Conformité OWASP

Les failles de sécurité dans le contrôle d'accès restent la principale vulnérabilité pour le quatrième cycle d'évaluation consécutif. Selon les conclusions de l'OWASP, 100 % des applications testées (contre 94 % auparavant) présentent cette faille, qui touche désormais 40 vulnérabilités critiques (contre 34 en 2021). En 2025, l'OWASP a également intégré la falsification de requêtes côté serveur (SSRF) à cette catégorie, reconnaissant qu'il s'agit d'une manifestation spécifique d'un contrôle d'accès inadéquat.

Les principales vulnérabilités critiques (CWE) liées à cette vulnérabilité sont :

• CWE-200 : Exposition d'informations sensibles à un acteur non autorisé
• CWE-201 : Insertion d'informations sensibles dans les données envoyées
• CWE-352 : falsification de requêtes intersites

Qu'est-ce qu'un contrôle d'accès cassé ?

Cette faille de sécurité permet l'accès aux ressources privées pour les utilisateurs non autorisés. Les attaquants peuvent contourner tous les protocoles de sécurité en place pour accéder aux systèmes et informations sensibles.

Quel est l'impact d'un contrôle d'accès cassé ?

Elle demeure la vulnérabilité la plus fréquente du Top 10 de l'OWASP. Des méthodes d'autorisation et d'authentification faibles sont à l'origine de ce risque de sécurité. Le contrôle d'accès défaillant englobe 40 CWE (contre 34 en 2021), y compris les scénarios SSRF. Il représente plus de problèmes dans l'enquête de l'OWASP que toute autre catégorie.

Les erreurs de configuration de sécurité se hissent au deuxième rang en 2025, contre le cinquième rang en 2021, reflétant l'essor des environnements cloud et conteneurisés où les erreurs de configuration sont de plus en plus fréquentes. 100 % des applications testées présentent une forme ou une autre de ce problème.

Que sont les erreurs de configuration de sécurité ?

Une erreur de configuration de sécurité se produit lorsque des paramètres de sécurité importants sont manquants, incorrects, mal configurés ou laissés par défaut, comme par exemple ne pas réinitialiser les mots de passe par défaut, activer des fonctionnalités inutiles ou ne pas renforcer la sécurité du stockage cloud.

Quel est l'impact ?

Les systèmes, services cloud et conteneurs mal configurés sont à l'origine d'une grande partie des violations de sécurité. L'incident de 2023 impliquant les NOTAM de la FAA, lié à une mauvaise configuration, en est un exemple frappant. Renforcer la sécurité des configurations, supprimer les fonctionnalités inutilisées et auditer régulièrement l'infrastructure sont des contre-mesures essentielles.

Les défaillances de la chaîne d'approvisionnement logicielle constituent une nouvelle catégorie en 2025, qui traite des risques liés aux composants tiers, aux bibliothèques open source, aux pipelines de compilation et aux mécanismes de distribution. Leur identification représente un défi et la surface d'attaque, en pleine expansion, compte cinq vulnérabilités critiques (CWE), parmi lesquelles :

• CWE-477 – Utilisation d'une fonction obsolète
• CWE-1104 – Utilisation de composants tiers non pris en charge
• CWE-1329 – Dépendance à un composant non mis à jour
• CWE-1395 – Dépendance à un composant tiers vulnérable

Que sont les défaillances de la chaîne d'approvisionnement logicielle ?

Ces défaillances surviennent lorsque des composants logiciels, des chaînes de compilation ou des mécanismes de distribution sont compromis ou altérés. Par exemple : utilisation de paquets provenant de sources non fiables, scripts de compilation non sécurisés, absence de signature de code ou de vérification d’intégrité.

Quel est l'impact ?

Les attaquants qui compromettent un composant de la chaîne d'approvisionnement peuvent affecter simultanément des milliers d'applications en aval. L'attaque contre SolarWinds en est un exemple notable. Les attaques ciblant la chaîne d'approvisionnement échappent souvent totalement à la détection basée sur les CVE ; il s'agit de défaillances de confiance dans les processus, et non de bogues dans le code.

Conseils de prévention :

1. Vérifier les signatures numériques et les sommes de contrôle dans les mécanismes de mise à jour.
2. Utilisez uniquement des registres de paquets fiables et surveillés.
3. Auditer les pipelines de construction et de déploiement pour les contrôles d'intégrité.

Les défaillances cryptographiques passent au 4e rang en 2025, contre le 2e rang en 2021, ce qui témoigne d'une prise de conscience croissante du secteur, même si elles demeurent un risque critique. L'appellation « Exposition de données sensibles » a été modifiée en 2021 afin de mettre l'accent sur les causes profondes plutôt que sur les symptômes.

Que sont les échecs cryptographiques ?

Une défaillance cryptographique survient dans toute situation où des données sensibles sont exposées en raison d'une cryptographie absente, faible, mal configurée ou mal implémentée. Ces défaillances entraînent souvent des violations de données. Parmi les exemples, citons l'absence d'en-têtes HTTP Strict Transport Security, des algorithmes faibles, la transmission de données en clair ou une mauvaise gestion des clés.

Quel est l'impact ?

Elles peuvent entraîner des fuites de données sensibles et des compromissions de systèmes. Un exemple public de faille cryptographique est la violation de données LinkedIn en 2012, où un hachage SHA-1 non salé des mots de passe a permis aux attaquants de déchiffrer facilement des millions d'identifiants après le vol de la base de données. Prévenir de telles défaillances exige une conception cryptographique rigoureuse, un code sécurisé, des tests approfondis et l'intégration de la sécurité dans les processus DevSecOps.

• Utilisez des algorithmes de chiffrement robustes et modernes (AES-256, TLS 1.3).
• Appliquer des politiques de gestion et de rotation des clés appropriées.
• Ne transmettez jamais de données sensibles en clair.

L’injection passe au 5e rang en 2025, contre le 3e rang en 2021 – un déclin continu après une décennie passée en tête des risques, témoignant des progrès réalisés par l’industrie en matière de validation des intrants. Elle demeure néanmoins très dangereuse et répandue.

Que sont les problèmes d'injection ?

Les failles d'injection surviennent lorsque des attaquants envoient des données spécialement conçues pour forcer une application à exécuter des commandes non désirées. Par exemple, l'injection SQL permet d'extraire ou de modifier des bases de données entières. Cela inclut également les attaques XSS (Cross-Site Scripting) et d'autres types d'injection.

Quel est l'impact ?

L'injection de vulnérabilités demeure l'une des classes de vulnérabilités les plus courantes et les plus faciles à prévenir. Les données de tests OWASP révèlent plus de 1.4 million d'occurrences d'injection observées dans les applications. Une validation stricte des entrées, des requêtes paramétrées et l'utilisation d'API sécurisées séparant les données des commandes permettent de prévenir en grande partie ces failles. Parmi les CWE courantes, on trouve CWE 79 (Cross-Site Scripting) et CWE 89 (Injection SQL), d'autres risques d'injection apparaissant dans des domaines tels que la gestion des commandes, des chemins d'accès et des expressions.

La catégorie « Conception non sécurisée » passe de la 4e à la 6e place en 2025, reflétant l'adoption progressive des principes de conception sécurisée, même si les failles de conception restent un risque important et souvent sous-estimé.

Qu'est-ce que la conception non sécurisée ?

Une conception non sécurisée survient lorsque les équipes ne parviennent pas à anticiper les menaces lors de la phase d'architecture. Contrairement aux bogues d'implémentation, elle révèle des défauts de conception plus généraux, comme par exemple l'absence d'étapes d'autorisation dans un flux de travail ou des procédures de réinitialisation de mot de passe faibles.

Quel est l'impact ?

Une conception non sécurisée rend les applications vulnérables même si leur implémentation semble sécurisée. L'OWASP recommande d'intégrer la modélisation des menaces, les modèles de conception sécurisés et les bibliothèques éprouvées dès les premières étapes du cycle de vie du développement logiciel, avant même d'écrire la moindre ligne de code.

Les échecs d'authentification restent au 7e rang en 2025. Le nom est simplifié, passant de « Échecs d'identification et d'authentification » (2021) à « Échecs d'authentification », mettant ainsi davantage l'accent sur la sécurité des informations d'identification et des sessions.

Que sont-ils?

Ces défaillances surviennent lorsque les identifiants de connexion, les identifiants de session ou les autorisations ne sont pas gérés de manière sécurisée, par exemple en stockant les mots de passe en clair ou en codant en dur les identifiants.

Quel est l'impact ?

Les défaillances de la norme A07:2025 entraînent la prise de contrôle de comptes et l'usurpation d'identité, permettant aux attaquants de contourner tous les contrôles de sécurité en aval et provoquant des violations de données, des fraudes, une élévation de privilèges et une compromission totale du système. L'authentification multifacteurs et des politiques de mots de passe plus robustes permettent d'atténuer ces risques.

