Hacking éthique : Les entreprises ont déboursé 23,5 millions de dollars en un an
ven, 30/10/2020 - 19:14
En ces temps incertains, la cyber sécurité est plus que jamais une priorité. Les enjeux sont de taille, notamment en matière de risque de fuite de données résultant d’une plus grande dépendance à la technologie. Si la situation semble critique, tous les types de vulnérabilités les plus récents ont en commun d’avoir été signalés par des hackers éthiques, reconnus pour leur capacité à se mettre à la place des attaquants, selon la late-forme HackerOne.
"Cette année les entreprises du monde entier n’ont eu d’autre choix que d'accélérer leur transformation numérique”, a déclaré Miju Han, directrice Product Management chez HackerOne. "Les entreprises ont redoublé d’efforts pour trouver de nouvelles sources de revenus, en créant ou en adaptant des offres numériques pour répondre aux nouveaux besoins de leurs clients. Des dizaines de millions d’employés ont dû recourir au travail à distance sans forcément avoir été préparés. Face à l'accélération de la transformation numérique, les DSI ont dû rapidement répondre à de nouveaux besoins tout en assurant la sécurité de leurs systèmes informatiques. Pour relever ces défis, ils ont pu réévaluer leur approche de la sécurité collaborative. Le recours aux hackers éthiques s’est ainsi accentué ces derniers mois, s’imposant comme une solution agile qui permet d’optimiser les ressources et est plus facilement justifiable en cas de budgets restreints", ajoute-t-elle.
La plateforme HackerOne héberge une base de données de vulnérabilités réputée. Sa communauté de hackers a déjà permis de détecter plus de 200 000 vulnérabilités, dont l’analyse a permis de dresser le Top 10 des vulnérabilités les plus critiques et les plus récompensées.
Voici le top 10 des vulnérabilités les plus critiques en 2020 :
- Cross-site Scripting (XSS)
- Accès non autorisé (Improper Access Control)
- Divulgation d'informations
- Falsification de requêtes côté serveur (SSRF)
- Référence directe d'objet non sécurisé (IDOR)
- Escalade des privilèges
- Injection SQL
- Authentication incorrecte
- Injection de code
- Falsification de requête inter-site (CSRF)
En examinant de plus près les 10 premières vulnérabilités de cette année et en les comparant à celles de 2019, il ressort que :
- Les vulnérabilités de type Cross-site Scripting (XSS) restent une menace majeure pour les applications web, car les attaquants exploitant les attaques XSS peuvent prendre le contrôle du compte de l'utilisateur et dérober des informations personnelles telles que les mots de passe, les numéros de compte bancaire, les informations relatives aux cartes de crédit, les informations d'identification personnelle (IIP), les numéros de sécurité sociale, etc. Les vulnérabilités XSS figurent parmi les plus récompensées depuis deux ans, et ont coûté aux entreprises un total de 4,2 millions $, soit une augmentation de 26 % en un an. Si ces bugs représentent 18 % des vulnérabilités signalées, la récompense moyenne n’est que de 501 $. Quand on sait que la prime moyenne pour une vulnérabilité critique s’élève généralement à 3 650 $, on en déduit que les entreprises parviennent à atténuer ce risque majeur de manière très rentable.
- Le contrôle d'accès non autorisé (en hausse de 9 places par rapport à 2019) et la divulgation d'informations (toujours en troisième position) restent des vulnérabilités très fréquentes. Le volume de récompenses pour le contrôle d'accès non autorisé a augmenté de 134 % en un an, atteignant un peu plus de 4 millions $. La divulgation d'informations n'est pas loin derrière, avec une augmentation annuelle de 63 %. Les décisions relatives au contrôle d'accès doivent être prises par des humains, car le risque d'erreurs étant élevé, il est quasiment impossible que ces deux types de vulnérabilités puissent être détectés à l'aide d'outils automatisés.
- Les falsifications de requêtes côté serveur (SSRF), qui peuvent être exploitées pour cibler les systèmes internes derrière les pares-feux, confirme que la migration vers le cloud comporte des risques. Situés l’an dernier à la septième place du classement, les bugs SSRF étaient jusqu’à présent relativement bénins car ils étaient uniquement utilisés pour l'analyse du réseau interne avec parfois un accès aux consoles d'administration internes. Désormais, l'avènement de modèles cloud et de points d’entrée non protégés rend ces vulnérabilités de plus en plus critiques.
- La faille SQLi / Injection SQL recule chaque année. Considérée par OWASP et d’autres comme l’une des menaces les plus dangereuses pour les applications web, elle n’occupe plus que la septième place du classement en 2020.
Source : hackerone.com