S’il y a tant de fuites de données, c’est beaucoup à cause des développeurs, selon ce rapport

D’après la Cybersecurity and Infrastructure Security Agency étasunienne, les développeurs d’applications et de sites Internet sont pour beaucoup dans la recrudescence actuelle des fuites et vols de données personnelles.

hacker-securite-ecrans
Crédit : 123rf

La CISA et son équivalent australien ont publié un rapport conjoint dans lequel ils constatent que les fuites de données personnelles sont toujours plus coûteuses et fréquentes. Selon eux, « les informations personnelles, financières et médicales de millions de personnes ont été volées par le biais d’un type particulier de vulnérabilité des sites Web », les IDOR, ou « références directes non sécurisées à un objet ». Cette faille est effectivement très courante, car à bien y regarder, c’est un schéma très courant dans le Web d’aujourd’hui.

Le CISA prend l’exemple d’un site fictif, par lequel les données personnelles d’un utilisateur sont accessibles en saisissant son identifiant dans les paramètres de la requête, dans l’adresse URL. Sous la forme, www.sitedangereux.com?id=IDENTIFIANTDELUTILISATEUR. En théorie, toute la partie après « ?id= » devrait être chiffrée, afin que personne ne connaisse le véritable identifiant de l’utilisateur. En pratique, ce n’est pas le cas, et les pirates volent des données grâce à ce petit bout d’information a priori anodin.

Selon les Etats-Unis, les développeurs sont premiers responsables des vols de données

Selon les autorités de la Cybersécurité américaine, cette faille IDOR est très fréquente. Les pirates informatiques en profitent parce qu’elles sont courantes, difficiles à prévenir en dehors du processus de développement et qu’elles peuvent être exploitées à grande échelle […] Ces failles de contrôle d’accès permettent donc aux cybercriminels de modifier, supprimer ou accéder à des données sensibles en envoyant des demandes à un site Web ou à une API en spécifiant l’identifiant d’autres utilisateurs valides. Ces demandes aboutissent lorsque les contrôles d’authentification et d’autorisation adéquats ne sont pas effectués ».

Devant l’ampleur du phénomène, le CISA demande aux éditeurs de logiciels, aux designers, et aux développeurs d’utiliser des outils automatisés d’examen du code tels que Security Copilot de Microsoft afin d’identifier les IDOR et autres vulnérabilités, mais aussi d'utiliser des références indirectes afin de ne pas exposer les identifiants des utilisateurs et autres ressources. Il est surtout demandé aux organisations de sélectionner avec soin les logiciels et services avec lesquels ils vont travailler.


La rédaction vous conseille aussi...

Abonnez-vous gratuitement à la newsletter

Chaque jour, le meilleur de Phonandroid dans votre boite mail !

Réagissez à cet article !

Demandez nos derniers articles !

Apple Music : ces 2 nouveautés ont un air de déjà-vu ? Normal, elles ressemblent fortement à celles de Spotify

La firme de Cupertino continue d’enrichir Apple Music. Avec la première bêta d’iOS 26.4, plusieurs nouveautés sont ajoutées à l’application. Toutefois, deux d’entre elles pourraient susciter chez vous un sentiment…

Meilleures tablettes Samsung : quelle tablette choisir en 2026 ?

Vous souhaitez acheter une nouvelle tablette ? Samsung propose un large choix de modèles qui vont de l’entrée de gamme aux tablettes premium. Mais faire le bon choix n’est pas…

Google Messages corrige enfin ce problème qui agace les utilisateurs depuis des années

Google Messages évolue régulièrement avec de nouvelles fonctions. Pourtant, certains petits défauts persistent depuis longtemps. L’un des plus agaçants pourrait enfin disparaître. Google modifie souvent son application de messagerie. Certaines…

France Identité devient plus utile : un nouveau lieu acceptera bientôt l’application comme preuve officielle

Aujourd’hui, il n’y a presque plus besoin de portefeuille physique : tout (ou presque) tient dans notre poche… grâce à notre smartphone. Les applications natives permettent de regrouper numériquement nos cartes…

Le Galaxy S26 Ultra plus performant que l’iPhone 17 Pro Max ? Apple ne domine plus

La domination d’Apple sur les performances mobiles est-elle en danger ? Le Galaxy S26 Ultra propulsé par une puce Snapdragon 8 Elite Gen 5 overclockée fait mieux que l’iPhone 17…

À peine sorti, le Honor Magic8 Lite passe à prix cassé dans un pack avec les Earbuds X8i !

Vous cherchez un smartphone aux caractéristiques avancées, mais à prix accessible ? Sorti en début d’année, le Honor Magic8 Lite embarque des performances solides et un design soigné. Normalement ne vente…

Les trous de ver ne seraient pas des tunnels spatiaux mais un mystère lié au temps

Les trous de ver fascinent depuis des décennies la science et la science-fiction. Ils sont souvent présentés comme des raccourcis à travers l’espace et le temps. Une nouvelle étude propose…

L’iPhone est enfin compatible avec le RCS chiffré, mais avec une grosse faiblesse

Avec la mise à jour iOS 26.4, Apple intègre le chiffrement de bout en bout pour les communications basées sur le protocole RCS. Mais cet ajout ne concerne que les…

Deezer devient bien meilleur que Spotify pour découvrir de nouveaux morceaux grâce à sa dernière mise à jour

Deezer, le rival français de Spotify, vient de déployer une nouvelle mise à jour qui améliore grandement sa fonctionnalité Flow. Celle-ci permet désormais de sélectionner quels genres musicaux on souhaite…

Zendure lance des nouveaux systèmes de stockage solaire avec jusqu’à 1686€ d’économies par an

Zendure lance 3 systèmes de stockage solaire en France. L’objectif : permettre aux propriétaires de panneaux photovoltaïques de stocker leur électricité pour l’utiliser le soir, avec des économies qui peuvent…