"Cette année les entreprises du monde entier n’ont eu d’autre choix que d’accélérer leur transformation numérique”, a déclaré Miju Han, directrice Product Management chez HackerOne. "Les entreprises ont redoublé d’efforts pour trouver de nouvelles sources de revenus, en créant ou en adaptant des offres numériques pour répondre aux nouveaux besoins de leurs clients. Des dizaines de millions d’employés ont dû recourir au travail à distance sans forcément avoir été préparés. Face à l’accélération de la transformation numérique, les DSI ont dû rapidement répondre à de nouveaux besoins tout en assurant la sécurité de leurs systèmes informatiques. Pour relever ces défis, ils ont pu réévaluer leur approche de la sécurité collaborative. Le recours aux hackers éthiques s’est ainsi accentué ces derniers mois, s’imposant comme une solution agile qui permet d’optimiser les ressources et est plus facilement justifiable en cas de budgets restreints", ajoute-t-elle.

La plateforme HackerOne héberge une base de données de vulnérabilités qui fait autorité sur son marché. Sa communauté de hackers a déjà permis de détecter plus de 200 000 vulnérabilités, dont l’analyse a permis de dresser le Top 10 des vulnérabilités les plus critiques et les plus récompensées.

Voici le top 10 des vulnérabilités les plus critiques en 2020 :
1. Cross-site Scripting (XSS)
2. Accès non autorisé (Improper Access Control)
3. Divulgation d’informations
4. Falsification de requêtes côté serveur (SSRF)
5. