Les 3 outils OWASP pour améliorer la sécurité de votre code

OWASP

0  commentaires

Chez AppSec Academy, nous savons que les failles applicatives sont aujourd’hui les principales sources d’infections et de piratages. C’est pour cela que nous nous sommes donné la mission de vous guider pas à pas dans la sécurisation de vos « assets » applicatifs.

Dans cet article, nous nous penchons sur le cas des développeurs en partageant nos « quick-wins » permettant d’améliorer la sécurité de leurs applications via des actions simples, rapides et efficaces à mettre en œuvre.

1)  Comment bien débuter ? L’OWASP pour structurer vos objectifs de sécurisation.

En tant que développeur, vous devez impérativement vous soucier de la qualité et de la sécurité de votre code. En effet, la sécurité de vos applications, ainsi que les données sensibles manipulées par celles-ci, représentent un enjeu critique pour vous (et votre entreprise).

Pour vous améliorer dans cette tâche, il vous faut commencer par choisir un référentiel. Et ce référentiel, ce sera l’OWASP. Si vous ne connaissez pas cette dernière, l’OWASP est une communauté en ligne référente dans le domaine de la sécurité applicative. Elle existe depuis plus de 15 ans et elle fournit des documents, des outils et des standards en matière de sécurité applicative. Tout cela, gratuitement

Leur projet le plus connu est le TOP 10 de l’OWASP qui liste les 10 familles de vulnérabilités les plus critiques que l’on peut retrouver sur Internet. Ce classement fait aujourd’hui référence dans le domaine de la sécurité applicative. Il est même cité par de nombreux organismes d’audits et de sécurisation des systèmes d’information tel que PCI-DSS (cf. la norme de sécurité de l’industrie des cartes de paiement).

Ce classement est mis à jour tous les 3 / 4 ans et depuis plus de 10 ans, on y retrouve malheureusement les mêmes vulnérabilités. Ces vulnérabilités changent seulement d’ordre ou sont regroupées dans une même famille de vulnérabilité pour laisser de la place aux nouvelles failles.

Ce classement peut faire office de checklist pour définir les attaques contre lesquelles vous (et votre entreprise) devez impérativement protéger vos applications.

Il existe de nombreuses autres ressources de qualité sur le wiki de l’OWASP (www.owasp.org).

Vous n’aurez probablement pas le temps de tout vous approprier et c’est pour cette raison qu’AppSec Academy souhaite vous proposer une démarche simple et rapide à mettre en œuvre basée sur un ensemble de ressources clés de l’OWASP.

2) Comment mettre en place une première couche de sécurité et freiner les attaquants ?

Vous pouvez commencer par télécharger le « Code Review guide » de l’OWASP. Ce document vous permettra de comprendre l’ensemble des familles de vulnérabilités qui composent le TOP 10 de l’OWASP avec des exemples de code et la liste des axes de remédiation à adopter pour protéger votre code efficacement contre chacune de ses failles.

Ensuite, vous pouvez installer l’outil « OWASP ZAP ». Ce scanner de vulnérabilité gratuit développé par l’OWASP, vous permettra de scanner vos développements et de corriger les failles les plus évidentes.

En effet, il est très important de comprendre ici que si vous êtes en capacité de trouver des failles avec ce type d’outil, d’autres personnes moins bien intentionnées pourraient en faire autant.

Votre but est donc de proposer une première couche de sécurité à vos applications en veillant à ce que ce type d’outil ne trouve rien sur votre site, ce qui découragera une grande partie des attaquants qui pourraient s’attaquer à l’une de vos applications.

Une analogie entre un attaquant et un cambrioleur peut être faite. Si ce dernier voit une porte blindée, il préférera tenter de s’introduire dans une maison qui dispose d’un accès plus fragile, comme une maison avec une porte en bois. Et cela vaut pour tous les cambrioleurs, quel que soit leur niveau. La porte blindée peut être forcée – rien ne résiste à un cambrioleur compétant et disposant de temps – mais elle nécessitera plus de temps de travail et exposera notre personne malveillante à la possibilité de se faire identifier par un voisin (ou un passant) et à laisser le temps à la police d’intervenir sur les lieux. Pour la porte en bois, un coup de pied bien placé suffira très probablement à éliminer le problème…

L’approche la plus didactique qu’AppSec Academy peut vous proposer, consiste à utiliser le scanner de l’OWASP pour identifier les vulnérabilités qui affaiblissent la sécurité de vos applications, puis, d’utiliser le « Code Review guide » pour comprendre chacune des failles identifiées avant de les corriger.

Vous pouvez compléter cette méthodologie avec l’outil OWASP SKF (OWASP Security Knowledge Framework). Cet outil vous propose des exemples de code sécurisé pour les langages les plus connus, ce qui peut représenter une bonne source d’inspiration lors de la phase de développement.

A vous de jouer, et n’hésitez pas à partager votre expérience avec nous.

Liens en rapport avec l’article :


Tags

appsec, owasp, top10


À propos de l'auteur :

Azziz ERRIME

Anciennement responsable de l’activité sécurité applicative chez Orange Cyberdefense, Azziz dispose de 10 ans d’expérience dans le domaine de la sécurité des S.I. (tests d’intrusion, audit de code, Reverse-Engineering, Formation, etc.) et a développé un intérêt particulier pour le domaine de la sécurité applicative.

Autres articles que vous pouvez aimer ...

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>