Pourquoi c’est important : Chaque année, le Homeland Security Systems Engineering and Development Institute publie une liste des faiblesses les plus courantes dans les logiciels, qui conduisent aux vulnérabilités logicielles les plus répandues. En 2023, les plus grands délinquants de l’année précédente occupent toujours les premières places de cette liste.
La dernière alerte de l’agence américaine Cybersecurity & ; Infrastructure Security Agency (CISA), une agence du ministère de la sécurité intérieure chargée de la cybersécurité et de la sécurité des infrastructures tests, fait le point sur les 25 faiblesses de sécurité les plus dangereuses dans les produits logiciels. La liste CWE Top 25 est basée sur des données publiques concernant des problèmes logiciels détectés au cours des deux dernières années, mettant en lumière l’état plutôt décourageant de la cybersécurité aux États-Unis.
Selon la MITRE Corporation, qui s’exprime au nom de la CISA et du DHS, les faiblesses logicielles les plus courantes et les plus importantes de la liste CWE Top 25 sont souvent faciles à trouver et à exploiter. Ces problèmes peuvent entraîner des vulnérabilités exploitables, permettant aux attaquants de prendre le contrôle des systèmes, de faire tomber les serveurs, de voler des données ou de perturber les applications.
En 2023, la première place pour le pire problème CWE reste la même que l’année dernière : out-of-bounds writes (CWE-787). Ce type de problème de débordement de mémoire tampon se produit lorsqu’une routine logicielle écrit des données en dehors des limites d’une mémoire tampon, en écrasant les emplacements de mémoire adjacents. Cela peut entraîner une corruption des données, des pannes ou l’exécution du code. L’écriture de code dans un langage à mémoire sécurisée tel que Rust permet d’atténuer considérablement le problème.
La deuxième faiblesse logicielle la plus fréquente sur la liste CWE est la CWE-79, qui est liée à des bugs de type cross-site scripting (XSS) résultant d’un mauvais traitement des données d’entrée de l’utilisateur sur le web. La troisième, CWE-89, est associée à des failles de sécurité de type injection SQL, une autre forme de défaut d’assainissement des entrées. Le palmarès CWE de cette année est basé sur des données provenant de 43 996 enregistrements CVE de vulnérabilités découvertes entre 2021 et 2022.
La quatrième place est occupée par la faille Use After Free (CW-416), qui occupait la septième place l’année dernière. Cette faille de plus en plus populaire concerne les adresses mémoire qui sont toujours utilisées après avoir été libérées, ce qui permet à un attaquant d’exploiter un comportement inapproprié et potentiellement de faire planter un système d’exploitation ou un serveur, ou d’exécuter un code malveillant à distance.
Les CWE sont de plus en plus présents dans les discussions sur l’exposition aux vulnérabilités, car la communauté tente d’éviter les causes profondes de ces problèmes et les vulnérabilités de sécurité qu’ils pourraient générer. Au-delà de la liste des CWE les plus importants, MITRE devrait publier cet été une série d’articles site de ventes la manière dont ces informations peuvent être utilisées plus efficacement au sein de la communauté de la sécurité.
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :
