Sécurité applicative : 5 enseignements du rapport Datadog
Le niveau de gravité de la plupart des vulnérabilités applicatives devrait être réévalué à la baisse, et ce pour mieux prioriser.
Datadog, entreprise de monitoring et de sécurité cloud cofondée par Olivier Pomel (CEO) et Alexis Lê-Quôc (CTO), a livré son premier rapport* public sur la sécurité des applications.
Le niveau de gravité des vulnérabilités applicatives devrait-il être reconsidéré ?
Oui, si l’on en croit l’analyse que propose la firme basée à New York City.
Appréhender le rapport Datadog en 5 points clés
1. Un niveau de gravité « surévalué »
Les rapporteurs expliquent : « en utilisant le contexte d’exécution (runtime), nous pouvons ajuster les scores CVSS** pour qu’ils reflètent mieux la gravité réelle de chaque vulnérabilité. Le score est ainsi abaissé pour les vulnérabilités qui répondent à au moins un des deux critères de contexte d’exécution suivants : elles sont détectées dans un environnement hors production ou dans un service qui n’a pas été attaqué au cours des 30 derniers jours. »
Ainsi, lorsque ces critères sont appliqués au calcul des résultats ajustés aux vulnérabilités ayant des scores de 9 ou plus, on constate que « le niveau de gravité de 97% d’entre elles devrait être réduit. » Elles seraient ainsi jugées moins prioritaires. L’investissement porterait alors davantage sur la minorité de vulnérabilités critiques à endiguer sans tarder.
Our inaugural State of Application Security report is now live! We analyzed data from thousands of leading DevOps organizations to understand which vulnerabilities really matter, which threats present a risk (and which don’t), and other #AppSec insights: https://t.co/OqsQ2QafBo pic.twitter.com/kPFCIsYbbW
— Datadog, Inc. (@datadoghq) April 25, 2023
2. Plus de dépendances, davantages de risques
Présents dans la plupart des programmes et applications informatiques, les bibliothèques open source et composants logiciels tiers permettent aux développeurs d’ajouter à ces programmes des fonctionnalités de base ou plus spécifiques, sans avoir à réinventer la roue.
Mais les dépendances ne sont pas sans risque pour les équipes DevOps.
La correction de vulnérabilités résultant de la réutilisation de lignes de code source n’étant pas forcément le point fort des organisations. Les services (certes minoritaires) qui utilisent plus de 300 dépendances associées à leurs applications Java, par exemple, devront colmater au moins une brèche de gravité élevée ou critique au sens du CVSS.
3. Des applications Java vulnérables
Globalement, lorsque l’on considère les plateformes de développement et langages informatiques les plus utilisés par les clients de Datadog, les scores CVSS les plus élevés concernent les projets développés en Java ou avec .NET, devant Node.js et Python.
Comment Datadog explique la tendance ? Java et .NET fournissent un accès plus aisé aux instructions de programmation de bas niveau (low-level primitives). Une facilité que peut exploiter un attaquant pour prendre le contrôle de l’exécution de commandes.
4. Retour aux années 1990 ?
« Démocratisées » il y a plus de 20 ans, les injections SQL et les attaques par falsification de requêtes côté serveur (SSRF) restent un problème pour les applications web actuelles. Or, lorsqu’elles sont exploitées ces failles permettent aux acteurs de la menace d’accéder sans y être autorisés à des données et de compromettre l’hôte sous-jacent.
5. PHP plus spécifiquement ciblé
La popularité a ses travers.
PHP a longtemps été le langage côté serveur le plus populaire du Web. Selon W3Techs, plus de 77% des sites web sont propulsés par PHP. Toutefois, outre sa popularité persistante, l’histoire de PHP est également pavée de vulnérabilités de sécurité et de cyberattaques.
Sur la période courte étudiée, 68% des attaques associées aux failles spécifiques de certains langages de programmation ont concerné des applications PHP.
Le langage PHP, devance ainsi Java et JavaScript dans ce domaine.
*Le rapport de Datadog est basé sur l’analyse de données anonymisées et collectées en mars 2023 par la plateforme. Les données proviennent de milliers d’organisations aux Etats-Unis et dans le monde qui utilisent les services ASM (Application Security Management) et APM (Application Performance Monitoring) de Datadog.
**Les scores CVSS (Common Vulnerability Scoring System) peuvent varier de 0 à 10 (gravité la plus élevée) en fonction de la criticité, de la complexité et de l’étendue de l’impact.
Source : Datadog – « 2023 State of Application Security Report ».
(crédit photo de une © pinkeyes – Adobe Stock)
