Dans le premier volet de cette série de blogs sur la protection des applications privées, nous abordons le Top 10 de l’OWASP, qui représente les risques les plus critiques pour les applications Web modernes et est universellement reconnu dans le secteur des technologies de l’information. Ne manquez pas, dans les prochaines semaines, des analyses techniques plus approfondies sur la manière d’empêcher que ces risques de sécurité compromettent vos applications.
OWASP, abréviation de Open Web Application Security Project, est un organisme international à but non lucratif dédié à l’amélioration de la sécurité des logiciels par le biais d’initiatives open source et de l’éducation communautaire. Parmi ses principes fondamentaux figure l’engagement de faciliter un accès libre aux projets, outils et documents afin que chacun puisse produire du code plus sécurisé et créer des applications fiables.
Qu’est-ce que le Top 10 de l’OWASP ?
Le Top 10 de l’OWASP est un rapport de sensibilisation aux menaces qui classe les risques de sécurité les plus critiques pour les applications Web. En termes simples, il est considéré comme la norme de sécurité des applications du secteur depuis son introduction en 2003. Le Top 10 de l’OWASP 2021 est basé sur une analyse de plus de 500 000 applications, ce qui en fait l’ensemble de données sur la sécurité des applications le plus vaste et le plus complet du secteur.
Depuis 2021, le Top 10 de l’OWASP inclut les risques de sécurité des applications Web suivants :
Source : Fondation OWASP
Obtenez plus d’informations sur chaque risque énoncé ci-dessous :
1. Les contrôles d’accès interrompu sont courants dans les applications Web modernes. Les hackers les exploitent régulièrement afin de compromettre les utilisateurs et d’accéder aux ressources Les failles d’authentification et d’autorisation peuvent mener à l’exposition de données sensibles ou à l’exécution involontaire de code. Les vulnérabilités courantes du contrôle d’accès sont notamment l’incapacité à appliquer l’accès basé sur le moindre privilège, le contournement des contrôles d’accès et l’élévation des privilèges (par exemple, agir en tant qu’administrateur alors que vous êtes connecté en tant qu’utilisateur).
2. Les échecs cryptographiques sont la cause première de l’exposition de données sensibles, telles que les mots de passe, les numéros de carte de crédit, les dossiers médicaux et autres informations personnelles. L’erreur la plus courante survient lorsque le chiffrement n’est pas correctement mis en œuvre, ou ne l’est pas du tout, comme par exemple la transmission de données en texte clair, l’utilisation d’algorithmes de chiffrement obsolètes ou faibles, ou l’absence de protocoles sécurisés pour transmettre des données sensibles telles que HTTP, SMTP, FTP.
3. L’injection fait référence à une large classe de vulnérabilités qui permettent à un attaquant de fournir des données hostiles et non fiables à une application (via une saisie d’un formulaire ou d’un autre type d’envoi de données) qui incite l’interpréteur de code à exécuter des commandes involontaires ou à accéder aux données sans autorisation appropriée. Certaines des failles les plus couramment utilisées et les plus facilement exploitables sont les injections SQL, les commandes du système d’exploitation et les injections LDAP.
4. La conception non sécurisée se concentre sur les risques liés aux défauts de conception et d’architecture, et représente une large catégorie de faiblesses. Elle appelle à une plus grande utilisation des activités de pré-codage essentielles aux principes de « Secure by Design » (sécurité dès la conception).
5. Des vulnérabilités liées à une mauvaise configuration de la sécurité surviennent lorsque les composants d’une application sont configurés de manière non sécurisée ou incorrecte, et ne respectent généralement pas les bonnes pratiques. Elles peuvent se produire à n’importe quel niveau d’une pile d’applications, y compris les services réseau, les serveurs Web, les serveurs d’applications et les bases de données. Ces failles peuvent prendre la forme de fonctionnalités inutiles (par exemple, ports, comptes ou privilèges inutiles), de comptes et de mots de passe par défaut et de gestion des erreurs qui révèlent trop d’informations sur l’application.
