Communauté dédiée à la sécurité des applications Web, l’OWASP (Open Web Application Security Project) a récemment publiée une version actualisée des dix menaces Web les plus critiques. Expert en sécurisation des flux HTTP, Bee Ware revient sur la mise à jour de ce document. L’OWASP est une communauté regroupant de nombreux spécialistes de la sécurité des applications web. Libre et ouverte à tous, cette communauté concentre son attention sur des projets de veille, de mise en place de standards ou de logiciels d’audit.
Parmi ces projets, le « Top Ten » est un document recensant les failles les plus couramment utilisées pour compromettre les systèmes d’information. L’objectif premier de ce rapport est donc d’informer et d’évangéliser les responsables de la sécurité des systèmes d’information sur les risques encourus lors de publication d’applications sur le net. Pour être le plus efficace possible, ce rapport est régulièrement mis à jour par les membres de l’OWASP. La nouvelle version du Top Ten venant d’être publiée, Bee Ware revient sur les évolutions notables apparues depuis 2010 (date de la dernière mise à jour du Top Ten).
Il est tout d’abord intéressant de noter que de nombreuses menaces présentes dans le Top Ten 2010 sont toujours d’actualité et maintiennent leur place dans ce palmarès :
- Les injections SQL
- Les zones de saisies de caractères des sites web dynamiques sont utilisées comme console, permettant ainsi d’injecter des bouts de codes SQL non prévus par le système et atteignant directement le coeur du site : les bases de données.
- Le Cross-Site Scripting (XSS)
- A l’instar des injections SQL, le Cross-Site scripting utilise les zones de saisies de caractères des sites pour injecter, non pas des requêtes SQL, mais n’importe quel code écrit dans un langage supporté par le navigateur (JavaScript, Java, Flash, HTML5, etc.).
- La violation de gestion d’authentification et de session
- Cette menace se décline sous plusieurs formes, dont notamment :
- L’utilisation de la force brute (test d’un grand nombre de possibilités) pour valider une authentification ou voler un identifiant de session
- La demande de réinitialisation de mot de passe (en s’appuyant par exemple sur les données personnelles visibles sur les réseaux sociaux)
- L’hameçonnage (technique consistant à soutirer ses identifiants de connexion à une victime, en lui faisant croire qu’elle s’adresse à un tiers de confiance)
- Cette menace se décline sous plusieurs formes, dont notamment :
- Les références directes et non sécurisées à un objet
- Certaines applications ne vérifient pas les autorisations d’accès des personnes effectuant des requêtes, leur permettant ainsi d’accéder à des données (sensibles ou non) dont la visibilité ne leur était pas autorisée
- Les mauvaises configurations de sécurité
- Ne pas modifier un mot de passe par défaut ou ne pas mettre à jour les composants d’une application (système d’exploitation, modules complémentaires, etc.) laisse la possibilité aux personnes malveillantes d’utiliser les failles de sécurité publiques non corrigées.
- La falsification de requêtes intersites (cross-site request forgery, ou XSRF)
- Présente depuis 6 ans dans le Top Ten de l’OWASP, la falsification de requête intersites consiste à manipuler un utilisateur lambda en vue de lui faire effectuer, sans qu’il ne s’en rende compte, une attaque de type XSS.
- La redirection et les renvois non validés
- Cette technique consiste à rediriger (via un lien) un utilisateur vers une page n’appartenant pas à l’application visée, sans que ce dernier ne s’en aperçoive.
D’autres failles présentes dans le Top Ten 2010 ont évoluées au cours de ces dernières années, donnant ainsi lieu en 2013 à de nouvelles menaces :
- La défaillance dans la restriction des accès à une URL est devenue l’absence de fonction contrôlant le niveau de contrôle d’accès (Missing Function Level Access Control)
- Cela englobe les mauvaises configurations ou l’absence de code vérifiant l’identité et les droits de la personne souhaitant accéder à des fonctionnalités critiques de l’application
- Le stockage de données cryptographiques non sécurisées a été fusionné avec la protection insuffisante des couches de transport pour donner la divulgation de données sensibles
- Le risque de divulgation de données sensible est principalement dû au fait que ces dernière ne sont pas cryptées, ou lorsqu’elles le sont, que les clefs et logiciels de chiffrement utilisés sont trop faibles. Il est alors possible d’intercepter ces données lorsqu’elles transitent entre deux applications ou plus simplement, directement sur leur lieu de stockage.
Enfin, une nouvelle menace fait en 2013 son apparition dans le Top Ten de l’OWASP :
- L’utilisation de composants connus pour être vulnérables (Using known vulnerable components)
- De nombreuses applications s’appuient sur des composants dont les failles de sécurité sont connues et d’ores et déjà diffusées… Une fois la présence de ces composants identifiée, il ne reste plus qu’à adapter l’exploit pour atteindre l’application visée…
Il est aujourd’hui indispensable de connaitre et de maitriser l’ensemble des failles sécuritaires présentes dans le Top Ten de l’OWASP pour se prémunir contre la majorité des attaques visant les applications Web. Cependant, d’autres menaces non listées dans ce document sont également à prendre en compte…
Jérôme Clauzade, Product Manager chez Bee Ware explique : « Le Top Ten de l’OWASP est un document de référence et doit servir de base à la sécurisation des flux HTTP. Cette dernière ne repose plus uniquement sur le filtrage des données, mais englobe également les problématiques d’authentification, de fiabilité, de SLA, etc. Avec plus de 10 ans d’expérience dans le domaine de la sécurité web, Bee Ware est aujourd’hui le seul éditeur à proposer une solution intégrant un pare-feu applicatif, un pare-feu XML et un contrôle des accès au sein d’une plate-forme unique. Nous protégeons ainsi nos clients contre l’ensemble des menaces applicatives susceptibles de leur nuire.« .
Pour en savoir plus : www.bee-ware.net