accueilLogicielsDéveloppement et Qualité LogicielsFailles de sécurité des applications Web
 

Conclusion


1. Constat
2. Perspectives

Constat

 Depuis la version de 2004, le classement de l’OWASP a peu évolué. En effet, sept problèmes répertoriés en 2010 étaient déjà présents en 2004 comme le montre le tableau ci-dessous.

PNG - 92.1 ko
Comparaison des risques en 2004, 2007 et 2010

Cela signifie que le Web 2.0 a apporté du confort à l’utilisateur mais n’a pas apporté des failles plus dangereuses que celles déjà présentes. En effet, AJAX permet d’étendre les possibilités des attaques. Ainsi, le vol d’information par CSRF prend une nouvelle forme. Tout comme l’attaque CSRF classique expliquée dans le paragraphe 3.6, un utilisateur ouvre une page Web frauduleuse. Ensuite l’attaquant profite du mode asynchrone de la fonction « XMLHttpRequest » pour parcourir la page de l’application affichée, voler le cookie et envoyer les données à l’attaquant. Les protections contre CSRF restent efficaces, mais se protéger de la seconde phase de l’attaque est plus délicat. Par ailleurs AJAX permet d’outrepasser la protection inter-domaines offerte par les navigateurs.

 Bien que de nouvelles failles émergent avec le Web 2.0, les applications Web sont toujours vulnérables aux failles les plus anciennes. Cela démontre que le comportement des développeurs n’a pas changé. Pressés par des contraintes de temps, ils ne font pas l’effort d’appliquer quelques règles de bases qui permettent de se défendre contre les attaques les plus dangereuses.

Perspectives

 2012 va marquer l’arrivée de nouveaux standards : HTML 5 et CSS 3. Leur objectif est de combler les lacunes de leurs prédécesseurs utilisés depuis bientôt quinze ans. Les développeurs espèrent qu’avec ces nouvelles versions, l’utilisation de JavaScript diminue, allégeant ainsi le code des applications Web et diminuant par la même occasion le nombre des vulnérabilités. Le coût de mise à jour des applications Web actuelles risque de freiner l’adoption de ces nouvelles normes. Les organismes de sécurité devront également s’impliquer pour mettre à disposition des développeurs de nouvelles bonnes pratiques.

 

Retour vers le haut de la page   PDF
Article précédent Page d'accueil Article suivant
< Audit Sommaire | Bibliographie >

 

Guillaume HARRY
Envoyer un courriel

 

Contenu sous licence Creative Commons CC-BY-NC-ND


ARESU
Direction des Systèmes d'Information du CNRS

358 rue P.-G. de Gennes
31676 LABEGE Cedex

Bâtiment 1,
1 Place Aristide Briand
92195 MEUDON Cedex



 

 

Direction des Systèmes d'Information

Pôle ARESU

Accueil Imprimer Plan du site Credits