Au même titre que de nombreux amateurs de vin se réjouissent de leur nouveau Beaujolais, le monde de la sécurité logicielle attend avec impatience chaque nouvelle édition du Top 10 de l'OWASP, à savoir, le référentiel des dix risques de sécurité majeurs dans les applications web.

En effet, depuis un peu plus de deux années, le Top 10 de l'OWASP est passé d'un simple document de rappel pour les analystes en sécurité à un référentiel réputé et reconnu à l'échelle mondiale comme l'une des sélections les plus représentatives des risques de sécurité que l'on rencontre dans des applications web mal protégées contre les intrusions.

Cette édition 2010 se voit également beaucoup plus ambitieuse sur le plan de son adoption: il ne s'agit plus cette fois de la faire reconnaître au sein de la communauté mais de s'assurer que tout développeur web en prenne connaissance.

Après plus de trois mois de débats internes au sein de la fondation, les experts se sont finalement mis d'accord sur la sélection finale des dix risques et l'édition 2010 est dès aujourd'hui disponible en libre téléchargement sur le site officiel de l'OWASP.



A qui s'adresse le Top 10?


Le référentiel s'adresse à toute personne impliquée tant sur le plan technique que décisionnel, tout au long d'un projet d'acquisition ou de développement logiciel. Le tableau ci-après décrit les différents contextes d'utilisation du référentiel Top 10:




Quels sont les changements opérés dans la structure du Top 10?


Le document accueille essentiellement deux modifications majeures, en plus des changements effectués dans la sélection des dix risques.

Fiches métier

Plusieurs fiches métier ont été élaborées afin de satisfaire les attentes des différents acteurs au sein du cycle de développement. Ainsi, une fiche destinée aux développeurs a été élaborée, une autre destinée aux testeurs, sans oublier celle destinée à la gouvernance à l'échelle de l'organisation. Chacun devrait donc y trouver son compte, en disposant d'instructions sur la façon d'utiliser le référentiel.


Approche centrée sur le risque

Par opposition à l'édition 2007, dont la liste des failles a été triée et sélectionnée en se basant sur leur distribution quantitative, l'édition 2010 se concentre sur une approche orientée risque. Ainsi, chaque risque a été sélectionné puis classé selon sa facilité d'exploitation et de détection au sein des applications, sa présence statistique ainsi que son impact technique.

Chacune des dix fiches est ainsi prévue pour accueillir un quatrième attribut, à savoir, l'impact sur l'activité (business impact).


Quels sont les nouveaux éléments de la sélection du Top 10?


Le tableau ci-après récapitule les nouveautés de la version 2010 par rapport à sa version précédente:




Eléments retirés

En premier lieu, la classe A3 "Injection et exécution de fichiers hostiles" a été retirée. La version 2007 effectuait une distinction claire entre cette forme de risque et le risque plus générique d'injection côté-serveur. Dans la version 2010, toutes les variantes d'injection côté-serveur ont été regroupées au sein d'un risque générique, la classe A1.

La classe A6 "Traitement défectueux des erreurs et fuite d'informations" a elle aussi été retirée. Elle n'a pas disparu du classement, à proprement parler, car ce risque constitue une sous-catégorie de failles de la nouvelle classe A6 "Configuration de sécurité défaillante", qui inclut les notions de configuration sécurisée des applications et des couches inférieures, y compris le traitement des erreurs.

D'un point de vue purement technique, nous n'avons pas de suppression d'éléments mais simplement des regroupements au sein de catégories plus larges, ce qui a essentiellement permis la libération de deux emplacements dans la sélection.


Eléments ajoutés

Le premier élément ajouté à la sélection est la classe A6 "Configuration de sécurité défaillante." Il s'agit d'un risque fourre-tout (au même titre que A1, A3 et A7) regroupant toutes les mauvaises pratiques dites de configuration de la sécurité, qu'il s'agisse de l'application elle-même (complexité de mots de passes, comptes par défaut, extensions approuvées, etc.) ou des couches inférieures (la configuration du serveur web, du serveur d'applications, du système d'exploitation, et du réseau).

Le second élément ajouté est la classe A10 "Fonctions de redirection et de transfert non sécurisées." Cette classe de risque considère toutes les techniques d'exploitation des fonctions redirigeant le navigateur d'une manière ou d'une autre, soit à l'interne de l'application (transferts), soit à l'externe (redirecteurs).


Comment obtenir le Top 10?


Le Top 10 est disponible au format PDF en libre téléchargement. Il est édité et publié en Anglais, la traduction dans les différentes langues supportées par l'OWASP (Français, Espagnol, Japonais) est actuellement en cours par les chapitres OWASP régionaux.

Lien de téléchargement: OWASP Top 10 Web Application Security Risks – version 2010
(le site OWASP subit depuis ce matin une forte charge, de gros ralentissements ne sont pas à exclure)