Les sites Web du Cac 40 criblés de 8 500 failles critiques
Les sociétés du CAC 40 protègent-elles suffisamment leur site Web ? Ce n'est pas ce qu'indiquent les résultats des tests menés par la société HTTPCS, qui commercialise un moteur automatisant la détection des failles sur les sites Web. Selon l'éditeur, l'outil est capable de détecter les failles de type XSS (pour Cross site scripting), SQLI (SQL injection), qui sont les deux plus courantes, mais aussi celles de type TRV (Directory traversal), LFI (Local file inclusion), RFI (Remote file inclusion), PCI (PHP code injection), SCI (Shell code injection)...
Ce moteur a inspecté les sites des entreprises du CAC 40. Le résultat n'est pas très rassurant : "8 450 vulnérabilités très critiques et extrêmement critiques ont été détectées", a expliqué Boumediane Mohammed, de la société HTTPCS, au site Zataz.com, qui ne détaille cependant pas plus l'information. En général, les vulnérabilités décrites comme critiques permettent d'exécuter à distance du code arbitraire. Précision : si ce type de moteur de vulnérabilités peut généralement détecter de très nombreuses failles, il ne peut en revanche pas vérifier si elles sont réellement ou facilement exploitables, ou si les données exposées sont particulièrement sensibles. (Pour en savoir plus, notre dossier : "Tests d'intrusion : l'ultime rempart contre les pirates")