Pour garantir la meilleure expérience de navigation, veuillez activer JavaScript dans votre navigateur web. Sans cela, de nombreuses fonctionnalités du site seront inaccessibles.


Centre de sécurité Internet
Tests totaux:
Cette semaine:
Aujourd'hui:

Les 10 principaux risques de sécurité
et vulnérabilités selon l'OWASP

Temps de lecture:5 min.

Environ 90 % des applications présentent des vulnérabilités graves. L'OWASP, qui analyse régulièrement
faiblesses et attaques sur les applications Web, a compilé le OWASP TOP-10, la liste des
les vulnérabilités les plus dangereuses

Les 10 principaux risques et vulnérabilités de sécurité OWASP
Les 10 principaux risques et vulnérabilités de sécurité OWASP
Obtenir une démo

Qu'est-ce que l'OWASP?

OWASP (Open Web Application Security Project) est un projet open source. Sa communauté comprend de grandes entreprises, diverses organisations et des personnes intéressées du monde entier. Ce groupe de passionnés collabore pour développer des articles, des tutoriels, des documents, des technologies et des instruments gratuits.

Vous souhaitez approfondir votre compréhension de tous les aspects modernes des 10 principaux risques et vulnérabilités de sécurité OWASP? Lisez attentivement cet article et bookmark-le pour y revenir plus tard: nous mettons régulièrement cette page à jour.

Qu'est-ce que la liste des 10 principales vulnérabilités OWASP?

OWASP Top 10 est l'un des projets les plus connus de l'organisation. OWASP Top 10 est un classement des dix risques de sécurité de l'information les plus dangereux pour les applications web, établi par une communauté d'experts du secteur. Pour chaque point du classement, le risque est calculé par des experts sur la base de la OWASP Risk Rating Methodology et comprend une évaluation de la Weakness Prevalence, de la Weakness Detectability et de l'Exploitability, ainsi que de la gravité des conséquences de leur exploitation ou de leurs Technical Impacts.

Pour des raisons évidentes, les évaluations de la gravité des risques ne tiennent pas compte des conséquences commerciales de leur mise en œuvre. Dans la mesure du possible, les noms des risques dans la notation correspondent aux noms des vulnérabilités similaires dans la classification Common Weakness Enumeration (CWE). Il convient de noter que, contrairement aux classifications, le projet OWASP Top 10 ne prétend pas couvrir tous les risques existants, mais ne représente que les plus pertinents au moment de la publication de la notation.

Le Top 10 de l'OWASP n'est pas une norme officielle, mais simplement un livre blanc largement utilisé par de nombreuses organisations, des programmes de prime aux vulnérabilités et des experts en cybersécurité pour classer la gravité des faiblesses et des failles de sécurité.

Le classement a été établi sur la base des publications des utilisateurs et des discussions ouvertes. La liste OWASP Top 10 repose sur huit bases de données provenant de sept entreprises, dont quatre cabinets de conseil et trois fournisseurs de SaaS. La base de données générale contient plus de 500 000 vulnérabilités dans des centaines d'organisations et des milliers d'applications.

Les 10 principales vulnérabilités OWASP en 2021 sont:

  1. Injection
  2. Authentification défaillante
  3. Exposition des données sensibles
  4. Entités externes XML (XXE)
  5. Contrôle d'accès brisé
  6. Erreurs de configuration de sécurité
  7. Cross-Site Scripting (XSS)
  8. Désérialisation non sécurisée
  9. Utilisation de composants présentant des vulnérabilités connues
  10. Journalisation et surveillance insuffisantes

1. Injection

En règle générale, toutes les données sont stockées dans des bases de données spéciales, dont les requêtes sont formulées sous forme de requêtes, le plus souvent écrites en langage SQL (Structured Query Language). Les applications utilisent des requêtes SQL pour recevoir, ajouter, modifier ou supprimer des données, par exemple lorsque le client modifie ses données personnelles ou remplit un questionnaire sur la page web. Si les informations de l'utilisateur ne sont pas suffisamment vérifiées, un pirate informatique peut modifier le code de l'application contenant la partie requête SQL.

