnerability Database (NVD). Nous vous recommandons également de vous abonner aux notifications par e-mail concernant les failles de sécurité liées aux composants que vous utilisez.
• Veuillez utiliser des composants provenant uniquement de sources fiables via des liens sécurisés. Un fournisseur fiable serait par exemple disposé à collaborer avec un chercheur afin de publier un CVE que ce dernier a découvert dans un composant.
• Veuillez sélectionner avec soin la version d'une dépendance que vous souhaitez utiliser et procéder à la mise à niveau uniquement si cela est nécessaire. Utilisez des bibliothèques tierces dont les failles de sécurité ont été publiées dans une source reconnue telle que NVD.
• Veuillez vérifier si les bibliothèques et les composants ne sont pas maintenus ou pris en charge. Si l'application d'un correctif n'est pas possible, il est recommandé d'envisager la mise en place d'un correctif virtuel afin de surveiller, détecter ou prévenir le problème identifié.
• Veuillez mettre à jour régulièrement les outils de développement.
• Veuillez traiter les composants de votre pipeline CI/CD comme faisant partie intégrante de ce processus en les renforçant et en les surveillant, tout en documentant les modifications.

La gestion du changement ou un processus de suivi doivent également s'appliquer à vos paramètres CI/CD, vos référentiels de code, vos sandbox, vos environnements de développement intégrés (IDE), vos outils SBOM, vos artefacts créés, vos systèmes de journalisation et vos journaux, vos intégrations tierces telles que SaaS, votre référentiel d'artefacts et votre registre de conteneurs. Il est également nécessaire de sécuriser les systèmes, depuis les postes de travail des développeurs jusqu'au pipeline CI/CD. Veuillez vous assurer d'activer l'authentification multifactorielle tout en appliquant des politiques strictes de gestion des identités et des accès.

La protection contre les défaillances de la chaîne logistique des logiciels est une entreprise complexe et continue dans notre monde fortement interconnecté. Les entreprises doivent mettre en place des mesures de défense solides tout au long du cycle de vie de leurs applications et composants afin de se protéger contre cette menace moderne en constante évolution.

Remarque à l'attention des utilisateursdu SCW Trust Score™ :

Pendant que nous actualisons le contenu de notre plateforme d'apprentissage afin de l'adapter à la norme OWASP Top 10 2025, vous constaterez peut-être de légères modifications dans le Trust Score de vos développeurs Full Stack. Veuillez contacter votre chargé de clientèle si vous avez des questions ou si vous avez besoin d'aide.