Les applications web sont vulnérables
Les failles dans le contrôle d'accès et le risque de divulgation des données sont les défauts de sécurité les plus répandus dans les applications web développées en interne par les entreprises. C'est ce que montre une analyse récente de Kaspersky pour la période 2021-2023.
Pour cette analyse, Kaspersky a examiné les vulnérabilités des applications web développées en interne par des entreprises des secteurs de l'informatique, de l'administration, de l'assurance, des télécommunications, des cryptomonnaies, du commerce électronique et de la santé.
La majorité (70 %) des vulnérabilités constatées concernent la protection des données relatives aux informations confidentielles telles que les mots de passe, les données de cartes de crédit, les dossiers médicaux, les données personnelles et les informations commerciales confidentielles ou le contrôle d'accès. Ce dernier permet aux cybercriminels de contourner les politiques des sites Web et donc de modifier ou de supprimer des données.
Dans la majorité des applications analysées, les experts ont trouvé au total plusieurs dizaines de vulnérabilités affectant le contrôle d'accès et la protection des données ; beaucoup, classées au niveau de risque le plus élevé, étaient liées à des injections SQL. Certaines des vulnérabilités analysées présentaient même un risque élevé. Par exemple, 88 % de toutes les vulnérabilités d'injection SQL analysées étaient à haut risque ; en outre, 78 % des mots de passe faibles ont été classés à haut risque.
En outre, 22 % de toutes les applications web examinées par Kaspersky présentaient des mots de passe faibles. Une raison possible est que les applications incluses dans l'échantillon étaient peut-être des versions de test et non des systèmes réels en direct.
Oxana Andreeva, experte en sécurité au sein de l'équipe Kaspersky Security Assessment, commente : "L'étude a été réalisée en tenant compte des vulnérabilités les plus courantes dans les applications web développées en interne par les entreprises, ainsi que de leur niveau de risque. Les attaquants pourraient ainsi voler les données d'authentification des utilisateurs ou exécuter du code malveillant sur le serveur. Chaque vulnérabilité a un impact plus ou moins important sur la continuité de l'activité et la résilience. Les entreprises devraient donc être attentives à la sécurité lors du développement d'applications web et la vérifier en permanence".
Recommandations de Kaspersky pour la protection des applications Web développées en interne par les entreprises
- Mettre en œuvre un cycle de vie de développement logiciel sécurisé (SSDLC).
- Procéder régulièrement à des évaluations de la sécurité des applications et prendre les mesures qui s'imposent.
- Surveiller le fonctionnement des applications.
Source : www.kaspersky.de