Chaque jour, des millions d’utilisateurs ont recours aux applications Java sans être conscients que 88% d’entre elles sont vulnérables aux cyberattaques !
Vous utilisez java ? Êtes-vous comme 28% des entreprises qui ont mis en place une stratégie de supervision des failles de sécurité efficace pour faire face à des attaques de grande ampleur ? CA Technologies a présenté les résultats de sa derniére étude baptisée « Rapport sur la Sécurité des Logiciels en 2017 ». Une étude réalisée par Veracode, sa filiale spécialisée dans la sécurisation des logiciels.
Ce rapport est une analyse complète de données collectées auprès de plus de 1 400 entreprises en matière de sécurité des applications. Les conclusions de l’étude sont inquiétantes en ce qui concerne les délais de correction des vulnérabilités, les pourcentages d’applications présentant des failles et les risques mniprésents liés à l’utilisation de composants open source vulnérables.
A une époque où les cyberattaques sont devenues monnaie courante (vol de données sensibles, piratage industriel, ransomware, … etc.), l’analyse fournie par Veracode démontre que, sur le terrain, les principes basiques de sécurité ne sont pas respectés. Il est donc urgent que les entreprises aient consciences des mesures nécessaires pour hausser leur niveau de sécurité, face à des hackers dont la force de frappe n’est plus à démontrer.
88% des applications Java seraient dangereuses
Chris Wysopal, Directeur Technique de CA Veracode, explique : « En raison de l’utilisation généralisée de composants exogènes par les développeurs pour coder, une seule vulnérabilité peut suffire pour mettre en danger des milliers d’applications différentes. » 88% des applications Java contiendraient au moins un composant les exposant à des attaques de grande ampleur. Tout ceci est en partie dû au fait que moins de 28% des entreprises mènent régulièrement des analyses pour analyser la fiabilité des composants d’une application.
Outre des informations concernant la menace posée par l’utilisation de composants à risque, ce rapport met également en lumière d’autres enseignements comme le fait que 77% des applications présentent au moins une faille dès la première analyse. Ce nombre progresse à un rythme alarmant pour les applications qui échappent à un test avant leur mise en production. Les institutions gouvernementales continuent à se montrer les moins performantes. Seules 24,7% d’entre elles réussissent tous les scans de sécurité applicative. Par ailleurs, elles présentent le plus de failles exploitables, par exemple par cross-site scripting (49%) ou encore par injection SQL (32%). Deux secteurs enregistrent de légères progressions entre la première et la dernière analyse des vulnérabilités de leurs applications : la santé affiche un taux de réussite au scan de sécurité de 27,6%, puis de 30,2 % ; et la grande distribution : 26,2 % puis 28,5 %.
Les raisons de ces failles majeures
Au cours des 12 derniers mois, plusieurs failles majeures au sein des applications Java ont été provoquées par des vulnérabilités de composants logiciels, qu’ils soient d’origine open source ou de suites commerciales. « Struts-Shock », une faille révélée en mars 2017, en est une illustration. Selon les résultats des analyses, plusieurs semaines après l’attaque initiale, 68% des applications Java s’appuyant sur la bibliothèque Apache Struts 2 utilisaient toujours une version à risque du composant.
Cette vulnérabilité permettait d’exécuter du code à distance grâce à l’injection de commandes, et quelque 35 millions de sites étaient concernés. En exploitant cette faille, les cybercriminels ont pu pirater les applications de nombreuses victimes, dont l’Agence du Revenu du Canada et l’Université du Delaware.
Le rapport révèle également qu’environ 53,3 % des applications Java s’appuient sur une version vulnérable de la bibliothèque Commons Collections ; un chiffre identique aux résultats trouvés en 2016. L’utilisation de composants tiers pour le développement d’applications est courant, car il permet aux développeurs de réutiliser du code fonctionnel et d’accélérer la conception de logiciels. Des études ont montré que les composants open source pouvaient même constituer jusqu’à 75% du code d’un logiciel.
Industrialisation des cyberattaques : une réalité méconnue
Pour Chris Wysopal, les équipes de développement ne cesseront pas d’utiliser de tels composants, et il n’y a pas de raison qu’elles le fassent. Cependant, en cas de vulnérabilités, le temps presse. Les composants tiers et open source ne sont pas forcément moins sécurisés que du code développé en interne. Il est donc important de conserver un inventaire de leurs versions à jour. En effet, un grand nombre de failles sont le résultat de composants vulnérables. Et à moins que les entreprises ne prennent cette menace plus sérieusement et s’appuient sur des outils adaptés pour superviser leur utilisation, le problème ne peut qu’empirer.
L’utilisation de composants à risque fait partie des tendances les plus marquantes de ce rapport. L’ambiguïté réside dans le fait que bon nombre d’entreprises donnent la priorité à la gestion des vulnérabilités les plus dangereuses sans pour autant résoudre les problèmes au niveau du développement de leurs applications de façon efficace. Même les failles les plus graves nécessitent un temps considérable pour être corrigées. Seules 22 % des failles les plus sévères sont corrigées sous 30 jours et la plupart des criminels en profitent dès leur identification. Les pirates ont donc largement assez de temps pour infiltrer un réseau donné et occasionner des dégâts parfois irréversibles.
Le rapport donne 5 conseils à suivre
Tester le plus tôt possible dans le cycle de développement et le plus souvent possible ;
Donner aux développeurs les informations et les ressources dont ils ont besoin, notamment pour leur formation continue et les procédures de remédiation ;
Respecter les procédures de remédiations scrupuleusement et immédiatement après avoir découvert les vulnérabilités ;
Identifier et documenter les versions de vos composants logiciels, en limitant l’utilisation de composants à risques ;
Cibler en priorité les applications critiques et les vulnérabilités les plus virulentes lors des mesures de remédiation. Dans ces phases de crises, c’est souvent la seule possibilité en fonction de vos ressources.
En conclusion, il est urgent de réagir et d’agir rapidement, faute de quoi les entreprises, tout comme les organismes publics, verront leur notoriété mise à mal et perdront la confiance de leurs clients et utilisateurs. En laissant la porte ouverte à la cybercriminalité, elles ne feront qu’encourager des pratiques aussi nuisibles que dangereuses, aujourd’hui le danger ne vient plus de pirates isolés mais de réseaux organisés à l’échelle mondiale, à l’affût de la moindre faille de sécurité.