Trend Micro dévoile les vulnérabilités logicielles et système les plus courantes, cauchemars des équipes DevOps des entreprises.
L’une des références des solutions de cybersécurité, Trend Micro, a fait le tour des vulnérabilités les plus courantes. Ces failles, avec lesquelles les équipes DevOps (développement et opérations) des entreprises du monde entier apprennent à vivre, connaissent une croissance exponentielle. Les menaces détectées ont en effet augmenté de 42 % en 2021 selon Trend Micro, avec une intensité des cyberattaques plus forte que jamais.
Des vulnérabilités qui misent sur le manque de vigilance des développeurs
D’abord, Trend Micro attire notre attention sur les « vulnérabilités héritées », qui découlent de l’utilisation, pour la création de certains logiciels modernes, de bibliothèques et codes open source (80 % des bases de code reposent sur du code ou des bibliothèques open source), qui peuvent parfois contenir des vulnérabilités, dont les applications héritent ensuite directement.
Les vulnérabilités peuvent varier selon le langage ou le framework (infrastructure logicielle) de développement, et c’est ici qu’il faut être très attentif, puisque certains langages peuvent s’appuyer sur des bibliothèques qui, elles-mêmes, dépendent de bibliothèques qui créent une dépendance difficile à détecter ou à contrôler. Trend Micro conseille de procéder à une analyse automatisée des vulnérabilités, comme l’analyse de la composition logicielle, « qui aide à détecter et à corriger les vulnérabilités connues dans les dépendances directes et transitives ».
Autre vulnérabilité et non des moindres : celle de la chaîne d’approvisionnement logicielle (ou Software Supply Chain). Cette chaîne, particulièrement sensible, consiste en l’ensemble des composants de bout en bout qui vous permet d’écrire un logiciel. Le risque se situe dans les étapes successives de cette chaîne : contrôle de corde source, code, packages, autres dépendances, etc. Les développeurs se font parfois piéger en se voyant fournir une version malveillante d’une application qui porterait par exemple un nom similaire, le pirate espérant alors que le développeur l’utilise par erreur. Là aussi, une solution d’analyse automatique de code et de détection des vulnérabilités peut aider le développeur à anticiper l’acte malveillant.
Trend Micro conseille aux entreprises d’appliquer le principe du « moindre privilège » pour leurs équipes DevOps
Ensuite, Trend Micro a identifié la vulnérabilité d’injection de code (ou exécution de code à distance), qui est historiquement l’une des plus courantes. Elle se produit lorsqu’une faille permet à un hacker d’introduire son propre code, à la condition qu’il connaisse le langage de programmation, le framework ou le système d’exploitation utilisé par l’application. Les attaquants peuvent alors injecter du code à l’aide d’un champ de saisie de texte (d’un formulaire), pour forcer le serveur à répondre au souhait des hackers. Cette vulnérabilité permet ensuite de prendre le contrôle d’un appareil à distance. Pour s’en protéger, il est bon d’utiliser un outil d’analyse de code de contrôle source, très utile pendant la phase de construction DevOps.
Autre vulnérabilité très connue : celle d’autorisation et d’accès. C’est un vrai cercle vicieux, puisqu’il faut faire en sorte de limiter le nombre de personnes, au sein de l’équipe DevOps, qui auront des droits d’accès d’administration élevés. Car plus ce nombre est grand, plus la surface d’attaque vulnérable est importante. « Il est préférable de réglementer étroitement l’accès aux systèmes et les autorisations pour effectuer des actions spécifiques », explique Trend Micro. Si le pirate parvient à exploiter une vulnérabilité de sécurité du contrôle d’accès, les conséquences peuvent être dramatiques, on pense notamment à une escalade de privilèges, un contenu non autorisé exposé ou à un déni de service distribué. Mieux vaut ainsi, au moment de créer une application, appliquer le principe du « moindre privilège » au sein des équipes DevOps, pour atténuer les risques. Des Clouds comme Azure ou AWS proposent ces services d’identité adaptés.
Enfin, Trend Micro a souhaité rebondir sur une cinquième vulnérabilité courante : celle de l’erreur de configuration de sécurité. Que l’erreur frappe le code, l’infrastructure ou d’autres services essentiels, les vulnérabilités exploitées ont des conséquences. Peu importe le lieu (travail ou maison), la sollicitation du Cloud pousse de plus en plus d’organisations à stocker certains fichiers sensibles sur des plateformes publiques comme GitHub, qui peuvent compromettre une entreprise. Toutes les informations pouvant servir à l’identification doivent ainsi être stockées dans des coffres de type Azure Key Vault ou Terraform Vault, qui protègent les secrets utilisés par certains services, pour ainsi atténuer le risque.
