Outre les sempiternelles failles XSS et SQL Injection, toujours trop fréquentes, le nouveau TOP 10 d’HackerOne laisse entrevoir une très forte augmentation des vulnérabilités IDOR ainsi que des erreurs de configuration liées à des migrations cloud précipitées pour cause de pandémie.

Best Of 2021 : du 27 juillet au 31 août, IT for Business met un coup de projecteur sur certains des articles publiés depuis le début de l’année et qui ont connu une forte audience…
Cet article a été publié à l’origine le 7 avril 2021.

Le rapport annuel HackerOne, l’un des leaders du bug bounty, est toujours assez instructif parce qu’il décrit un paysage de vulnérabilités quelque peu différent de celui des acteurs classiques de l’antivirus et directement basé sur les failles mises à jour par les hackers éthiques.

Ce paysage n’est pas formé de codes malveillants largement diffusés à travers la planète mais dévoile plutôt un panorama de risques aussi bien liés aux failles (connues ou non) qu’aux erreurs humaines en matière de configuration et de mauvaises pratiques (de développement, d’administration, de gouvernance, etc.).

Sans surprise, les données de la plate-forme HackerOne montrent une croissance en 2020 de la plupart des catégories de vulnérabilité par rapport à l’année précédente. Parmi les 10 principales vulnérabilités, la divulgation d’information a connu la plus forte augmentation du nombre de failles rapportées et validées, avec une croissance de 65 % au cours de l’année écoulée.

D’une manière générale, ce Top 10 confirme plusieurs réalités :

1/ Toutes les vulnérabilités sont en hausse, ce qui est logique puisque le monde ne cesse de s’enrichir de nouvelles applications et services et donc de bugs et de failles.

2/ Bien qu’elles soient connues de très longues dates et pas si difficiles à éviter, les vulnérabilités de type XSS (Cross-site Scripting, toujours n°1 du Top 10) et de type SQL Injection (48% d’augmentation en 2020 !) restent bien trop fréquentes !

3/ Les problématiques d’accès restent au cœur des risques et vulnérabilités rappelant l’importance d’orienter la cybersécurité vers les bonnes pratiques du zéro Trust : « contrôles d’accès inappropriés », « authentifications mal gérées » et « escalades de privilèges » constituent trois des 5 vulnérabilités les plus souvent dénichées par les hackers éthiques.

Les DSI et RSSI doivent également être interpelés par la 6ème position des failles IDOR (Insecure Direct Object Reference) assez représentatives d’une politique « Secure By Design » déficiente. Une telle faille est particulièrement redoutable car une fois exploitée, elle peut permettre aux cyberattaquants d’accéder à des données sensibles ou à des mots de passe. Elles sont cependant assez difficilement repérables par les outils automatiques d’aide au développement même si l’utilisation croissante de l’IA permet désormais de les anticiper dans de nombreux cas.

Les experts HackerOne ont enregistré une forte hausse du nombre d’attaques exploitant ce type de faille, corrélée à une hausse des primes récompensant les hackers. En mars 2021, les hackers ont en effet touché plus de 487 000 dollars de primes pour avoir détecté des failles IDOR contre 220 000 dollars en février et 142 000 dollars en janvier.
Dans 15 % des cas, IDOR représente la motivation principale des entreprises à initier un programme de bug bounty pour les secteurs de la grande distribution et du E-commerce, constatent les auteurs du rapport HackerOne. IDOR représente la principale vulnérabilité des programmes initiés par les secteurs du gouvernement (18 %), de la santé (36 %) et des services professionnels (31 %).

Enfin, bien qu’ils ne figurent pas dans le Top 10 des signalements de vulnérabilité, les rapports d’erreurs de configuration ont également explosé en 2020 avec une croissance de 310%. La multiplication de découvertes de telles erreurs est essentiellement liée à des migrations accélérées vers le cloud, provoquées par la pandémie.

Une bonne nouvelle toutefois pour clôturer ce paysage de risques et de failles : 49% des hackers de Hacker One pensent que les surfaces d’attaque se durcissent et 26% des hackers disent qu’il est de plus en plus difficile de trouver des bugs. Une amélioration qui est aussi liée à l’adoption toujours plus grande de programmes de bug bounty par les entreprises et organisations publiques.


Source : The 2021 Hacker Report (hackerone.com)

Pour en savoir plus sur les attaques IDOR :

Cyberattaque : quels sont les risques liés aux attaques IDOR ?