Langages interprétés du Web : des nids à vulnérabilités

Veracode vient de publier une étude sur la sécurité des développements applicatifs Web basés sur des langages interprétés. Et le bilan n’est pas brillant.

Selon le spécialiste de la sécurité applicative, 80 % des applications écrites en PHP, ASP ou ColdFusion contiennent au moins une vulnérabilité classée dans le Top 10 de l’OWASP, le référentiel du développement sûr d’applications Web.

Dans son classement des dix plus graves vulnérabilités pour ces applications, on trouve, dans l’ordre, les injections, la violation de la gestion d’authentification et de session, le scripting inter-sites (XSS), les références directeurs non sécurisées à un objet, ou encore les défauts de configuration et l’exposition de données sensibles.

Dans un communiqué, Veracode s’inquiète car « compte tenu du volume d’applications PHP développées pour le top 3 des CMS – Wordpress, Drupal et Joomla, qui représentent plus de 70 % des CMS utilisés aujourd’hui – ces découvertes soulèvent des questions sur la vulnérabilité potentielle de millions de sites Web ».   

Ainsi, selon Veracode, 86 % des applications en PHP contiennent une vulnérabilité XSS, et, pour 56 %, au moins une permettant l’injection SQL.

Les applications ASP et ColdFusion seraient également deux fois plus sujettes à ces vulnérabilités que celles écrites avec .Net et Java. Les injections SQL et XSS n’apparaissent en effet que dans 29 % applications .Net et dans 21 % des applications Java étudiées.

Peut-être encore plus préoccupant, le risque de parcours d’arborescence est présent avec 67 % des applications PHP – 47 % des applications ASP, mais aussi 56 % des applications .Net.

Second enseignement, « peu » de développeurs d’applications mobiles « savent comment implémenter correctement » le chiffrement : 80 % des applications iOS et 87 % des applications Android ont des problèmes cryptographiques.

L’étude de prévalence des vulnérabilités selon les plateformes et les langages tend donc à questionner la qualité des développements.

Ainsi, sous Android, 90 % des applications seraient affectées par des problèmes de qualité de code et 47 % par des fuites d’informations.

Sous iOS, c’est la mauvaise gestion des erreurs qui prévaut, avec 84 % des applications concernées. Le risque de fuite d’informations reste toutefois présent dans 43 % des applications.