Il s'agit d'une faille très dangereuse qui peut permettre à un intrus d'accéder à la base de données, ainsi que de consulter, modifier ou supprimer des données. De cette manière, le pirate peut voler des données personnelles confidentielles.

Cette faiblesse est le résultat d'une validation insuffisante des données utilisateur, ce qui permet à un intrus d'introduire dans les formulaires web des requêtes spécialement préparées qui «trompent» l'application et permettent de lire ou d'écrire des données illégitimes.

Pour en savoir plus sur l’Injection du Top 10 OWASP Injection ou découvrez davantage sur la vulnérabilité SQL Injection [CWE-89] dans notre base de connaissances CWE.

2. Authentification défaillante

Selon le Top 10 de l'OWASP, cette faiblesse est l'une des plus critiques. Si un utilisateur doit être distingué des autres, l'application web utilise des cookies de session. Après avoir saisi le nom d'utilisateur et le mot de passe, et une fois l'authentification réussie, un identifiant spécial est enregistré dans le stockage spécifié, que le programme envoie ensuite au serveur avec chaque requête pour une page de l'application. C'est ainsi que l'application web reconnaît les utilisateurs.

Si cet identifiant est volé par un pirate informatique et que la structure informatique n’a pas mis en place de contrôles, par exemple l’adresse IP de la session ou la vérification de plusieurs connexions dans une même session, l’intrus peut accéder au système avec le compte de l’utilisateur. Et s’il s’agit d’une banque en ligne ou d’un système de paiement, vous pouvez facilement imaginer les conséquences d’un tel accès non autorisé.

En savoir plus sur l'authentification défaillante.

3. Exposition des données sensibles

Le problème est que les informations transmises via le protocole HTTP ne sont en aucun cas chiffrées, et lorsque des informations sensibles sont envoyées au serveur Web depuis l'appareil de l'utilisateur, les données transitent par de nombreux nœuds différents, tels que le routeur du bureau ou de la maison, le routeur du fournisseur, le routeur sur un canal, le routeur dans un centre de données ou le serveur du fournisseur d'hébergement, etc. Chacun de ces nœuds peut contenir un logiciel malveillant, appelé «sniffer», un programme qui lit tout le trafic et le transmet au pirate informatique. Ce dernier examine alors les données reçues à la recherche d'informations personnelles et d'informations bancaires.

De plus, l’absence de cryptage d’informations confidentielles telles que le mot de passe de l’utilisateur ou les détails de sa carte bancaire rend les données vulnérables au vol. Cependant, si ces données sont cryptées, même en cas d’accès non autorisé au serveur, un hacker ne peut pas voler de données critiques.

En savoir plus sur l'exposition des données sensibles.

4. Entités externes XML (XXE)

Le plus grand risque lié au XXE réside dans la grande variété de façons dont il peut être exploité. Qu'il soit simple ou complexe, si un morceau de code externe peut s'introduire dans un document XML, cela signifie que le système a été compromis. L'omniprésence du XML signifie que les applications qui l'utilisent sont susceptibles d'entrer en contact avec de nombreuses données sensibles.

La forme la plus connue d'attaque XXE est celle dite «Billion Laughs» ou «XML Bomb». Il s'agit d'une attaque par déni de service simple mais efficace, utilisée pour surcharger et fermer un serveur cible. En définissant une entité – généralement quelque chose de petit et d'absurde, comme «lol» ou «haha» – comme une chaîne imbriquée d'autres entités, un attaquant peut rapidement surcharger les ressources du système.

En savoir plus sur les entités externes XML (XXE).

5. Contrôle d'accès défaillant

Comme son nom l’indique, l’essence même de cette vulnérabilité OWASP Top 10 réside dans l’absence de vérification de l’accès approprié à l’objet demandé. La plupart des applications web vérifient les autorisations avant d’afficher les données dans l’interface utilisateur. Cependant, les applications doivent effectuer les mêmes contrôles d’accès sur le serveur lorsqu’elles demandent une fonction. Après tout, il existe de nombreuses autres demandes de services auxiliaires, qui sont souvent envoyées de manière asynchrone en arrière-plan à l’aide de la technologie AJAX. Si les paramètres de la demande ne sont pas soigneusement validés, les attaquants pourraient usurper la demande pour accéder aux données sans autorisation appropriée.

