Technologies

100% des sites web de grandes entreprises souffrent d'au moins une faille

100% des sites web de grandes entreprises souffrent d'au moins une faille
Tous les sites web testés ont des failles, plus de la moitié des failles graves.

L'étude réalisée par le cabinet Wavestone met en avant les innombrables failles affectant les sites web des grandes entreprises.

PublicitéLes sites web des grandes entreprises sont régulièrement attaqués et, trop souvent, cela débouche au mieux sur un defacing, au pire sur des vols massifs de données personnelles des clients (notamment des données de moyens de paiement). Le cabinet Wavestone, qui réalise des audits et des prestations de sécurité des sites web, a mené une étude sur les sites des plus grands groupes.

Le bilan fait peur : tous les sites accessibles depuis Internet présentent au moins une faille, 56 % présentent une faille grave pouvant mener à des fuites d'information, à l'accès aux contenus ou à la prise de contrôle des serveurs (60 % en 2016). C'est d'autant plus gênant que cette étude est réalisée depuis trois ans et que la situation n'a quasiment pas changé depuis le début. Concernant les sites Intranet, la situation s'améliore légèrement : 75 % avaient des failles graves en 2016, 68 % en 2017 et 66 % en 2018.

La première typologie de faille concerne le chiffrement et huit sites sur dix (de 79 % à 83 % selon les années). Parmi ces failles, notons : les protocoles vulnérables, les certificats invalides, etc. La diffusion d'informations techniques superflues (par exemple : la version d'un composant sur une page d'erreur) concerne à peu près autant de sites. L'exécution de code à l'insu du visiteur concerne environ la moitié des sites. Le manque de robustesse de l'identification (comme l'absence de dispositif anti-force-brute pour trouver un mot de passe) est la faille qui subit la deuxième meilleure amélioration : de 55 % en 2016 à 44 % en 2018. La première est la possibilité d'injection SQL : de 25 % en 2016 à 10 % en 2018. Dans un tiers des cas, Wavestone estime que « tout est à revoir », tant le nombre de paramètres touchés est important (de dizaines à plusieurs centaines).

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Les documents pouvant revêtir une importance juridique et validés numériquement par les clients/usagers sont-ils systématiquement horodatés et signés électroniquement ?