Les principales failles de sécurité des applications web actuelles, telles que recensées par l'OWASP: principes, parades et bonnes pratiques de développement( Télécharger le fichier original )par Guillaume HARRY Conservatoire national des arts et métiers - Ingénieur 2012 |
2.2 EnjeuxLe Web est devenu un lieu où on peut échanger des informations mais il est également devenu un marché à part entière pour la vente et l'achat de biens matériels. Les acteurs de ce nouveau marché ont besoin de sécurité sous tous ses aspects, tels que définis par l'ANSSI (Agence Nationale de Sécurité des Systèmes d'Information) « la protection de la confidentialité, de l'intégrité et de la disponibilité de l'information ». Dans ce contexte, de nombreux organismes ont été constitués afin de lutter et de prévenir les risques liés à la sécurité des informations sur le Web. En France, l'ANSSI est une agence rattachée au Secrétaire général de la défense et de la sécurité nationale. Elle met à disposition des guides sur la gestion des menaces informatiques et des articles sur les recommandations et bonnes pratiques pour la sécurité des systèmes informatiques. Le CLUSIF (Club de la Sécurité de l'Information Français) est une association d'organisations privées et publiques dont le but est de sensibiliser les entreprises et collectivités françaises à la sécurité de l'information. Aux Etats-Unis, le Web Application Security Consortium (WASC) est une association constituée d'experts internationaux, d'industriels et d'organisations du monde Open Source qui publie des recueils de bonnes pratiques de sécurité pour le Web. L' Open Web Application Security Project (OWASP) est une association de bénévoles dont l'objectif est de promouvoir la sécurité logicielle et de sensibiliser les organisations et les personnes sur les risques liés à la sécurité des applications Web. Tous les 3 ans, elle publie le classement des 10 failles de sécurité les plus dangereuses dans le document « OWASP Top 10 ». Dans sa dernière version de 2010, la liste a été réévaluée afin de prendre en compte les risques et non plus la danger représenté par ces vulnérabilités. En effet, les failles sont maintenant évaluées en fonction de la facilité à trouver la faille, à attaquer l'application Web par ce biais et du préjudice que l'attaque peut causer. Le présent document « Les principales failles de sécurité des applications Web actuelles : principes, parades et bonnes pratiques de développement » a pour objectif de détailler chacune des failles citées dans le document « OWASP Top 10 ». Afin de mieux les comprendre, l'architecture des applications Web sera abordée dans un premier temps. Dans un second temps chacune des failles sera détaillée en expliquant l'origine du problème et en donnant des exemples type d'attaque. Les exemples sont écrits pour un environnement Apache/MySQL/PHP. Puis des conseils seront donnés pour se protéger de ce type d'attaque. Et enfin un recueil de bonnes pratiques permettra de se prémunir contre la plupart des risques de sécurité dans le développement des applications Web. |
|