En savoir plus sur le contrôle d'accès défaillant.

6. Mauvaises configurations de sécurité

La sécurité des applications web contrôle tous les éléments de l'infrastructure, par exemple les frameworks d'application, tous les types de serveurs et l'ensemble du système lui-même. Les paramètres par défaut des composants du serveur sont souvent peu sûrs et ouvrent la voie à des fuites. Par exemple, le vol d'un cookie de session via JavaScript dans une attaque XSS devient possible grâce au paramètre «cookie http only», qui est désactivé par défaut. Si le serveur est correctement configuré et que l'option «cookie http only» est activée, il est impossible de recevoir un cookie de session via JavaScript, mais souvent, ce paramètre simple et important fait défaut dans des endroits critiques tels que les comptes personnels des systèmes de paiement.

Une autre illustration de cette vulnérabilité du Top 10 de l'OWASP est le paramétrage par défaut des serveurs de bases de données, tels que Redis, Memcached, etc. Cela concerne des services privés qui peuvent devenir accessibles via une IP publique ou des mots de passe préinstallés par le fabricant pour une utilisation par défaut. Cela permet aux intrus de lire et de modifier facilement les données. Cela permet également aux pirates informatiques de mener une attaque XSS.

De plus, les programmes et applications doivent être mis à jour, car des faiblesses apparaissent chaque jour dans un large éventail de composants logiciels. Même si votre application est généralement bien protégée, correctement écrite et vérifie soigneusement toutes les données entrantes, vous ne pouvez pas garantir qu’aucune faiblesse ne sera découverte dans le système d’exploitation ou le serveur Web à tout moment.

En savoir plus sur les erreurs de configuration de sécurité.

7. Cross-Site Scripting (XSS)

Le cross-site scripting est une autre erreur de validation des données utilisateur qui permet d'injecter du JavaScript dans le navigateur de l'utilisateur pour l'exécuter. Ce type d'attaque est similaire à l'injection HTML, car le mécanisme d'injection est très proche de celui de l'injection SQL, mais contrairement à cette dernière, le script injecté est exécuté dans le navigateur de l'utilisateur. Cela permet aux hackers de voler les cookies de session.

Mais il convient de noter que tous les serveurs d'applications ne sont pas faibles et vulnérables à cela. De plus, les données saisies dans les formulaires sur le site vulnérable peuvent être volées. Les données susceptibles d'être volées peuvent être confidentielles et personnelles, ainsi que les informations de carte de crédit et leur code CVC. Le cas suivant possible est que, grâce à JavaScript, les pirates peuvent modifier les informations situées sur une page web spécifique, comme les détails d'un virement bancaire, afin de les falsifier et de les remplacer.

Pour en savoir plus sur le Cross-Site Scripting (XSS) du Top 10 de l'OWASP ou pour en savoir encore plus sur la vulnérabilité Cross-Site Scripting XSS [CWE-79], consultez notre base de connaissances CWE.

8. Désérialisation non sécurisée

La sérialisation et la désérialisation sont des concepts importants dans les frameworks de programmation orientée objet, tels que Java et .Net, et sont donc courants dans de nombreuses applications web.

Une vulnérabilité de désérialisation non sécurisée existe lorsque l'application ne sécurise pas correctement ce processus. Si une implémentation de désérialisation est laissée à ses paramètres par défaut, l'application peut avoir peu ou pas de contrôle sur les données désérialisées. Dans les cas les plus extrêmes, cela peut inclure toutes les données sérialisées entrantes provenant de n'importe quelle source, sans vérification ni précaution.

En savoir plus sur l'Insecure Deserialization.