6. Les composants vulnérables et obsolètes interviennent lorsqu’un composant logiciel n’est pas pris en charge, est obsolète ou vulnérable à un exploit connu. Un développement qui comporte beaucoup de composants peut se solder par une méconnaissance ou une incompréhension, de la part des équipes de développement, des composants qu’elles utilisent dans leurs applications.
7. Les échecs d’identification et d’authentification surviennent lorsque les fonctions liées à l’identité, à l’authentification ou à la gestion des sessions d’un utilisateur ne sont pas correctement mises en œuvre ou protégées, permettant aux hackers d’accéder à l’identité d’un utilisateur et de l’usurper.
8. Les défaillances d’intégrité des logiciels et des données se rapportent au code et à l’infrastructure qui ne protègent pas contre les violations de l’intégrité. Lorsque vous utilisez des plug-ins logiciels, des bibliothèques ou des modules provenant de sources, de référentiels et de réseaux de diffusion de contenu (CDN) non fiables, ceux-ci peuvent introduire un risque d’accès non autorisé, de code malveillant ou de compromission du système par des hackers. Il s’agit, entre autres, de firmware non signés, de mécanismes de mise à jour non sécurisés ou de désérialisation non sécurisée.
9. Les échecs de journalisation et de surveillance de la sécurité sont à l’origine de la quasi-totalité des incidents majeurs. Les hackers profitent du manque de surveillance et de la lenteur de la réponse pour s’introduire dans votre application et atteindre leurs objectifs sans être détectés. Il faut en moyenne 287 jours aux sociétés pour détecter et contenir une nouvelle brèche, ce qui donne aux hackers tout le temps nécessaire pour provoquer des perturbations et des dommages.
10. Des failles de falsification de requêtes côté serveur (SSRF) se produisent lorsqu’une application Web ne valide pas l’URL fournie par l’utilisateur lors de la récupération d’une ressource distante. Cela permet à un attaquant de contraindre ou de forcer l’application à envoyer une requête contrefaite vers une destination inattendue, même lorsque l’application est protégée derrière un pare-feu, un VPN ou un autre type de liste de contrôle d’accès au réseau (ACL).
Comment obtenir la protection du Top 10 de l’OWASP ?
Le Top 10 de l’OWASP constitue un excellent point de départ pour en savoir plus sur les risques de sécurité les plus critiques pour les applications Web. Mais assurer la sécurité des applications reste un défi car les systèmes deviennent de plus en plus complexes et les hackers concentrent de plus en plus leurs efforts sur la couche applicative. Une approche Zero Trust peut contribuer à sécuriser vos applications Web contre les attaques ciblant les vulnérabilités.
Notre solution d’accès réseau Zero Trust leader du secteur, Zscaler Private Access, offre une protection des applications privées contre les attaques de couche 7 (L7) les plus répandues avec une couverture complète du Top 10 de l’OWASP et des signatures entièrement personnalisables pour corriger virtuellement les vulnérabilités de type « zero-day ». Elle fournit des fonctionnalités d’inspection et de prévention inline qui permettent de détecter et bloquer automatiquement le contenu actif malveillant intégré dans le trafic utilisateur à destination de vos applications privées. La protection des applications privées, ainsi que des fonctionnalités telles que la découverte d’applications, la microsegmentation d’utilisateur à application et l’accès sans agent, font partie d’une solution complète d’accès réseau Zero Trust.
Pour en savoir plus, rejoignez-nous le 22 mars pour écouter nos experts produit parler de la fonction de protection des applications (AppProtection) et d’autres innovations de nouvelle génération en matière d’accès réseau Zero Trust. Inscrivez-vous maintenant à Zero Trust Live.
Vous ne pouvez pas attendre ? Regardez cette démo pour en savoir plus sur l’expérience de l’utilisateur final et la configuration en coulisses de l’administrateur pour des cas d’utilisation tels que la protection du Top 10 de l’OWASP, la visibilité au niveau des applications et les correctifs virtuels contre les menaces de type zero-day et CVE : Zscaler Private Access : AppProtection.
