80% des vulnérabilités sur les Apps sont de notre faute
HP a publié son rapport Cyber Risk 2013. Pour lui, les risques de sécurité résultent davantage d'erreurs de configurations plutôt que de failles dans l'application elle-même.
Soyons clairs, il n'existe pas de phénomène tel que l'invulnérable à la demande. Certains ont des vulnérabilités plus critiques que d'autres que nous avons découvertes cette semaine avec le bug Heartbleed, mais n'importe quelle application peut être exploitée par un attaquant dédié. Selon le rapport de Cyber Risk HP 2013, l'application elle-même n'est pas à blâmer, pour la plupart des vulnérabilités c'est vous l'utilisateur qui êtes en cause.
Les données compilées à partir de 2200 applications numérisées par HP Fortify on Demand et différents rapports de vulnérabilité montrent que 80% des vulnérabilités découvertes n'étaient pas la faute du code de l'application elle-même. «Beaucoup de vulnérabilités sont liées à une mauvaise configuration du serveur, à des paramètres du fichier inappropriées, au contenu de l'échantillon, aux différentes versions des logiciels devenues obsolètes et à d'autres éléments liés au déploiement de l'insécurité», indique le rapport.
Sur le même sujetLes RSSI devraient améliorer leurs positions hiérarchiquesHP a enquêté sur 180 Apps iOS ou Android
On ne peut donc que le répéter : 80% des vulnérabilités ont été identifiées essentiellement par HP comme venant d'erreurs de l'utilisateur. HP a enquêté sur 180 Apps iOS ou Android avec Fortify on Demand et a trouvé que près de la moitié d''entre elles laissent passer des données et des renseignements personnels à risque. Les plates-formes iOS et Android ont des capacités de chiffrement, mais si les développeurs d'applications ne les intègrent pas dans les applications correctement, le cryptage ne peut pas protéger ces données sur le terminal.
La même enquête a été menée dans le passé en ce qui concerne la sécurité et la vie privée sur les réseaux sociaux comme Facebook . Il y a une perception négative de la vie privée sur les réseaux sociaux, mais la réalité est faite par Facebook, Google, Twitter et d'autres qui offrent de vastes contrôles de sécurité et mettent le pouvoir entre les mains des utilisateurs, mais la plupart de ces utilisateurs ne prennent jamais le temps d'examiner et de configurer les paramètres de confidentialité disponibles.
L'utilisateur est le maillon faible
Ce rapport est donc une façon différente d'illustrer le fait que l'utilisateur est le maillon faible de la chaîne de sécurité, même lorsqu'il est en fait l'administrateur responsable de la configuration du serveur informatique. Peu importe comment est sécurisé le système d'ex-ploitation ou l'application, l'essentiel c'est qu'il peut être sous exploité par un utilisateur et donc être exposé à des risques de façon incorrecte.
Dans son rapport Cyber Risk 2013 cependant, HP a laissé à place à quelques bonnes nou-velles. Il semble suggérer que les pratiques de développement sécurisées ont de l'impact. Il y avait par exemple une baisse du nombre de vulnérabilités de gravité élevée pour la qua-trième année consécutive. Mais HP souligne aussi que le nombre d'attaques possible s'élargit. Entre BYOD, révolution mobile, internet des objets, les attaquants ont beaucoup plus d'options disponibles que de simplement cibler un serveur ou un PC de bureau. Enfin, selon le rapport, la question des applications malveillantes sur les appareils mobiles est un défi car il n'y a pas de définition convenue de ce qui est considéré comme des logiciels malveillants mobiles.