9. Utilisation de composants présentant des vulnérabilités connues

Souvent, les applications web sont développées à l'aide de bibliothèques spéciales ou de «frameworks» fournis par des tiers. Dans la plupart des cas, ces composants sont open source, ce qui signifie que non seulement vous, mais aussi des millions de personnes à travers le monde étudient leur code source, y compris à la recherche de vulnérabilités. Ils recherchent également les faiblesses des composants de niveau inférieur du système, tels que les différents serveurs ou les composants du système d'exploitation, jusqu'à son noyau. Il est très important d'utiliser les composants les plus récents et de rester attentif aux vulnérabilités connues émergentes.

En savoir plus sur l'utilisation de composants présentant des vulnérabilités connues.

10. Journalisation et surveillance insuffisantes

Le problème de l'insuffisance de la journalisation et de la surveillance couvre l'ensemble de l'infrastructure informatique et pas seulement les applications web exposées à Internet — tout comme la solution. C'est pourquoi nous ne limiterons pas cette discussion à la journalisation et à la surveillance des applications web.

L’un des principaux problèmes est qu’il existe un nombre considérable de journaux: presque tous les systèmes contemporains génèrent leurs propres journaux. La gestion des journaux devient donc un problème majeur. Une fois que tous les différents journaux ont été rassemblés et, de préférence, collationnés, la taille même de l’ensemble de données devient trop importante pour être surveillée efficacement à la main.

En savoir plus sur l'Insufficient Logging and Monitoring.

Comment se protéger contre les 10 principales vulnérabilités OWASP

La sécurité de la plupart des applications web reste médiocre. Une ressource sur deux présente des faiblesses à haut risque figurant dans la liste OWASP Top 10. Cependant, il est clair que la part des applications web présentant des vulnérabilités critiques diminue progressivement. La tendance positive suivante est que les organisations commencent à accorder plus d’attention à la protection de leurs applications, non seulement celles qui sont publiques, mais aussi celles utilisées à des fins internes.

Le nombre de piratages d'applications web diminuera si les vulnérabilités identifiées sont corrigées dès que possible et si les processus sont automatisés dans la mesure du possible.

Commencez par détecter, tester et évaluer vos actifs numériques et informatiques à l’aide de ImmuniWeb Discovery.

De plus, pour vous protéger contre les piratages, nous recommandons toujours les tests de pénétration d'applications ImmuniWeb Continuous.

Les applications web sont constamment mises à jour, et avec les nouvelles fonctionnalités, de nouvelles vulnérabilités peuvent apparaître et être ensuite incluses dans la prochaine mise à jour de la liste des 10 principales vulnérabilités OWASP. L'utilisation des outils ImmuniWeb permet de réduire les risques correspondants. Les services de protection de la cybersécurité doivent non seulement détecter et prévenir les attaques connues sur les applications, mais aussi identifier l'exploitation de vulnérabilités zero-day, prévenir les attaques contre les utilisateurs, analyser et corréler les événements afin de surveiller les chaînes d'attaques.

Ressources supplémentaires

  • En savoir plus sur la gestion des surfaces d'attaque basée sur l'IA avec ImmuniWeb® Discovery
  • En savoir plus sur les tests de pénétration des applications basés sur l'IA avec ImmuniWeb
  • En savoir plus sur les opportunités du programme de partenariat ImmuniWeb
  • Suivez-nous sur LinkedIn, X, Telegram et WhatsApp
Démonstration gratuite Partager sur Twitter Partager sur LinkedIn

Réduisez vos risques cybernétiques maintenant

Veuillez remplir les champs surlignés en rouge ci-dessous.

Obtenez votre démonstration gratuite
d'ImmuniWeb® Plateforme
IA

  • Obtenez votre évaluation gratuite du risque cybernétique
  • Commencez un essai gratuit des produits ImmuniWeb
  • Recevez des prix personnalisés
  • Parlez avec nos experts techniques
  • Sans engagement
Gartner Cool Vendor
SC Media
IDC Innovator
*
*
*
*
Privé et confidentielVos données seront privées et confidentielles.

Ce site Web utilise des cookies pour vous offrir une meilleure expérience de navigation. Pour en savoir plus, consultez notre politique de confidentialité. En continuant à utiliser ce site Web, vous consentez à notre utilisation des cookies.

Parlez à un expert