Réduction des délais de diffusion des correctifs pour les applications Web

La société suisse High-Tech Bridge, spécialisée dans l’offre de services de sécurité informatique dans le Cloud, vient de publier un rapport qui établit le bilan du niveau protection des applications Web pour 2013 Les experts sont heureux de constater que de nombreux éditeurs traitent les questions de sécurité avec plus de sérieux. Les notifications sont envoyées après quelques heures et les correctifs sont publiés sous 48 heures. Sur les 62 bulletins d’information diffusés par la société en 2013, seuls 3 sont restés sans réponse positive. High-Tech Bridge a également remarqué que les erreurs présentant un niveau de risque élevé sont plus difficiles à mettre en évidence et à exploiter.

Sur l’année, les chercheurs ont identifié 126 vulnérabilités dans des applications dont la base d’utilisateurs reprend plusieurs millions de sites Web. Plus de la moitié de ces failles étaient à mettre sur le compte de XSS, tandis que 20 % étaient des injections SQL. D’après les experts, ces erreurs sont surtout présentes dans les jeunes produits, tandis que les erreurs CSRF ou User Identity Spoofing (substitution de la source du message) sont plus fréquentes dans les produits plus mûrs. Les applications primitives sont les plus touchées par les erreurs de type XSS et SQLi (40 % des cas). Les plug-ins et les modules externes pour les systèmes CMS (30 %) ainsi que les petits CMS (25 %) sont également touchés par celles-ci. De plus, dans 90 % des solutions CMS commerciales ou open source, les erreurs XSS et SQLi ne surviennent pas lors du développement, mais dues à des mises à jour du système rares ou à une configuration incorrecte.

High-Tech Bridge estime que les vulnérabilités critiques et les failles de haut risque sont devenues plus complexes et qu’il est plus difficile de les découvrir. Marcel Nizamutdvinov, responsable des travaux d’étude chez High-Tech Bridge, constate que "les méthodes d’essai généralement adoptées comme la recherche automatisée de vulnérabilités ou la vérification automatisée de la qualité du code source ne sont plus d’un grand secours. Nous estimons que l’avenir appartient aux essais hybrides qui combinent des outils automatisés et une vérification manuelle impliquant des experts." 

Les erreurs graves sont également plus difficiles à exploiter. High-Tech Bridge rencontre de plus en plus des attaques "en chaîne" dans le cadre desquelles l’exploitation de la vulnérabilité critique a lieu uniquement après l’exploitation réussie d’une autre faille moins dangereuse. Une technique relativement complexe, mais efficace, d’exfiltrationn des données via DNS a été largement utilisée l’année dernière. Cette technique est désormais utilisée dans les cas qui n’étaient normalement pas exposé aux codes d’exploitation, par exemple lorsque l’exploitation de SQLi est possible uniquement à l’aide d’une attaque CSRF ou lorsque le code SQL malveillant est inséré dans une requête qui ne renvoie aucun résultat (INSERT, UPDATE ou DELETE). 

High-Tech Bridge a également identifié l’année dernière quelques cas où la vulnérabilité critique ou de risque élevé n’était pas issue d’une erreur de programmation, mais d’un inattention de la part du fournisseur. Par exemple, des applications parfaitement fiables et développées en tenant compte des aspects de sécurité ont été rendues vulnérables par des failles dans les scripts d’installation que les éditeurs ont simplement oublié d’effacer lors de l’installation. Pour les experts, de tels cas confirment la nécessité de soumettre les applications Web à des tests et des audits indépendants car personne n’est à l’abri des négligences et des oublis, même pas les professionnels.

De nombreuses vulnérabilités qui sont normalement considérées comme des vulnérabilités présentant un risque élevé ou critique ont été réévaluées par High-Tech Bridge en tant que failles présentant un danger moyen car leur exploitation requiert l’autorisation. Cette tendance confirme que les développeurs doivent prêter l’attention qu’il se doit à la protection des parties de l’application qui sont uniquement accessibles aux utilisateurs "de confiance" : les intentions de ces derniers ne sont pas nécessairement bonnes.

High-Tech Bridge souligne la plus grande responsabilité avec laquelle la sécurité des applications Internet est abordée et constate que la majorité des développeurs signale comme il se doit les vulnérabilités aux utilisateurs finaux, mettant ainsi fin à la pratique du bouchage de trou et de l’évaluation insuffisante des risques. La société estime qu’en un an, les délais de diffusion des correctifs ont diminué de 33 % pour atteindre 18 jours. S’agissant des vulnérabilités critiques, ce délai est désormais de 11 jours en moyenne, contre 17 l’année dernière. Le champion dans ce domaine est l’éditeur BigTree CMS qui a éliminé plusieurs vulnérabilités complexes dans son produit en moins de 3 heures.

https://www.htbridge.com/news/web_application_security_trends_in_2013.html

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *