Pour gérer vos consentements :
Categories: LogicielsSécurité

Sécurité applicative : 5 vulnérabilités les plus souvent repérées

Veracode, fournisseur de solutions de tests de sécurité des applications, a publié la 11e édition de son rapport sur l’état de la sécurité logicielle (SOSS)*.

Que retenir de cette étude ?

76% des 130 000 applications étudiées contiennent au moins une faille de sécurité. Elles sont critiques dans 24% des cas.

Veracode confirme, par ailleurs, la présence de multiples bibliothèques open source et tierces dans la plupart des solutions scrutées. Les applications écrites en Java affichant la proportion la plus élevée (97%) de ces composants logiciels tiers.

Ils permettent aux développeurs d’ajouter rapidement des fonctionnalités, mais ils ne sont pas sans risques. Selon un précédent rapport de Veracode, 7 applications sur 10 présentaient au moins une faille liée à l’utilisation de composants open source.

Avec ou sans ces composants, certaines failles sont plus souvent repérées que d’autres.

Top 5 des vulnérabilités applicatives

1. Fuite de données
2. Faille CRLF (Carriage Return Line Feed)
3. Problème de chiffrement
4. Défaut de qualité du code
5. Défaut de gestion des informations d’identification

Les injections SQL et les failles XSS (Cross-site scripting) restent dans le top 10.

Selon Veracode, 50% des « failles corrigées » l’ont été 86 jours après leur découverte. Tandis que 50% des « failles non corrigées » le restent pendant au moins 216 jours.

Le fournisseur américain de solutions fait le constat suivant :

« L’ajout de tests dynamiques de sécurité des applications (DAST) permet de découvrir un plus grand nombre de failles. Mais ce sont les équipes qui combinent les analyses dynamiques et statiques qui parviennent à corriger plus de failles, plus rapidement. »

*Veracode « State of Software Security: Volume 11 ».

(crédit photo © Shutterstock)

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

16 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

16 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

20 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

23 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

1 jour ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

2 jours ago