Cette anne, le rapport Software Vulnerability Snapshot examine la prvalence des vulnrabilits identifies par les services de test de scurit des applications de Synopsys et le centre de recherche en cyberscurit de Synopsys.
Synopsys a publi son rapport « Software Vulnerability Snapshot : The 10 Most Common Web Application Vulnerabilities ». Le rapport examine les rsultats de 4 300 tests de scurit effectus sur 2 700 cibles logicielles, notamment des applications Web, des applications mobiles, des fichiers de code source et des systmes de rseaux (c’est–dire des logiciels ou des systmes).
La majorit des tests de scurit taient des tests intrusifs de type « bote noire » ou « bote grise », y compris des tests de pntration, des tests dynamiques de scurit des applications (DAST) et des tests de scurit des applications mobiles (MAST), conus pour sonder les applications en cours d’excution comme le ferait un attaquant du monde rel.
82 % des cibles des tests taient des applications ou des systmes Web, 13 % taient des applications mobiles et le reste tait constitu de codes sources ou de systmes/applications rseau. Les industries reprsentes dans les tests comprenaient les logiciels et Internet, les services financiers, les services aux entreprises, la fabrication, les services aux consommateurs et les soins de sant.
Sur les 4 300 tests effectus, 95 % des cibles prsentaient une certaine forme de vulnrabilit (soit une baisse de 2 % par rapport aux rsultats de l’anne dernire). 20 % des cibles prsentaient des vulnrabilits haut risque (une diminution de 10 % par rapport l’anne dernire), et 4,5 % prsentaient des vulnrabilits critiques (une diminution de 1,5 % par rapport l’anne dernire).
Les rsultats dmontrent que la meilleure approche des tests de scurit consiste utiliser le large ventail d’outils disponibles, notamment l’analyse statique, l’analyse dynamique et l’analyse de la composition logicielle, pour s’assurer qu’une application ou un systme est exempt de vulnrabilits. Par exemple, 22 % de l’ensemble des cibles testes taient exposes une vulnrabilit de type XSS (cross-site scripting), l’une des vulnrabilits les plus rpandues et les plus destructrices haut risque/critique affectant les applications web.
De nombreuses vulnrabilits XSS se produisent lorsque l’application est en cours d’excution. La bonne nouvelle est que l’exposition identifie dans les rsultats de cette anne tait infrieure de 6 % celle de l’anne dernire, ce qui signifie que les entreprises prennent des mesures proactives pour attnuer les vulnrabilits XSS dans leurs applications de production.
« Cette tude souligne que les techniques de test intrusives de type bote noire, comme le DAST et le pen testing, sont particulirement efficaces pour mettre en vidence les vulnrabilits exploitables dans le cycle de vie du dveloppement logiciel et devraient faire partie de tout rgime de test de scurit des applications bien quilibr« , a dclar Girish Janardhanudu, vice-prsident du conseil en scurit chez Synopsys Software Integrity Group.
Autres faits marquants du rapport
- Les vulnrabilits du Top 10 de l’OWASP ont t dcouvertes dans 77 % des cibles. Les mauvaises configurations des applications et des serveurs reprsentaient 18 % de l’ensemble des vulnrabilits dcouvertes dans les tests (une diminution de 3 % par rapport aux rsultats de l’anne dernire), reprsentes par la catgorie OWASP A05:2021 – Security Misconfiguration. Et 18 % du total des vulnrabilits trouves taient lies la catgorie OWASP A01:2021 – Broken Access Control (contrle d’accs dfaillant) (une diminution de 1 % par rapport l’anne dernire).
- Le besoin urgent d’une nomenclature des logiciels. Des bibliothques tierces vulnrables ont t dcouvertes dans 21 % des tests de pntration raliss (soit une augmentation de 3 % par rapport aux rsultats de l’anne dernire). Cela correspond la catgorie A06:2021 du Top 10 de l’OWASP – Utilisation de composants vulnrables et obsoltes. La plupart des organisations utilisent un mlange de code personnalis, de code commercial et de composants open source pour crer les logiciels qu’elles vendent ou utilisent en interne. Souvent, ces entreprises disposent d’inventaires informels, voire inexistants, dtaillant exactement les composants utiliss par leurs logiciels, ainsi que les licences, les versions et l’tat des correctifs de ces composants. Dans la mesure o de nombreuses entreprises utilisent des centaines d’applications ou de systmes logiciels, chacun d’entre eux comportant probablement des centaines, voire des milliers de composants tiers et open source diffrents, il est urgent de disposer d’une nomenclature logicielle prcise et jour pour assurer un suivi efficace de ces composants.
- Les vulnrabilits faible risque peuvent galement tre exploites pour faciliter les attaques. Soixante-douze pour cent des vulnrabilits dcouvertes lors des tests sont considres comme prsentant un risque faible ou moyen. Cela signifie que les problmes dcouverts ne sont pas directement exploitables par les attaquants pour accder aux systmes ou aux donnes sensibles. Nanmoins, faire resurgir ces vulnrabilits n’est pas un exercice vain, car mme les vulnrabilits faible risque peuvent tre exploites pour faciliter les attaques. Par exemple, les bannires de serveur verbeux – trouves dans 49 % des tests DAST et 42 % des pen tests – fournissent des informations telles que le nom, le type et le numro de version du serveur, qui pourraient permettre aux attaquants de mener des attaques cibles sur des piles technologiques spcifiques.
propos de Synopsys Software Integrity Group
Synopsys Software Integrity Group fournit des solutions intgres qui transforment la faon dont les quipes de dveloppement crent et livrent les logiciels, acclrant ainsi l’innovation tout en traitant les risques commerciaux.
Source : Synopsys
et vous ?
Qu’en pensez-vous ?
Voir aussi :