Fenris

ACTUALITÉS - CYBERSECURITÉ

Mauvaises pratiques en sécurité des produits - Ce qu’il faut savoir

Face à l’évolution rapide des cybermenaces, les logiciels représentent une composante majeure des surfaces d’attaque modernes. 

En janvier 2025, la CISA (Cybersecurity and Infrastructure Security Agency) et le FBI ont publié une mise à jour de leur guide sur les mauvaises pratiques en sécurité des produits. 

Ce document vise à aider les développeurs, éditeurs et fabricants de logiciels à éviter des erreurs critiques dans la conception, le développement et la maintenance de leurs produits.

 

Vous trouverez ci-dessous un résumé comportant certaines des recommandations les plus importantes.

Toutefois si vous souhaitez télécharger le guide complet : 

 

 

 

L'article qui suit se décompose en deux parties : une analyse technique des principales recommandations du guide, suivie d’une exploration de l'importance croissante de la sécurisation des logiciels et des menaces majeures qu'ils représentent en matière de cybersécurité. 

Pourquoi ce guide est important

Les logiciels sont au cœur des infrastructures numériques modernes. Ils pilotent des services critiques, des chaînes d'approvisionnement aux systèmes de santé. Pourtant, des vulnérabilités dans ces logiciels, souvent introduites par des erreurs de développement ou des dépendances mal gérées, exposent ces infrastructures à des attaques massives.

Ce guide s’adresse principalement aux :

  • Développeurs de logiciels.
  • Fournisseurs de solutions SaaS et cloud.
  • Fabricants d’outils critiques pour les infrastructures essentielles.

L’objectif ? Identifier les pratiques qui augmentent significativement les risques et proposer des solutions pour protéger les utilisateurs et les systèmes critiques.

 

 

1. Propriétés des produits

1.1 Langages non sécurisés pour la mémoire

L’utilisation de langages comme C ou C++, non sécurisés pour la mémoire, reste courante, mais elle introduit des vulnérabilités critiques (par exemple, débordement de tampon). Ces failles sont particulièrement dangereuses dans les composants sensibles (cryptographie, code réseau).

  • Risques :
    • Élévation des privilèges.
    • Exécution de code à distance.
    • Violations de données.
  • Actions recommandées :
    1. Langages sûrs : Développez de nouveaux produits dans des langages sécurisés pour la mémoire, comme Rust ou Go.
    2. Feuille de route mémoire : Publiez un plan avant fin 2025 pour migrer progressivement les composants critiques vers des alternatives sûres.
    3. Approches hybrides : Utilisez des mesures de court terme, comme des contrôles au niveau du compilateur (AddressSanitizer) ou des protections matérielles.
  • Références :

1.2 Vulnérabilités d’injection SQL

Inclure des entrées utilisateur directement dans des requêtes SQL est une pratique fréquente mais dangereuse.

  • Exemple : SELECT * FROM users WHERE username = 'input' AND password = 'input';
  • Une telle requête peut permettre à un attaquant d'accéder ou manipuler des données.
  • Recommandations :
    1. Utilisez des requêtes paramétrées et des instructions préparées.
    2. Déployez des bibliothèques ORM pour éviter la gestion directe des requêtes SQL.
  • Références :

1.3 Vulnérabilités d’injection de commandes

Permettre l’inclusion d’entrées utilisateur dans des commandes système (par ex. exec() en PHP) peut conduire à l’exécution non autorisée de commandes.

  • Risques :
    • Compromission complète du serveur.
    • Déploiement de logiciels malveillants.
  • Actions recommandées :
    1. Limitez les caractères autorisés via des listes blanches.
    2. Remplacez les commandes système par des fonctions natives sécurisées.
  • Références :

1.4 Mots de passe par défaut

Les mots de passe statiques ou partagés sont une cible fréquente des attaquants.

  • Solutions proposées :
    1. Fournir des mots de passe initiaux uniques et aléatoires.
    2. Exiger la création de mots de passe robustes lors de l’installation.
    3. Mettre en œuvre des campagnes pour remplacer les mots de passe existants.
  • Références :

1.5 Dépendances open-source vulnérables

Les logiciels tiers, notamment open-source, contiennent parfois des failles critiques.

  • Recommandations :
    1. Maintenez un Software Bill of Materials (SBOM) pour recenser et surveiller les dépendances.
    2. Scannez les composants pour détecter les vulnérabilités.
    3. Contribuez à l’entretien des projets critiques pour renforcer leur sécurité.
  • Références :

2. Fonctionnalités de sécurité

2.1 Cryptographie obsolète

  • Risques :
    • MD5, SHA-1 et DES sont vulnérables aux attaques modernes.
    • TLS 1.0/1.1 ne répond plus aux standards actuels.
  • Actions recommandées :
    1. Adoptez des algorithmes robustes (ex. AES-256, TLS 1.3).
    2. Planifiez la transition vers des algorithmes résistants aux attaques quantiques.
  • Références :

2.2 Multi-Factor Authentication (MFA)

  • Failles courantes :
    • Absence de MFA par défaut pour les administrateurs.
    • Manque de compatibilité avec MFA résistant au phishing.
  • Recommandations :
    1. Exigez le MFA pour tous les accès administratifs.
    2. Autorisez des alternatives comme les passkeys.

2.3 Journaux et détection d’intrusions

L'absence de journaux exploitables complique la détection des attaques.

  • Solutions :
    1. Conservez des journaux de configuration, d'accès et de flux réseau pendant au moins 6 mois.
    2. Fournissez ces journaux sans coût additionnel aux clients.

3. Processus et politiques organisationnels

3.1 Communication des vulnérabilités

Les vulnérabilités critiques (CVSS ≥ 9.0) doivent être publiées sous forme de CVE avec une description claire.

