Qu'est-ce que le OWASP Top 10 ?

OWASP Top 10 : l'organisation et la définition du classement

L'OWASP (Open Web Application Security Project) est une organisation à but non lucratif dont l'objectif premier est d'assurer la sécurité des applications web. Sa principale mission consiste à garantir la visibilité de la sécurité du logiciel. Elle vise également à fournir des informations et outils indispensables à l'amélioration de la sécurité des applications web dans leur ensemble.

En effet, l'un des principes fondamentaux de cette organisation est que tous ses documents soient facilement accessibles et disponibles gratuitement sur son site internet. Chaque utilisateur aura ainsi l'occasion d'améliorer la sécurité de ses propres applications web. La plateforme propose différentes options comme la documentation, des vidéos, des outils ou encore des forums de discussions.

L'un des projets les plus connus de cette organisation est la création de l'OWASP Top 10. Les listes OWASP Top 10 ont été créées pour différentes catégories. La liste OWASP Top 10 la plus utilisée est celle de 2017 et concerne notamment la sécurité des applications web. Elle prend en compte plusieurs risques de sécurité qu'on peut rencontrer sur un site internet.

Le classement des 10 attaques de cybersécurité les plus fréquentes sur les applications web n'est pas exhaustif. De plus, il ne comprend donc pas toutes les vulnérabilités actuelles qu'on peut trouver sur un site internet. Il répertorie uniquement les vulnérabilités les plus connues, mais aussi celles qui sont les plus courantes. L'utilisation de ce classement doit donc se faire avec plus de prudence lorsqu'on planifie un test de déploiement ou un développement.

Quel est le classement : les 10 catégories d'attaques

Le dernier rapport OWASP Top 10 identifie, comme son nom l'indique, 10 menaces ou risques de sécurité que peut rencontrer une application web.

Attaques par injection SQL

Les attaques par injection SQL se produisent le plus souvent lorsque des données non sécurisées sont envoyées à un interpréteur de code. Cela se fait par l'intermédiaire d'une soumission de données (saisie de formulaire) à une application web. Ces attaques peuvent être évitées en rejetant les données suspectes (validation) ou en nettoyant les parties suspectes de ces données (assainissement). Un administrateur de base de données peut également définir des contrôles pour réduire la quantité d'informations qu'une attaque par injection peut causer.

Authentification frauduleuse

Les vulnérabilités des systèmes d'authentification constituent l'une des failles qui permettent aux pirates d'accès aux comptes d'utilisateurs ainsi qu'aux comptes administrateurs. Pour atténuer les vulnérabilités de l'authentification, une solution pratique consiste à exiger l'authentification à deux facteurs (2 FA). De plus, une autre stratégie consiste à limiter ou à retarder au maximum les tentatives de connexion répétées en utilisant simplement la limitation de débit.

Exposition aux données sensibles

Les applications web qui sont incapables d'assurer la protection des données sensibles sont souvent la cible des pirates informatiques. En effet, les pirates accèdent facilement à ces données puis les revendent à des fins malveillantes.

Pour réduire les risques d'exposition aux données sensibles (mot de passe, informations financières…), l'une des méthodes les plus efficaces consiste à crypter toutes les données et à désactiver la mise en cache.

Entités externes XML (XEE)

Cette attaque est spécialement orientée vers les applications web qui exploitent les entrées XML. Le meilleur moyen de prévenir ces attaques est de faire en sorte que les applications acceptent un type de données moins complexe tel que JSON. Une autre solution consiste à corriger les analyseurs XML et à désactiver l'utilisation d'entités externes dans les applications qui analysent les entrées XML.

Contrôle d'accès interrompu

Un contrôle d'accès brisé est une parfaite occasion pour les attaquants de contourner l'autorisation et de réaliser des tâches comme les véritables administrateurs du site. Pour éviter ces menaces et sécuriser les contrôles d'accès, l'OWASP recommande que l'application utilise des jetons d'autorisation et de s'assurer également qu'ils sont soumis à des contrôles stricts.

Mauvaise configuration de la sécurité

Il s'agit d'une des vulnérabilités les plus courantes de la liste OWASP. En effet, la mauvaise configuration de la sécurité est le plus souvent le résultat de l'affichage d'erreurs excessivement verbeuses ou simplement de l'utilisation d'une configuration par défaut. L'exemple le plus concret est lorsque l'application présente à l'utilisateur des erreurs répétitives et trop descriptives, souvent révélatrices des vulnérabilités de l'application en question.

Il existe heureusement une solution simple pour atténuer ce problème. Il suffit en effet de supprimer toutes les fonctionnalités inutilisées dans le code de l'application et de veiller à ce que les messages d'erreurs soient plus généraux.

Scénario de site croisé

Les vulnérabilités des scripts intersites apparaissent le plus souvent lorsque les applications web aident les utilisateurs à ajouter leur propre code dans un chemin d'accès ou sur un site internet visible par d'autres utilisateurs. Cette vulnérabilité peut notamment être exploitée pour l'exécution d'un code JavaScript malveillant sur le navigateur d'une personne ciblée par exemple.

