Plus de 70 % des vulnérabilités sont issues des technologies web

A l’occasion du Black Hat 2007 de Las Vegas (28 juillet – 6 août), la société Cenzic, spécialisée dans la recherche de failles informatiques, a présenté son rapport du deuxième trimestre sur la sécurité des applications. En un trimestre, l’entreprise à comptabilisé 1 484 nouvelles vulnérabilités déclarées. Une tendance à la hausse de 7 % par rapport au trimestre précédent.

72 % des failles proviennent des technologies web à travers les applications, les serveurs et navigateurs notamment. « Ce qui est effrayant, c’est que 65 % de ses vulnérabilités étaient facilement exploitables », note l’entreprise.

Des milliers de vulnérabilités non déclarées

Toujours selon Cenzic, Internet Explorer est le navigateur le moins sécurisé avec 33 % des vulnérabilités attribuées suivis de Firefox (26 %) et d’Opera (21 %). Cross-Site Scripting, injection SQL et File Inclusion (erreur d’inclusion) composent la majorité des vulnérabilités exploitées. Les deux premières représentent à elles seules 80 % des failles (dont 60 % rien que pour la méthode Cross-Site Scripting). Les applications écrites en PHP comptent 30 % des vulnérabilités. Mais le langage en lui-même n’est responsable que de 2 % des failles, précise Cenzic.

L’entreprise experte en sécurité ne dévoile que la partie visible de l’iceberg. Selon elle, moins de 5 % des applications sont testées pour déceler d’éventuelles failles de sécurité. « Avec environ 400 vulnérabilités nouvelles apparaissant tous les mois parmi celles qui sont déclarées, nous pensons qu’il y en a des milliers non publiées parce que personne ne les a reportées ou parce qu’elles ont été trouvées dans des applications en pleine croissance », estime Cenzic.