Journal du Net > Développeur  > Algorithme et modélisation >  Client Web > Sebastien Gioria (OWASP)
Interview
 
06/11/2007

Sebastien Gioria (OWASP) : "Les failles les plus courantes sont de type Cross Site Scripting ou XSS"

Le porte-parole du chapitre français de l'OWASP, dédié à la sécurité des applications Web, insiste sur l'importance de sécuriser les développements, et sur le rôle de la sensibilisation.
  Envoyer Imprimer  

 
Sebastien Gioria (OWASP)
 
 
 

De qui se compose l'OWASP et quelles sont ses missions ?

Le domaine d'intervention de l'Open Web Application Security Project est la sécurité applicative, et plus particulièrement les applications orientées Web. Il s'agit d'un regroupement d'experts de la sécurité en générale et de la sécurité applicative plus spécifiquement.

Lancée principalement aux Etats-Unis il y a 4 à 5 ans, la communauté est majoritairement anglo-saxonne, comme pour beaucoup de projets de cette nature. Néanmoins la communauté francophone occupe une place importante grâce à des pays comme le Canada et la France.

Le but que l'OWASP s'est fixé est de mettre à disposition d'une communauté un ensemble d'outils, de documents, de recommandations permettant de sécuriser les applications, voire également d'auditer celles-ci, contre tout ce qui est faille de sécurité. La majeure partie de la documentation est en anglais, mais nous travaillons en France à sa traduction. Nous espérons ainsi prochainement proposer un guide, le Top 10, qui est le document de référence listant les 10 vulnérabilités les plus courantes de l'année 2007.

Quelle est la finalité de ce guide ?

Nous y abordons les failles les plus courantes et proposons des recommandations pour s'en protéger, et ce dans plusieurs langages de programmation. Cette documentation méthodologique se destine aux professionnels de la sécurité ainsi qu'aux développeurs d'applications Web.

Le but au travers de ce Top 10 est de promouvoir un guide des meilleures pratiques, mais aussi de jouer un rôle en matière de sensibilisation. Ce classement des vulnérabilités est toutefois un condensé. L'OWASP met également à disposition un guide plus complet et détaillé de 300 pages, désormais en version 3. Il peut constituer un référentiel pour les départements sécurité des entreprises.

"La composante sécurité demeure faible dans les cursus de formation"

Quelles réponses apportez-vous plus spécifiquement aux développeurs ?

Les guides peuvent leur fournir des bonnes pratiques, des réponses concrètes à des situations de programmation comme en Java, en Ajax, etc. Ce n'est donc pas uniquement orienté auditeurs, puisque les guides fourniront aussi des informations aux chefs de projets et aux développeurs afin que l'ensemble de la chaîne de création des applications soit sensibilisé.

Ce Top 10 des vulnérabilités consacre quelles familles de failles en 2007 ?

Les plus courantes, en première position donc, sont les failles de type Cross Site Scripting ou XSS. Viennent ensuite les vulnérabilités d'injection, SQL, LDAP, etc. En troisième position, l'exécution de fichiers, de codes malicieux. En quatrième, l'accès à des objets par référence indirecte, c'est-à-dire le fait de pouvoir accéder à des données du code sans en avoir en principe le droit.

En cinq, on trouve les failles en Cross Site Request Forgery. En six, les divulgations d'information, notamment suite à l'affichage de pages d'erreur. Il s'agit typiquement d'erreurs simples à corriger pour les développeurs. En septième position, vous avez tout ce qui touche à la gestion des sessions, comme des vulnérabilités permettant de bypasser l'authentification, ou des mots de passe restés par défaut en admin / admin.

En huit, ce sont les problèmes touchant au stockage de données sensibles, comme par exemple le fait de ne pas les chiffrer. Neuvième, le fait de ne pas chiffrer les sessions ou le transit d'informations sensibles. Un numéro de carte bleue sera au moins chiffré en SSL V3 128 bits par exemple. Et enfin en dix, ce sont des erreurs consistant à ne pas restreindre l'accès à certaines URL ou typiquement à laisser des fichiers php.info ou d'autres CGI Apache visibles dans le cas de serveurs Web.

Pensez-vous que la formation initiale des développeurs intègre suffisamment la variable sécurité ?

Non, je ne pense pas. Au sein des écoles, cela semble pourtant indispensable. La priorité est de former des développeurs capables de programmer vite et bien, mais la composante sécurité n'y est pas très forte.

"Des entreprises pensent qu'en disposant d'un boîtier UTM , elles sont à l'abri"

Du temps y est consacré, mais il reste insuffisant pour véritablement les sensibiliser et les former. Il s'agit en grande partie d'un problème de temps disponible selon moi. Les développeurs doivent déjà se former à la maitrise de plusieurs langages de programmation, et la sécurité n'est pas une chose qui peut être appréhendée en seulement quelques heures.

La formation continue pourrait-elle pallier ses lacunes des développeurs ?

Formateur auprès d'organismes de formation, je m'aperçois que les formations s'enrichissent de plus en plus. J'ai bon espoir que ces établissements proposent dans un avenir proche des sessions dédiées à la sécurité applicative.

Au sein de l'OWASP, au travers du projet WebGoat, nous proposons aux développeurs d'accéder au code source d'une application Web en Java volontairement développée de manière non sécurisée. Le but est de les aider à comprendre et à pratiquer ses problématiques de sécurité en consultant le code et la quarantaine d'explications l'accompagnant.

Les entreprises vous semblent-elles désormais plus attentives aux questions de sécurité applicative ?

Il reste encore beaucoup d'efforts à faire. Si dans le domaine de l'Open Source, on a été très tôt été sensibilisé à la sécurité, pour beaucoup de sociétés, on en est parfois resté au niveau du développement en mode client serveur.

Au fur et à mesure, tout en gardant ses vieux systèmes, elles ont ajouté une interface Web mais sans prendre en compte la dimension sécurité. Des entreprises pensent aussi qu'en disposant d'un boîtier UTM en coupure, elles sont à l'abri de l'exploitation des failles applicatives. Néanmoins, la sensibilisation sur ces problématiques progresse pas à pas. La couche 3, réseau, a été sécurisée et on remonte vers la couche applicative.

Du 12 au 15 novembre va d'ailleurs se tenir à San Jose la conférence AppSec 2007. A l'image de la Black Hat y seront proposés des trainings orientés sécurité applicative sur plusieurs thèmes, dont notamment le développement en Java, en .Net, les Web Services et les méthodes pour créer et tester des applications sécurisées.

 
En savoir plus
 
 
 

En Mai dernier, l'AppSec se déroulait en Europe, en Italie. Lors de l'Infosecurity, le 22 novembre, l'OWASP interviendra sur cette problématique de la sécurité applicative dans le cadre d'une table ronde sur l'e-administration. Le gouvernement a en effet affiché sa volonté de porter sur Internet un grand nombre d'opérations administratives.

Cela traduit une prise de conscience. De plus en plus d'entreprises ont des applications qu'elles doivent ouvrir, notamment à des partenaires. Elles s'interrogent par conséquent sur la sécurité de ces applications Web et sur la façon dont elles peuvent sécuriser les flux d'information.

 

 


JDN Développeur Envoyer Imprimer Haut de page

Sondage

Adobe parviendra-t-il à percer avec sa nouvelle suite de création Web Edge ?

Tous les sondages