Comment le code tiers fait du développement d'applications un risque de cybersécurité


Pendant des années, les organisations soucieuses de la cybersécurité ont tenté de convaincre leurs équipes de développement d'apporter plus de sécurité dans le processus de développement d'applications. Cela inclut la création de disciplines modernes telles que DevSecOps comme moyen de créer un code et des applications de meilleure qualité et plus sécurisés.

Malgré ces efforts, ainsi que les avertissements d'analystes et d'experts en cybersécurité, le code tiers vulnérable continue de se frayer un chemin dans le processus de développement d'applications et de développement d'applications, créant des applications vulnérables aux attaques et à l'exploitation par les fraudeurs et les attaquants sophistiqués.

L'utilisation continue de ce que l'on appelle le « code fantôme » (scripts et bibliothèques de code tiers utilisés pour aider à créer rapidement des applications Web sans se soucier de la sécurité) continue d'être un problème majeur pour de nombreuses entreprises et organisations, selon une étude récente. publié par Osterman Research et la société de sécurité PerimeterX.

L'étude, menée entre mai et juin, a inclus les réponses d'environ 800 professionnels de la sécurité et développeurs, et a révélé que 99 % des personnes interrogées ont déclaré que les sites Web utilisés dans leur organisation contenaient au moins un script tiers ; près de 80 pour cent des personnes interrogées notent que ces scripts représentent la moitié à 70 pour cent d'un site Web typique.

Plus de la moitié des personnes interrogées ont indiqué que ce code tiers change au moins quatre fois par an. Seulement environ un tiers, cependant, ont la capacité de détecter les modifications ou mises à jour apportées sur leur site Web qui pourraient potentiellement conduire à un problème de sécurité.

Plus important encore, environ 50 % des personnes interrogées ne pouvaient pas dire avec certitude si leurs applications Web n'avaient pas fait l'objet d'une attaque. Cela, notent les professionnels de la sécurité, montre pourquoi l'utilisation de code tiers non testé est une cybermenace, même si elle accélère le processus DevOps.

"Le code fantôme vulnérable peut être dévastateur en conséquence, introduisant des vulnérabilités, notamment l'exécution de code à distance dans laquelle un attaquant peut injecter des requêtes spécialement conçues dans des applications exécutées en tant que code", a déclaré à Dice Archie Agarwal, fondateur et PDG de la société de sécurité ThreatModeler. « Cela a le potentiel de révéler des informations sensibles résidant dans des bases de données. »

Le problème avec le code tiers

Le rapport Osterman Research a révélé qu'une grande partie de ce code tiers est utilisé pour accélérer le développement d'applications et pourrait être exploité par les développeurs à diverses fins, notamment le suivi des publicités, les paiements, les avis clients, les chatbots, la gestion des balises, l'intégration des médias sociaux ou d'autres bibliothèques d'aide qui simplifient les fonctions courantes.

En ajoutant cette fonctionnalité, cependant, les développeurs ouvrent leurs applications à divers types d'attaques, y compris l'écrémage de carte et les opérations dites Magecart qui sont conçues pour insérer du code dans des sites de paiement en ligne et voler des informations de carte de crédit et de paiement. consommateurs.

"Le code fantôme sous la forme de bibliothèques open source vulnérables et de code tiers a le potentiel d'ouvrir des applications à des attaques qui pourraient potentiellement révéler des informations personnellement identifiables sur les utilisateurs", a déclaré Agarwal. « Cela va bien au-delà des noms et des adresses bien sûr lorsque nous considérons les applications de santé. Si ce type d'informations privées est exposé, il incombe à l'organisation d'informer l'organisme de réglementation compétent, ce qui peut avoir de graves implications financières ainsi que pour la réputation. »

À la suite de la campagne de cyberespionnage qui a ciblé SolarWinds et ses clients, la manière dont les acteurs malveillants peuvent manipuler le code utilisé dans diverses applications a suscité des inquiétudes concernant les attaques de la chaîne d'approvisionnement, selon l'étude.