  • Mesures :
    1. Publier rapidement les CVE pour les failles critiques.
    2. Inclure des champs détaillés, comme les CWE.

3.2 Politique de divulgation des vulnérabilités (VDP)

  • Contenu attendu :
    • Encourager les tests éthiques.
    • Garantir une non-poursuite pour les signalements faits de bonne foi.
    • Assurer un traitement rapide des failles signalées.

Conclusion : Vers une sécurité proactive

Ce guide encourage les fabricants de logiciels à intégrer la sécurité dès la conception, à être transparents sur les vulnérabilités et à adopter une gestion proactive des risques. En suivant ces recommandations, les développeurs peuvent réduire les menaces sur les infrastructures critiques tout en gagnant la confiance des utilisateurs.

L'importance croissante de la sécurisation des logiciels

Rapports de l’industrie sur l'importance des logiciels dans les cyberattaques


Rapport Verizon Data Breach Investigations Report (DBIR) 2024 :

   Statistique clé : 74 % des violations analysées impliquaient une exploitation de vulnérabilités logicielles, qu’il s’agisse de configurations incorrectes, de dépendances non sécurisées ou de failles de développement.
   Focus sur les attaques supply chain : Les dépendances logicielles, souvent open-source, sont devenues un vecteur majeur d'attaque.

 

Rapport ENISA Threat Landscape 2024 :

   Points clés :
       L'augmentation des attaques exploitant des failles dans les logiciels (ex. CVE avec scores CVSS > 9.0).
       Les ransomwares sont de plus en plus associés à des vulnérabilités non corrigées dans des systèmes logiciels critiques.
       L'absence de correctifs dans les systèmes critiques est souvent une faille exploitée dans les premières phases d'attaque.

 

SANS 2024 Vulnerability Trends Report :

   Résultat marquant : 60 % des vulnérabilités exploitées par les cybercriminels en 2023 concernaient des composants logiciels non corrigés.
   Pourquoi ? : Les mises à jour sont retardées en raison des dépendances ou d’une mauvaise gestion de la Software Bill of Materials (SBOM).

 

Prolifération des logiciels dans la surface d’attaque

Avec la numérisation croissante des infrastructures, les logiciels sont devenus omniprésents, étendant considérablement la surface d'attaque. Quelques exemples récents :

   Attaques sur les infrastructures critiques :
       Exploitation de failles logicielles dans les systèmes SCADA et OT (technologie opérationnelle), comme les vulnérabilités de FortiOS utilisées dans des campagnes avancées de ransomware.
       Exemple concret : La vulnérabilité critique CVE-2023-28500 dans le logiciel d’une plateforme d’OT a été largement exploitée.


   Applications SaaS :
       Les failles dans des applications SaaS, comme celles touchant Microsoft 365 ou Salesforce, ont exposé des données critiques d'entreprises.
       2024 a vu une augmentation des attaques basées sur des API mal sécurisées dans des environnements SaaS.

 

Logiciels open-source : une double lame

Bien que l'open-source offre de nombreux avantages, il est aussi un vecteur majeur d'introduction de vulnérabilités.

   Cas SolarWinds (2020-2023) : 

L'attaque supply chain a souligné l'importance de surveiller les dépendances logicielles.
   Rapport OpenSSF 2024 :
       84 % des organisations utilisent des composants open-source dans leurs applications critiques.
       Pourtant, seules 15 % suivent des processus rigoureux pour scanner les vulnérabilités dans ces dépendances.

 

Impact économique et humain des vulnérabilités logicielles

 

   Rapport Ponemon 2024 :
       Les failles de sécurité logicielle coûtent en moyenne 4,4 millions de dollars par incident.
       L'impact dépasse les finances : atteinte à la réputation, perte de clients, et risques juridiques.
   Études sur les cyberattaques :
       Environ 50 % des attaques ayant un impact significatif (ex. Colonial Pipeline) exploitent des failles directement liées à des logiciels non corrigés.

 

Évolution des menaces en 2025

Les tendances montrent une évolution rapide des cybermenaces exploitant les vulnérabilités logicielles :

   Post-quantique :
       Les algorithmes cryptographiques classiques commencent à montrer leurs limites face aux capacités naissantes des systèmes quantiques.
   Attaques par intelligence artificielle :
       Des logiciels malveillants basés sur l'IA apprennent à exploiter automatiquement des failles.
   Dépendances transversales :
       Une vulnérabilité dans une bibliothèque open-source peut compromettre des centaines d'applications en cascade.

 

Conclusion : La sécurité des logiciels, plus critique que jamais

Les données récentes démontrent que le logiciel est bien une composante centrale dans les surfaces d'attaque modernes. C’est pour cette raison que les fabricants doivent intégrer la sécurité dès la conception et adopter une gestion proactive des vulnérabilités. Ce guide de la CISA et du FBI ne fait que réaffirmer cette nécessité dans un contexte où la numérisation rapide exacerbe les risques.

 

Vous souhaitez en savoir plus ou bien être accompagné par nos services sur ce genre de thématique ?

Fenris Technologies - Copyright ©2024 Tous droits réservés.

Nous avons besoin de votre consentement pour charger les traductions

Nous utilisons un service tiers pour traduire le contenu du site web qui peut collecter des données sur votre activité. Veuillez consulter les détails dans la politique de confidentialité et accepter le service pour voir les traductions.

Paramètres de confidentialité

Traducteur de site Web

Paramètres de confidentialité

Avec cet outil, vous pouvez sélectionner et désactiver les différents tags / trackers / outils d'analyse utilisés sur ce site.

Sélectionnez tous les services
Traducteur de site Web
Plus
Sauvegarder les paramètres