Open Worldwide Application Security Project
Open Web Application Security Project (OWASP), désormais Open Worldwide Application Security Project[1], est une communauté en ligne travaillant sur la sécurité des applications Web. Sa philosophie est d'être à la fois libre et ouverte à tous. Elle a pour vocation de publier des recommandations de sécurisation Web et de proposer aux internautes, administrateurs et entreprises des méthodes et outils de référence permettant de contrôler le niveau de sécurisation de ses applications Web.
La fondation OWASP est une organisation caritative enregistrée 501(c)(3) aux États-Unis depuis 2004 et enregistrée en Europe depuis en tant qu’organisation à but non lucratif qui prend en charge les infrastructures et projets OWASP. OWASP est aujourd'hui reconnue dans le monde de la sécurité des systèmes d'information pour ses travaux et recommandations liées aux applications Web.
Historique
modifierOWASP est créé par Mark Curphey le . Jeff Williams est nommé président bénévole de la fin de l’année 2003 à septembre 2011. Tobias Gondrom lui succède. Avi Douglen en assume la fonction pour un mandat de deux années courant jusqu’au 31 décembre 2025[2].
La communauté OWASP est fondée quatre mois avant la publication du mémo « Trustworthy computing » par Bill Gates, lequel souligne la nécessité, avec la plus haute priorité, d’avoir des systèmes informatiques sécurisés et fiables. Elle se donne pour objectif de fournir des éléments, informations et solutions, aux développeurs afin que ces derniers puissent prendre des décisions en matière de sécurisation de leurs applications web[3].
Projets
modifierLes projets les plus connus sont présentés ci-après.
Top 10 de OWASP (OWASP Top Ten)
modifierLe projet OWASP Top Ten a pour but de fournir une liste des dix risques de sécurité les plus critiques dans les applications web afin d'y sensibiliser les développeurs web. Il repose principalement sur l’analyse en fréquences des vulnérabilités rapportées, en l’occurrence via les bulletins de sécurité des CSIRT et sur la base des CVE, et sur un consensus entre professionnels de la sécurité.
Le classement établi fait référence aujourd'hui dans le domaine de la sécurité. Il est cité par de nombreux organismes d’audits et de sécurisation des systèmes d’information (DoD, PCI Security Standard).
La première liste est publiée en 2003[4]. OWASP a renouvelé cette liste en 2010, 2013, 2017 et 2021. La dernière mise à jour publiée est disponible sur le site web officiel dédié à OWASP Top Ten[5].
Version de 2017
modifierEn 2017, les dix failles les plus dangereuses identifiées par OWASP étaient les suivantes[6]:
- Injection : cela correspond à l'injection de code dans les applications web (exemple typique : injection SQL ou dans l'interface système). Les attaquants cherchent à entrer des données de façon qu'elles soient interprétées comme une commande, leur permettant ainsi d'effectuer des actions non désirées.
- Broken authentification : cela correspond à une mauvaise gestion de l’authentification et de la session, que les attaquants peuvent exploiter pour récupérer mots de passe, clés, jetons de session, ou pour usurper l'identité d'un autre utilisateur.
- Sensitive data exposure : cela correspond à une mauvaise protection des données sensibles (comme les données personnelles). Ces dernières sont collectées par les attaquants pour effectuer des usurpations d'identité, pour commettre des vols de cartes de paiement ou d’autres méfaits.
- XML external entities (en) : les interpréteurs XML obsolètes ou mal configurés évaluent les entités externes déclarées dans un fichier XML. Or ces entités peuvent être utilisées pour accéder à des fichiers, analyser des ports ou exécuter du code à distance.
- Broken access control : il s'agit de défauts dans la gestion des droits d'accès, permettant aux attaquants d'activer des fonctionnalités qui ne leur sont pas normalement accessibles.
- Security misconfiguration : cela correspond aux failles de configuration liées aux serveurs web, applications, base de données ou frameworks.
- Cross-site scripting : abrégée aussi en XSS, cette faille concerne les sites dont une partie du contenu est produite par les utilisateurs (médias sociaux notamment). Si le site ne vérifie pas les éditions des utilisateurs, des attaquants peuvent écrire du code malveillant dans une publication, lequel sera exécuté par un autre utilisateur à son insu, permettant ainsi le vol de sa session ou sa redirection vers un site frauduleux.
- Insecure data deserialization : Une dé-sérialisation (conversion d'une chaîne de caractères en objets) non sécurisée peut permettre à un attaquant d'insérer ses propres objets et parfois son propre code malveillant dans une application.
- Using components with known vulnerabilities : cela correspond aux failles liées à l’utilisation de composants tiers.
- Insufficient logging and monitoring : la plupart des études de brèches de sécurité indiquent que la durée entre le début de l’exploitation et la découverte de ces brèches dépasse souvent 200 jours. Cela laisse largement le temps aux attaquants d’exploiter celles-ci et de perfectionner leur emprise sur le système. Les systèmes de surveillance informatique et de logging devraient être capables de détecter des activités suspectes pour émettre des alertes au plus tôt.
Il s'agit d'une plateforme de formation permettant à un utilisateur d'apprendre à exploiter les vulnérabilités les plus courantes sur une application Web.
Zed Attack Proxy
modifierLe projet OWASP Zed Attack Proxy, abrégé en ZAP, correspond à la mise au point d’un logiciel qui incorpore de nombreuses fonctionnalités utiles pour la réalisation d'audits de sécurité et qui opère en mode proxy de manière principale mais non exclusive. En plus de proposer à l'utilisateur de visualiser les requêtes échangées avec un serveur Web, ce logiciel rend possible la modification de ces requêtes ou encore l’analyse des identifiants de session.
Il s'agit d'un document de plusieurs centaines de pages destiné à aider une personne à évaluer le niveau de sécurité d'une application Web.
Il s'agit d'un document de plusieurs centaines de pages présentant une méthode de revue de code sécurité.
Par ailleurs, OWASP organise régulièrement des meetings un peu partout dans le monde. Durant ces rendez-vous, des intervenants issus du monde de la sécurité présentent un produit, une faille, un projet OWASP etc.
Notes et références
modifier- (en) Conseil d’administration de OWASP, « February 2023 Public Board / Leaders' Meeting - Dublin - Agenda/Minutes » [« Ordre du jour et compte rendu de réunion des administrateurs et responsables de chapitres en février 2023 à Dublin »] , sur OWASP.org, (consulté le )
- (en) Conseil d’administration de OWASP, « January 2024 Agenda/Minutes » [« Ordre du jour et compte rendu de la réunion de janvier 2024 »] , sur OWASP.org, (consulté le )
- (en) Mark Curphey, « The Start of OWASP – A True Story » (blog), sur SRC:CLR, (consulté le )
- Les Nouvelles.net, « Le top 10 des failles web les plus courantes » , sur Futura Sciences, (consulté le )
- (en) « OWASP Top Ten Web Application Security Risks | OWASP », sur owasp.org (consulté le )
- « OWASP Top Ten 2017 | Table of Contents | OWASP Foundation », Version web du document de OWASP présentant le Top Ten de 2017 (Voir section "2017 Top Ten" pour une description brève des vulnérabilités), sur owasp.org (consulté le )
- « OWASP WebGoat »
- « OWASP Testing Guide »
- « OWASP Code Review »