fbpx
Top 7 des risques de sécurité selon OWASP

Top 7 des risques de sécurité selon OWASP

Open Web Application Security Project (OWASP) est une communauté en ligne travaillant sur la sécurité des applications Web. Elle a pour vocation de publier des recommandations de sécurisation Web et de proposer aux internautes, administrateurs et entreprises des méthodes et outils de référence permettant de contrôler le niveau de sécurisation de ses applications Web.  

Nous vous avons regroupé les 7 failles utilisées pour affaiblir votre système de sécurité. 

 

1- Injections 

La majorité des applications web sont reliées à une base de données. Cette base permet de stocker et retrouver la totalité des données et informations en rapport avec cette application.  

Les injections les plus connues sont les injections SQL. Lorsque vous naviguez sur votre application, vous êtes en contact avec la base de données. L’injection SQL consiste à modifier la requête envoyée afin de contourner la vérification et ainsi récupérer des données, accéder à des pages normalement inaccessibles depuis l’application ou bien se connecter à un compte qui ne nous appartient pas. 

 

2- Violation de gestion d’authentification et de session 

En contournant l’authentification d’un site web, vous avez accès presque à la totalité des données confidentielles appartenant aux utilisateurs. C’est un problème complexe à résoudre, car chaque site a son propre système d’authentification.  

Mais OWASP donne des conseils plus généraux afin d’éviter tout vol de données. Dans un premier temps, utiliser des mots de passe performants, et complexes. Plus la longueur du mot de passe augmente et plus l’attaque sera complexe et les chances de réussir sont nulles. 

 

3- Exposition de données sensibles 

L’exposition de données sensibles est une des vulnérabilités les plus rependues lorsqu’on parle de cybercriminalité. Cela consiste à compromettre des données qui auraient dû rester confidentielles et protégées.  

Les données exposées qui demandent de la protection sont, les mots de passe, les chiffres des cartes de crédit, informations personnelles et tout ce qui doit rester confidentiel.  

Voici quelques solutions afin d’éviter toutes fuites de données.  

– Classer les données traitées, stockées ou transmises par une application,
– Assurez-vous de chiffrer toutes les données sensibles au repos,
– Appliquer des contrôles selon la classification,
– Ne stockez pas de données sensibles inutilement. 

 

4- Utilisation de composants avec des vulnérabilités connues 

De nos jours, même les sites Web simples tels que les blogs personnels ont beaucoup de dépendances.

Nous pouvons tous convenir que le fait de ne pas mettre à jour tous les logiciels du backend et du front-end d’un site Web entraînera sans aucun doute de lourdes menaces pour la sécurité.

Par exemple, le rapport de site Web piraté pour 2017 comporte une section dédiée aux CMS obsolètes. Ce rapport montre qu’au moment de l’infection:

     39,3% des sites Web WordPress étaient obsolètes;
     69,8% de Joomla! les sites Web étaient obsolètes;
     65,3% des sites Web Drupal étaient obsolètes;
     80,3% des sites Web Magento étaient obsolètes. 

 

5- Violation du contrôle d’accès 

Dans la sécurité des sites Web, le contrôle d’accès signifie limiter les sections ou les pages que les visiteurs peuvent atteindre. Ils n’auront pas accès à la page administratrice et aux données des clients.  

En accédant au module de gestion d’accès, les malfaisants ont directement accès au panneau de contrôle / administratif d’hébergement, au panneau administratif d’un site Web, à d’autres applications sur votre serveur, à une base de données. Avec ces accès-ci, les attaquants vont pouvoir voir des dossiers confidentiels, modifier les données des autres utilisateurs et changer les droits d’accès.  

 

6- Mauvaises configurations de sécurité 

Les pirates informatiques sont toujours à la recherche de moyens pour pénétrer dans les sites Web. Une mauvaise configuration de la sécurité peut être un moyen facile d’y accéder. Voici quelques exemples de services que les pirates informatiques tentent généralement d’exploiter pour obtenir un accès non autorisé, défauts non corrigés, configurations par défaut, pages inutilisées, fichiers et répertoires non protégés…
Chez MS Solutions, nous pouvons mener des tests afin de savoir si votre configuration de sécurité est faible. Nous avons de nombreuses techniques efficaces afin de sonder la sécurité de vos plateformes. Si vous voulez en savoir plus, n’hésitez pas à contacter un de nos spécialistes

 

7- Insuffisance de surveillance

L’importance de la sécurité d’un site Web ne peut être sous-estimée. Bien que la sécurité à 100% ne soit pas un objectif réaliste, il existe des moyens de surveiller régulièrement votre site Web afin que vous puissiez agir immédiatement lorsque quelque chose se produit.

L’absence de processus de journalisation et de surveillance efficaces peut augmenter les risques de compromission du site Web. 

Tenir des journaux d’audit est essentiel pour rester au courant de toute modification suspecte de votre site Web. Un journal d’audit est un document qui enregistre les événements sur un site Web, ce qui vous permet de détecter les anomalies et de confirmer avec le responsable que le compte n’a pas été compromis.  

Chez MS Solutions, nos experts proposent des tests d’audit, n’hésitez pas à nous contacter afin de prévenir tout risques de cyberattaque.  

 

Il est donc important d’être vigilant quant à la sécurité de votre site/application web, et prévenir grâce à certaines mesures, toutes attaques cybercriminelles. Pour cela, n’hésitez pas à vous renseigner auprès d’un de nos experts qui sera en mesure de répondre à vos interrogations. 

Articles récents