Créer un site internet

Sécurité

Bien que les années 2000 aient vu l'explosion de la bulle InternetMain en arriere fleche dessinee 318 51824 et l'arrivée du Web 2.0, les standards ont peu évolué. Pourtant les développeurs ont réussi à offrir de l'interactivité avec l'utilisateur et à mettre à disposition de véritables applications sur le Web. Le W3C définit les applications Web comme des applications basées sur le protocole HTTP, indépendantes des plates-formes et langages d'implémentation, reposant sur des architectures Web. Elles peuvent interagir avec d'autres applications de type Web ou autres.

Le Web est devenu un lieu où on peut échanger des informations mais il est également devenu un marché à part entière pour la vente et l'achat de biens matériels. Les acteurs de ce nouveau marché ont besoin de sécurité sous tous ses aspects, tels que définis par l'ANSSI (Agence Nationale de Sécurité des Systèmes d'Information) « la protection de la confidentialité, de l'intégrité et de la disponibilité de l'information ».

Dans ce contexte, de nombreux organismes ont été constitués afin de lutter et de prévenir les risques liés à la sécurité des informations sur le Web.

En France, l'ANSSI est une agence rattachée au Secrétaire général de la défense et de la sécurité nationale. Elle met à disposition des guides sur la gestion des menaces informatiques et des articles sur les recommandations et bonnes pratiques pour la sécurité des systèmes informatiques. Le CLUSIF (Club de la Sécurité de l'Information Français) est une association d'organisations privées et publiques dont le but est de sensibiliser les entreprises et les collectivités françaises à la sécurité de l'information.

Aux États-Unis, le Web Application Security Consortium (WASC) est une association constituée d'experts internationaux, d'industriels et d'organisations du monde Open Source, qui publie des recueils de bonnes pratiques de sécurité pour le Web ainsi que le rapport « WASC Threat Classification » qui décrit et classe les menaces de sécurité sur les applications Web. L'Open Web Application Security Project (OWASP) est une association de bénévoles dont l'objectif est de promouvoir la sécurité logicielle et de sensibiliser les organisations et les personnes sur les risques liés à la sécurité des applications Web. Tous les trois ans, elle publie le classement des dix failles de sécurité les plus dangereuses dans le document « OWASP Top 10 ». Dans sa dernière version de 2010, la liste a été réévaluée afin de prendre en compte les risques et non plus le danger représenté par ces vulnérabilités. En effet, les failles sont maintenant évaluées en fonction de la facilité à trouver la faille, à attaquer l'application Web par ce biais et du préjudice que l'attaque peut causer.

Le présent document « Les principales failles de sécurité des applications Web actuelles : principes, parades et bonnes pratiques de développement » a pour objectif de détailler chacune des failles citées dans le document « OWASP Top 10 ». Afin de mieux les comprendre, l'architecture des applications Web sera abordée dans un premier temps. Dans un second temps chacune des failles sera détaillée en expliquant l'origine du problème et en donnant des exemples-types d'attaque. Les exemples sont écrits pour un environnement Apache/MySQL/PHP. Puis des conseils seront donnés pour se protéger de ce type d'attaque. Enfin un recueil de bonnes pratiques permettra de se prémunir contre la plupart des risques de sécurité dans le développement des applications Web.