Pour atténuer les vulnérabilités des scripts intersites, plusieurs stratégies peuvent être mises en place. Ceci comprend entre autres l'évitement des requêtes HTTP non fiables ainsi qu'une validation et/ou un assainissement du contenu généré par les utilisateurs.

Désérialisation non sécurisée

Les applications qui sérialisent et désérialisent régulièrement les données courent souvent le risque d'une désérialisation non sécurisée. Une sérialisation consiste à prendre des objets dans le code source de l'application web et à les convertir dans différents formats comme une diffusion en continu ou un stockage de données sur un support amovible par exemple.

La désérialisation des données peut avoir des conséquences graves comme des attaques d'exécution de code à distance ou encore des attaques DDoS. Pour éviter ces menaces, l'une des solutions consiste à mettre en œuvre des contrôles de type ou à surveiller la désérialisation. Une solution plus radicale consiste à interdire purement et simplement la désérialisation de données provenant de sources non sécurisées et non fiables.

Utilisation des composants ayant des vulnérabilités connues

La plupart des développeurs web se servent en général des composants comme les frameworks dans leurs applications. Destinés à fournir les fonctionnalités nécessaires à l'application et à éviter le travail redondant, ces composants peuvent parfois être la cible des pirates. Ces derniers cherchent une faille de sécurité dans ces composants afin de rendre le site internet vulnérable. Pour remédier à cette vulnérabilité, les développeurs proposent le plus souvent des mises à jour et des correctifs de sécurité.

Insuffisance des journaux d'enregistrement et de la surveillance

Certaines applications ne prennent pas suffisamment de mesures de sécurité pour détecter les violations de données. Les pirates ont ainsi la possibilité d'exploiter ces failles de sécurité avant qu'il n'y ait une réponse. Le rapport de l'OWASP recommande donc aux développeurs de mettre en place un système de surveillance et de journalisation. Ils peuvent donc s'assurer qu'ils sont suffisamment informés des attaques dont leurs applications web font l'objet.

‍

Qui est derrière cette liste ?

La liste OWASP Top 10 est un rapport régulièrement actualisé qui met en lumière toutes les préoccupations en matière de sécurité des applications web. Cette liste se concentre principalement sur les 10 risques les plus critiques.

Ce rapport est élaboré par une équipe composée d'experts en sécurité et d'analystes informatiques venus des quatre coins de la planète. L'organisation qualifie la liste des Tops 10 de « document de sensibilisation » et recommande par la même occasion à toutes les entreprises d'intégrer ce rapport dans leurs processus. Elles peuvent ainsi minimiser ou réduire les risques de sécurité qui pèsent sur leurs applications web.

Comment ce classement aide-t-il la communauté cybersécurité globale ?

Le classement des risques de sécurité OWASP Top 10 apporte de nombreux avantages à la communauté cybersécurité globale. En effet, ce classement aide à rendre les applications web de l'entreprise fiables et sécurisées. De plus, il permet également à la communauté cybersécurité globale de limiter la possibilité de perte de données et d'intégrité.

Le classement OWASP Top 10 offre aussi la possibilité de préserver la réputation de l'entreprise et de transmettre une image sûre et digne de confiance. La communauté cybersécurité globale a également l'occasion de corriger les points faibles de l'infrastructure IT des entreprises. Ce classement offre enfin la possibilité d'évaluer la capacité des employés à respecter au quotidien les règles de sécurité informatique mises en place par l'entreprise.

Professionnel de la cybersécurité : pourquoi est-ce important de le connaitre ?

L'intégrité des données et la cybersécurité sont deux éléments importants dans le fonctionnement des entreprises. En tant que professionnel, le classement OWASP Top 10 joue un rôle décisif dans la mise en œuvre de la stratégie de sécurité informatique mise en place par l'entreprise.

En effet, ce classement aide à contrôler et à mettre en œuvre des mesures de sécurité indispensables pour l'entreprise, mais aussi pour son infrastructure réseau et ses applications. Connaitre ce classement permet d'intégrer plus facilement les risques de sécurité de l'OWASP et d'évaluer les lacunes de sécurité existantes dans les applications web. Ceci aide également le professionnel à organiser des tests de pénétration de systèmes et de réseaux. Il peut aussi réaliser un cycle complet de scénario red teaming.

Comme professionnel, il est donc capital de connaitre ce classement, mais aussi nécessaire de savoir s'en servir. Pour cela, il est indispensable de suivre une formation adaptée en cybersécurité. Pour maitriser davantage les différents risques de cyberattaques ainsi que leurs contre-mesures, Jedha propose de suivre une formation en cybersécurité sur mesure. Nous proposons également d'autres formations de qualité dans plusieurs autres métiers comme le Data Scientist, le Data Engineer ou encore le Data Analyst.