100 % des sites web des grandes entreprises françaises sont vulnérables. C’est ce qui ressort des 128 audits de sécurité réalisés par les équipes Cybersécurité et Digital Trust du cabinet Wavestone (ex-Solucom), auprès de 82 structures issues des 200 premières entreprises française dans 8 secteurs d’activités (banque/assurance, santé, énergie, services, télécom, transport, institutions publiques) entre juin 2015 et juin 2016. Un résultat présenté dans le cadre des Assises de la sécurité qui se déroulent à Monaco (du 5 au 8 octobre).
Si tous les sites testés sont faillibles, toutes les vulnérabilités ne sont pas alarmantes. Mais la majorité le sont ! 60% des 85 sites externes et des 43 sites internes analysés sont marqués de « failles graves ». Autrement dit, des brèches systèmes qui peuvent mener à des fuites d’informations où à la prise de contrôle des serveurs web. Dans les détails « seuls » 50% des sites web publics sont atteints de tels risques et 75 % des intranets, uniquement accessibles depuis un réseau privé. Le langage utilisé pour coder le site entre également en résonance avec son niveau de faillibilité. 75 % des pages développées en PHP sont sujettes à au moins une faille grave. Un taux qui tombe à 40 % pour les sites élaborés en Java.
Parmi les 10 principales failles découvertes, les informations techniques superflues, diffusées par une page d’erreur ou d’entête par exemple, apparaissent dans 88% des sites audités. Heureusement, le risque d’intrusion que permet l’exploitation de ces informations reste « mineur ». Un peu plus inquiétant : un défaut de qualité dans le chiffrement, dans 81% des cas, élève le risque à un niveau jugé « important » par le cabinet. C’est également le cas pour les 57 % de sites où une page permet de faire exécuter du code distant à un utilisateur à son insu. Le défaut de cloisonnement, qui permet d’accéder à des données ou des fonctions non autorisées, touche 44% des sites audités. Un défaut considéré comme un risque « majeur » par Wavestone. Tous comme les 37 % de sites permettant à un attaquant de réaliser des actions imprévues (dépôt de code…) et les 25 % de cas, où une faille autorise la collecte de l’ensemble des données du site (injection SQL notamment).
« Nous avions déjà l’intuition que la situation n’était pas bonne, et ce, quel que soit le secteur d’activité. Notre sentiment est désormais conforté par ces chiffres », commente Yann Filliat, responsable de l’équipe d’audit de sécurité de Wavestone. Pour Gérôme Billois, membre du comité de direction de l’activité cybersécurité du cabinet, « la gestion actuelle des projets web ne laisse pas beaucoup de place à la sécurité : mise en ligne urgente, site dont on apprend l’existence à sa sortie… Tout ceci fait prendre des risques importants aux entreprises ».
Lire également
Une faille de sécurité dans TCP permet de pirater la plupart des sites Web
Drown : la faille qui met en danger un tiers des serveurs HTTPS
Google Chrome poursuit sa croisade contre le Web non sécurisé
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
