Selon la Cybersecurity and Infrastructure Security Agency américaine, les développeurs d’applications et de sites Internet jouent un rôle majeur dans l’augmentation actuelle des fuites et vols de données personnelles.
La CISA et son homologue australien ont publié un rapport conjoint dans lequel ils constatent que les fuites de données personnelles sont de plus en plus coûteuses et fréquentes. Selon eux, “les informations personnelles, financières et médicales de millions de personnes ont été volées grâce à une vulnérabilité spécifique des sites Web”, appelée IDOR (ou “références directes non sécurisées à un objet”). Cette faille est très courante, car elle fait partie intégrante du fonctionnement actuel du Web.
La CISA prend l’exemple d’un site fictif où les données personnelles d’un utilisateur sont accessibles en saisissant son identifiant dans les paramètres de la requête de l’URL du site. En théorie, cette partie de l’URL devrait être chiffrée, afin que l’identifiant réel de l’utilisateur ne soit pas connu. Mais en pratique, ce n’est pas le cas, et les pirates parviennent à voler des données à partir de cette petite information en apparence insignifiante.
Selon les autorités de la Cybersécurité américaine, cette faille IDOR est très répandue. Les pirates en profitent car elles sont courantes, difficiles à détecter en dehors du processus de développement et peuvent être exploitées à grande échelle. Ces failles de contrôle d’accès permettent aux cybercriminels de modifier, supprimer ou accéder à des données sensibles en envoyant des demandes à un site Web ou à une API en utilisant l’identifiant d’autres utilisateurs valides. Ces demandes sont acceptées lorsque les contrôles d’authentification et d’autorisation adéquats ne sont pas effectués.
Face à l’ampleur de ce phénomène, la CISA demande aux éditeurs de logiciels, aux designers et aux développeurs d’utiliser des outils d’examen automatisés du code tels que Security Copilot de Microsoft afin d’identifier les IDOR et autres vulnérabilités, mais aussi d’utiliser des références indirectes pour ne pas exposer les identifiants des utilisateurs et autres ressources. Il est également demandé aux organisations de sélectionner soigneusement les logiciels et services avec lesquels elles travaillent.
#Sil #tant #fuites #données #cest #beaucoup #des #développeurs #selon #rapport
publish_date] pt]
