S’il y a tant de fuites de données, c’est beaucoup à cause des développeurs, selon ce rapport

D’après la Cybersecurity and Infrastructure Security Agency étasunienne, les développeurs d’applications et de sites Internet sont pour beaucoup dans la recrudescence actuelle des fuites et vols de données personnelles.

hacker-securite-ecrans
Crédit : 123rf

La CISA et son équivalent australien ont publié un rapport conjoint dans lequel ils constatent que les fuites de données personnelles sont toujours plus coûteuses et fréquentes. Selon eux, « les informations personnelles, financières et médicales de millions de personnes ont été volées par le biais d’un type particulier de vulnérabilité des sites Web », les IDOR, ou « références directes non sécurisées à un objet ». Cette faille est effectivement très courante, car à bien y regarder, c’est un schéma très courant dans le Web d’aujourd’hui.

Le CISA prend l’exemple d’un site fictif, par lequel les données personnelles d’un utilisateur sont accessibles en saisissant son identifiant dans les paramètres de la requête, dans l’adresse URL. Sous la forme, www.sitedangereux.com?id=IDENTIFIANTDELUTILISATEUR. En théorie, toute la partie après « ?id= » devrait être chiffrée, afin que personne ne connaisse le véritable identifiant de l’utilisateur. En pratique, ce n’est pas le cas, et les pirates volent des données grâce à ce petit bout d’information a priori anodin.

Selon les Etats-Unis, les développeurs sont premiers responsables des vols de données

Selon les autorités de la Cybersécurité américaine, cette faille IDOR est très fréquente. Les pirates informatiques en profitent parce qu’elles sont courantes, difficiles à prévenir en dehors du processus de développement et qu’elles peuvent être exploitées à grande échelle […] Ces failles de contrôle d’accès permettent donc aux cybercriminels de modifier, supprimer ou accéder à des données sensibles en envoyant des demandes à un site Web ou à une API en spécifiant l’identifiant d’autres utilisateurs valides. Ces demandes aboutissent lorsque les contrôles d’authentification et d’autorisation adéquats ne sont pas effectués ».

Devant l’ampleur du phénomène, le CISA demande aux éditeurs de logiciels, aux designers, et aux développeurs d’utiliser des outils automatisés d’examen du code tels que Security Copilot de Microsoft afin d’identifier les IDOR et autres vulnérabilités, mais aussi d'utiliser des références indirectes afin de ne pas exposer les identifiants des utilisateurs et autres ressources. Il est surtout demandé aux organisations de sélectionner avec soin les logiciels et services avec lesquels ils vont travailler.


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Sony, Samsung, Bose : Boulanger brade le son et les TV avec des offres choc à saisir ce week-end

Boulanger lance une nouvelle salve de promotions à durée limitée sur l’audio et les TV. Pour ces ventes flash, l’enseigne propose trois codes promo par palier en fonction du montant…

Samsung TQ55QN77F : avec 150 € de réduction, la TV NeoQLED passe à petit prix, vite !

Alors qu’elle est déjà en promotion, la TV NeoQLED Samsung TQ55QN77F est encore moins chère durant la vente flash Boulanger. Normalement en vente à 749 €, vous pouvez vous l’offrir…

JBL Tune 245 NC : des écouteurs sans fil avec réduction de bruit active à moins de 50 €, vite !

Vous cherchez désespérément des écouteurs sans fil pas chers avec un bon son et la réduction de bruit active ? Vous pensiez que c’était mission impossible ? Détrompez-vous ! Sur…

Ce rapport sans appel explique pourquoi l’IA en entreprise ne fonctionne pas vraiment

L’IA progresse, mais son adoption en entreprise reste un échec pour beaucoup. Un rapport pointe des lacunes profondes que l’argent seul ne peut pas résoudre. Les salariés en paient le…

IA

Amazon Luna, c’est (presque) fini : après Google Stadia, un autre “Netflix du jeu vidéo” se meurt

Amazon annonce de nombreux changements sur sa plateforme de cloud gaming Luna. Celle-ci perd de nombreuses fonctionnalités et perd presque tout son intérêt, signant une lente mort. En novembre 2023,…

C’est la pluie d’étoiles filantes à ne pas manquer en avril : voici quand et comment admirer les Lyrides en 2026

Avis à tous les amoureux de spectacles que nous offre à contempler la voûte céleste, les nuits qui raccourcissent inéluctablement ne vous empêcheront pas d’admirer la tête d’affiche de ce mois…

Test Xiaomi 17 : un smartphone petit format, mais aux très grandes ambitions

Si le Xiaomi 17 appartient à la famille des petits smartphones, en raison de son gabarit, son équipement en revanche le classe incontestablement parmi les ténors du marché. D’ailleurs, dans…

Cette astuce très simple permet de nettoyer votre smartphone Android et booster ses performances

Nettoyer l’écran de son smartphone, c’est bien, mais nettoyer son espace de stockage, c’est encore mieux. Pour cela, il existe une astuce simple, mais que l’on oublie un peu trop…

Ce lecteur de cassettes marie look rétro et fonctions modernes pour vous libérer de l’IA et du tout-abonnement

Le vintage est aujourd’hui un argument de vente important, mais un second facteur vient s’y greffer ces derniers temps : le besoin de déconnecter. Cela n’a pas échappé à un fabricant…

JBL Live 770 NC : le casque sans fil avec réduction de bruit active chute à moins de 100 € !

En ce moment sur Boulanger, ce sont Les Jours ++. Jusqu’au 28 avril, le site propose de nombreuses ventes flashs pour vous équiper à prix réduit. Si vous cherchez un…

Retrouvez sur Phonandroid toute l’actualité autour de l’OS mobile de Google. Le site est une véritable mine d’or autour des produits Android et bien plus ! Vous cherchez un téléphone ou souhaitez maîtriser parfaitement le votre ? Nos articles, dossiers et tutoriels sont là pour vous informer et vous guider. Votre smartphone n’aura plus aucun secret pour vous. Nous vous ferons découvrir les meilleures applications android sur le Google Play. Si les tablettes vous intéressent, vous pourrez suivre l’actualité des différentes marques. Elles sont nombreuses et s’y retrouver est compliqué. Phonandroid et son forum sont là pour vous informer et vous guider.