Sécurité applicative : 5 vulnérabilités les plus souvent repérées

deloitte-breche-securite

Le délai médian de correction des vulnérabilités, d’une faille CRLF au défaut de qualité du code, est de 86 jours après leur découverte, selon Veracode.

Veracode, fournisseur de solutions de tests de sécurité des applications, a publié la 11e édition de son rapport sur l’état de la sécurité logicielle (SOSS)*.

Que retenir de cette étude ?

76% des 130 000 applications étudiées contiennent au moins une faille de sécurité. Elles sont critiques dans 24% des cas.

Veracode confirme, par ailleurs, la présence de multiples bibliothèques open source et tierces dans la plupart des solutions scrutées. Les applications écrites en Java affichant la proportion la plus élevée (97%) de ces composants logiciels tiers.

Ils permettent aux développeurs d’ajouter rapidement des fonctionnalités, mais ils ne sont pas sans risques. Selon un précédent rapport de Veracode, 7 applications sur 10 présentaient au moins une faille liée à l’utilisation de composants open source.

Avec ou sans ces composants, certaines failles sont plus souvent repérées que d’autres.

Top 5 des vulnérabilités applicatives

1. Fuite de données
2. Faille CRLF (Carriage Return Line Feed)
3. Problème de chiffrement
4. Défaut de qualité du code
5. Défaut de gestion des informations d’identification

Les injections SQL et les failles XSS (Cross-site scripting) restent dans le top 10.

Selon Veracode, 50% des « failles corrigées » l’ont été 86 jours après leur découverte. Tandis que 50% des « failles non corrigées » le restent pendant au moins 216 jours.

Le fournisseur américain de solutions fait le constat suivant :

« L’ajout de tests dynamiques de sécurité des applications (DAST) permet de découvrir un plus grand nombre de failles. Mais ce sont les équipes qui combinent les analyses dynamiques et statiques qui parviennent à corriger plus de failles, plus rapidement. »

*Veracode « State of Software Security: Volume 11 ».

(crédit photo © Shutterstock)