Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Sécurité des applications web
  3. Définition du concept de vulnérabilité
Extrait - Sécurité des applications web Stratégies offensives et défensives
Extraits du livre
Sécurité des applications web Stratégies offensives et défensives Revenir à la page d'achat du livre

Définition du concept de vulnérabilité

Qu’est-ce qu’une vulnérabilité ?

En informatique, une vulnérabilité est un défaut de sécurité dans un système, qui peut être un serveur, un logiciel de bureautique, une application web, un objet connecté, un composant matériel, etc. Ce défaut de sécurité a pour effet d’exposer ce système à des attaques potentielles permettant à un attaquant de porter atteinte au bon fonctionnement du système, d’accéder ou d’altérer les données qu’il manipule.

Toutes les vulnérabilités n’ont pas le même impact, pas la même gravité, ne s’exploitent pas de la même façon ou ne possèdent pas les mêmes prérequis d’exploitation. Il existe un nombre important de vulnérabilités tous systèmes confondus, et toutes ces vulnérabilités ne sont pas activement exploitées par des attaquants. Certaines ne sont peut-être pas assez impactantes, trop difficile à exploiter, ou ne concernent qu’un nombre trop restreint de cibles potentielles pour intéresser les cybercriminels.

Les causes de ces vulnérabilités sont variées et peuvent être multiples. Cela peut aller d’une mauvaise configuration du système laissant une porte d’entrée aux attaquants, à un correctif publié par l’éditeur...

Référentiels de vulnérabilités

Au sein d’une entreprise, les vulnérabilités peuvent émaner de différentes sources. Il peut s’agir de faiblesses présentes dans les systèmes d’exploitation des différents équipements, des logiciels installés sur ces équipements, des autres systèmes externes, mais contribuant au bon fonctionnement de l’entreprise : pare-feu, serveur proxy, répartiteur de charge, etc. L’entreprise n’est pas en mesure de corriger le code vulnérable d’un produit tiers, surtout lorsque la solution est propriétaire et dont le code source est fermé. Malgré cela, la responsabilité incombe aux équipes en charge de ces équipements d’être au fait des vulnérabilités présentes sur ces composants, et d’appliquer les correctifs fournis par les éditeurs. En cas de manquement, un attaquant sera en mesure de compromettre la sécurité de l’entreprise en exploitant une, ou plusieurs, de ces vulnérabilités. Pour cela, l’équipe peut se reposer sur un ensemble de bases de données et de référentiels permettant de rechercher les vulnérabilités impactant un produit en particulier afin de récupérer les informations nécessaires la concernant.

Ces bases de données et référentiels sont utilisés par de nombreux outils et solutions de sécurité. Que cela soit les scanners de vulnérabilités utilisés dans des phases d’audit, aux produits de sécurité plus défensifs tels que les pare-feu applicatifs, en passant par les analyseurs de composants permettant de détecter si une application utilise des bibliothèques de développement vulnérables.

1. CVE

Le dictionnaire de CVE (Common Vulnerabilities and Exposures) est un regroupement d’informations publiques relatives aux vulnérabilités de sécurité où chaque CVE représente une vulnérabilité spécifique. Elle est représentée par un identifiant unique au format CVE-AAAA-NNNNN (AAAA correspond à l’année de publication et NNNNN un identifiant). Chaque entrée...

Prioriser les corrections des vulnérabilités

Se posent donc maintenant les questions suivantes : au sein de l’entreprise, comment évaluer rapidement et de manière optimale une vulnérabilité en vue de déterminer sa priorité de correction ? Comment prioriser les vulnérabilités affectant les différents systèmes, équipements et composants ? Bien qu’il n’existe pas de solution parfaite, certains outils aident à la résolution de ces problèmes et permettent d’orienter les décisions à prendre.

1. CVSS (Common Vulnerability Scoring System)

Le système d’évaluation CVSS est un outil de mesure de la criticité des vulnérabilités qui assigne à la vulnérabilité un score de 0.0 à 10.0, où 10.0 représente le niveau de criticité le plus élevé. La version actuellement utilisée est la 3.1, elle a été publiée en juin 2019. La version 4.0, introduite en novembre 2023, devrait commencer à être utilisée prochainement par les différents acteurs de la cybersécurité.

Le score CVSS ne reflète pas la difficulté d’identifier une vulnérabilité, mais bien sa criticité lorsqu’elle est exploitée. L’exemple suivant permet d’illustrer cette différence : un panneau d’administration, disponible sur le chemin /admin que le développeur a souhaité cacher des utilisateurs afin d’éviter tout accès non autorisé (aucun lien de l’application ne pointe vers lui). Si un attaquant accède à ce chemin, il possède alors les droits d’administration sur la plateforme. La vulnérabilité n’est pas ici la « chance » de deviner ce chemin, car une fois la vulnérabilité connue et rendue publique, toute personne pourra y accéder sans aucune difficulté. Cependant, il s’agit plutôt de l’impact qu’une personne non habilitée peut avoir en accédant aux fonctions d’administration sur ce système.

a. Version 3.1

Une évaluation CVSS effectuée avec la version 3.1 se base sur trois groupes de métriques :...