La norme A08:2025 décrit les défaillances survenant lorsque des applications font confiance à des mises à jour logicielles, du code ou des données sans en vérifier l'intégrité, ce qui permet de traiter comme légitimes et d'exécuter des éléments non fiables ou altérés (tels que des mises à jour, des dépendances, des éléments CI/CD ou des données sérialisées). Le passage de « et » à « ou » dans le nom indique que l'intégrité du logiciel ou des données peut être compromise indépendamment.

Que sont-ils?

Parmi les exemples, citons les mises à jour logicielles non sécurisées, les pipelines CI/CD non protégés et les mises à jour automatiques non validées.

Quel est l'impact ?

Elles ouvrent la porte à l'insertion de code malveillant. Parmi les principales vulnérabilités figurent la désérialisation non sécurisée, une méthode courante pour les attaques par déni de service et l'exécution de code à distance. Les failles majeures de la vulnérabilité A08 incluent la mise à jour malveillante signée de CCleaner, le détournement de logiciels malveillants open source comme Event Stream et l'exploitation de vulnérabilités liées à la désérialisation non sécurisée, où des logiciels ou des données altérés ont été exécutés sans vérification d'intégrité.

Les défaillances en matière de journalisation et d'alerte de sécurité restent au 9e rang en 2025. Leur nom passe de « Défaillances de surveillance » à « Défaillances d'alerte ». Une journalisation et un système d'alerte inadéquats empêchent la détection, la réponse ou l'investigation rapides des incidents de sécurité.

Que sont-ils?

Ces défaillances surviennent lorsque les systèmes ne détectent pas correctement les menaces, n'émettent pas d'alertes ou ne réagissent pas adéquatement. À mesure que les environnements se complexifient (microservices, conteneurs et cloud), un système d'alerte intégré devient essentiel, au-delà de la simple journalisation passive.

Quel est l'impact ?

En l'absence d'alertes adéquates, les incidents de sécurité passent inaperçus pendant de longues périodes, entraînant des violations de données. Des réglementations telles que HIPAA et PCI DSS exigent une journalisation appropriée. Un système d'alerte défaillant amplifie également d'autres vulnérabilités, comme un contrôle d'accès défaillant, en empêchant la détection et la réaction rapides. Parmi les échecs notables, citons les violations de données chez Target et Equifax, où une journalisation, une surveillance ou des alertes insuffisantes ont permis aux attaquants d'agir sans être détectés pendant de longues périodes, aggravant considérablement leur impact.

La mauvaise gestion des conditions exceptionnelles est une nouvelle catégorie introduite en 2025. Elle met en lumière une classe de risques longtemps négligée : les applications qui dysfonctionnent de manière dangereuse lorsqu’elles sont confrontées à des entrées inattendues, à des pénuries de ressources, à des délais d’attente ou à des erreurs internes.

Remarque : La falsification de requête côté serveur (SSRF), auparavant A10:2021, a été absorbée par A01:2025 Contrôle d'accès défectueux.

Qu’est-ce qu’une mauvaise gestion des situations exceptionnelles ?

Une mauvaise gestion des exceptions peut entraîner la divulgation de données sensibles telles que des traces de pile ou des clés API, le contournement des contrôles d'accès via une logique de défaillance ouverte, ou encore une attaque par déni de service. Ces failles échappent souvent aux analyses de vulnérabilités standard car elles ne se manifestent que dans des conditions de forte charge. Cette catégorie regroupe 24 CWE, dont CWE-209 (messages d'erreur exposant des données sensibles), CWE-476 (déréférencement de pointeur NULL) et CWE-636 (logique de défaillance ouverte).

Quel est l'impact ?

50 % des répondants à l'enquête OWASP ont classé ce problème comme leur principale préoccupation émergente en matière de sécurité. Les applications doivent définir des modes de défaillance sécurisés (fermeture en cas d'erreur, refus d'accès en cas d'erreur) et utiliser des mécanismes de gestion des erreurs cohérents qui consignent les détails en interne tout en renvoyant des messages génériques en externe.

Principaux CWE et prévention :

• Définir des modes de défaillance sécurisés : fermeture en cas d’erreur et refus d’accès.
• Utilisez des mécanismes de gestion des erreurs cohérents dans l'ensemble du code source.
• Consigner les détails des erreurs en interne — ne renvoyer que des messages génériques en externe.