Kevin Dunne, président de la société de sécurité Pathlock, a noté que l'utilisation de code tiers ouvre les organisations à trois problèmes de sécurité spécifiques :

  • Le risque qu'un tiers puisse consulter des données sur le site de l'organisation ;
  • Le risque qu'un tiers puisse accéder directement au site ou au réseau de l'organisation ;
  • Et le risque que les bibliothèques de codes fantômes et les scripts ne soient plus pris en charge, ce qui peut alors affecter les fonctionnalités du site de l'organisation.

Cela expose les clients et d'autres données personnelles à une exposition potentielle et à un vol, ce qui peut alors entraîner des violations du règlement général de l'UE sur la protection des données ou de la loi californienne sur la protection des consommateurs.

« Si le code fantôme permet à un tiers d'afficher sans le savoir des données sur le site d'une organisation, cela expose probablement l'organisation au risque de maintenir la conformité GDPR ou CCPA, car un processeur de données inconnu consulte les données sans divulgation publique », a déclaré Dunne à Dice. « Cela peut entraîner des millions de dollars d'amendes potentielles pour une organisation qui est tenue de maintenir ce type de conformité en matière de confidentialité des données. »

S'en tenir à DevSecOps

Alors que l'utilisation continue du code fantôme et d'autres scripts et bibliothèques tiers semblerait montrer que des concepts tels que DevSecOps ne fonctionnent pas, les experts en sécurité affirment que les résultats de l'étude démontrent exactement pourquoi les organisations doivent s'en tenir à ces principes de meilleure, plus développement d'applications sécurisées.

« Mon conseil aux développeurs qui cherchent à intégrer la sécurité à leurs applications serait de s'en tenir aux bibliothèques approuvées par leur organisation », a déclaré à Dice Taylor Gulley, consultant senior en sécurité des applications chez nVisium. « Ceci, en plus de la révision du code – ou de l'obtention d'une deuxième paire d'yeux pour le faire – est essentiel pour la sécurité. Enfin, assurez-vous de rechercher des options et des bases de code activement maintenues qui sont largement utilisées.

Cela comprend également la connaissance des vulnérabilités dans le code et la tenue au courant de diverses alertes de sécurité. Gulley note également que ce ne sont pas seulement des projets obscurs qui ont un code défectueux qui pourraient être exploités.

"Méfiez-vous des projets populaires car ils sont plus susceptibles d'être la cible d'une attaque et sont souvent de grande taille avec une surface d'attaque plus large", a déclaré Gulley. "Cela ne signifie pas de ne pas utiliser de telles bibliothèques, mais de s'assurer qu'elles passent par un examen de sécurité étendu du code et de ses dépendances de manière récursive."

Caitlin Johanson, directrice du Centre d'excellence en sécurité des applications de la société de conseil Coalfire, a noté que les organisations et leurs équipes de développement doivent définir l'utilisation, le suivi et la mise à jour des plates-formes, des bibliothèques et des composants, et que ces politiques doivent être appliquées. Cela permet de garantir que lorsque des mises à jour de sécurité sont publiées, elles sont intégrées de manière responsable dans l'application et l'environnement sous-jacent, a ajouté Johanson.

"Le problème que nous voyons tous est que même lorsqu'un développeur a explicitement inclus des bibliothèques spécifiques, souvent, ces bibliothèques dépendantes ont leurs propres bibliothèques dépendantes", a déclaré Johanson à Dice. « C'est là que l'association du « code fantôme » nous touche vraiment. Les cas où une page sur un site Web comprend un seul fichier JavaScript d'ailleurs, mais cette dépendance finit par en télécharger 20 autres à partir de diverses autres destinations… il est facile de voir à quelle vitesse le code devient ingérable.



Source link

Il n’a à la saint-glinglin été aussi facile de projeter un état web commerce électronique de nos jours, il assez de voir le taux le montant le pourcentage de plateformes web commerce électronique en France pour s’en redonner compte. En effet, 204 000 websites actifs en 2016. En 10 ans, le taux le montant le pourcentage de websites a été fois 9. Avec l’évolution des technologies, les média à grand coup d’histoire de succès story, (si dans l’hypothèse ou nous-mêmes vous assure, je me nomme aussi tombé dans le panneau) le commerce électronique a longuement été vu tel que un eldorado. Du coup, une concurrence accrue est vu le jour dans de nombreuses thématiques.