Le Top 10 des vulnérabilités informatiques les plus fréquentes selon le rapport HackerOne 2021

Par:
fredericmazue

mer, 07/04/2021 - 14:36

Dans le cadre de son rapport annuel de tendances sur la cybersécurité collaborative, HackerOne a établi le classement des 10 vulnérabilités informatiques les plus couramment détectées par les hackers de son écosystème, dans le cadre de programmes de bug bounty initiés à travers le monde en 2020.

Ce classement a été réalisé sur la base de plus de 50 000 vulnérabilités signalées en 2020, un chiffre en augmentation de 63 % par rapport à 2019 selon le Hacker Report 2021.

En examinant de plus près ce classement, il ressort que :

  • Toutes les vulnérabilités du Top 10 sont en hausse
  • La divulgation d'informations est la vulnérabilité qui a le plus progressé (+65 %)
  • Les vulnérabilités de type Cross-site Scripting (XSS) restent une menace majeure pour les applications web, car les attaquants peuvent prendre le contrôle du compte de l'utilisateur et dérober des informations personnelles telles que mots de passe, lnuméros de compte bancaire, de cartes de crédit, informations d'identification personnelle (IIP), numéros de sécurité sociale, etc.
  • Bien qu'ils ne fassent pas encore partie du top 10 des vulnérabilités signalées, les rapports relatifs à une mauvaise configuration, résultant certainement d’une migration précipitée vers le cloud dans le cadre de la pandémie, ont augmenté de 310 %.
  • Les meilleurs hackers signalent en moyenne 20 types de vulnérabilités différentes.
  • Les hackers éthiques deviennent plus agiles, ils mettent désormais 16 jours en moyenne pour signaler leur premier bug après leur inscription sur la plateforme contre 148 jours en 2019
  • 49% des hackers pensent que la surface d’attaque se « durcit », car les vulnérabilités les plus faibles sont désormais plus rapidement découvertes et corrigées.
  • Bien que 26% des hackers admettent qu'il devient plus difficile de trouver des failles, 45 % disent en avoir trouvé au cours des 12 derniers mois alors qu'ils n'en avaient pas trouvé auparavant.

Déjà en hausse de 49% sur l’année 2020 (6ème du classement), la faille IDOR pour Insecure Direct Object Reference semble affoler les compteurs en ce début d’année 2021, et a fait l’objet il y a quelques jours d’un billet de blog spécifique sur le site HackerOne.

On y apprend notamment que :

  • Les experts HackerOne ont enregistré une forte hausse du nombre d’attaques exploitant ce type de faille, corrélée à une hausse des primes récompensant les hackers.
  • En mars 2021, les hackers ont en effet touché plus de 487,000 $ de primes pour avoir détecté ce type de faille, contre 220 000 $ en février et 142 000$ en janvier
  • Cela représente une hausse de 121% des primes sur la détection de failles IDOR entre février et mars 2021
  • Dans 15 % des cas, IDOR représente la motivation principale des entreprises à initier un programme de bug bounty pour les secteurs de la grande distribution et du E-commerce.
  • IDOR représente la principale vulnérabilité des programmes initiés par les secteurs du gouvernement (18 %), de la santé (36 %) et des services professionnels (31 %).

Ce type de faille est particulièrement redoutable car une fois exploitée, il peut permettre aux cyberattaquants d'accéder à des données sensibles ou à des mots de passe.