S’il y a tant de fuites de données, c’est beaucoup à cause des développeurs, selon ce rapport

D’après la Cybersecurity and Infrastructure Security Agency étasunienne, les développeurs d’applications et de sites Internet sont pour beaucoup dans la recrudescence actuelle des fuites et vols de données personnelles.

hacker-securite-ecrans
Crédit : 123rf

La CISA et son équivalent australien ont publié un rapport conjoint dans lequel ils constatent que les fuites de données personnelles sont toujours plus coûteuses et fréquentes. Selon eux, « les informations personnelles, financières et médicales de millions de personnes ont été volées par le biais d’un type particulier de vulnérabilité des sites Web », les IDOR, ou « références directes non sécurisées à un objet ». Cette faille est effectivement très courante, car à bien y regarder, c’est un schéma très courant dans le Web d’aujourd’hui.

Le CISA prend l’exemple d’un site fictif, par lequel les données personnelles d’un utilisateur sont accessibles en saisissant son identifiant dans les paramètres de la requête, dans l’adresse URL. Sous la forme, www.sitedangereux.com?id=IDENTIFIANTDELUTILISATEUR. En théorie, toute la partie après « ?id= » devrait être chiffrée, afin que personne ne connaisse le véritable identifiant de l’utilisateur. En pratique, ce n’est pas le cas, et les pirates volent des données grâce à ce petit bout d’information a priori anodin.

Selon les Etats-Unis, les développeurs sont premiers responsables des vols de données

Selon les autorités de la Cybersécurité américaine, cette faille IDOR est très fréquente. Les pirates informatiques en profitent parce qu’elles sont courantes, difficiles à prévenir en dehors du processus de développement et qu’elles peuvent être exploitées à grande échelle […] Ces failles de contrôle d’accès permettent donc aux cybercriminels de modifier, supprimer ou accéder à des données sensibles en envoyant des demandes à un site Web ou à une API en spécifiant l’identifiant d’autres utilisateurs valides. Ces demandes aboutissent lorsque les contrôles d’authentification et d’autorisation adéquats ne sont pas effectués ».

Devant l’ampleur du phénomène, le CISA demande aux éditeurs de logiciels, aux designers, et aux développeurs d’utiliser des outils automatisés d’examen du code tels que Security Copilot de Microsoft afin d’identifier les IDOR et autres vulnérabilités, mais aussi d'utiliser des références indirectes afin de ne pas exposer les identifiants des utilisateurs et autres ressources. Il est surtout demandé aux organisations de sélectionner avec soin les logiciels et services avec lesquels ils vont travailler.

Voir les commentaires
Ailleurs sur le web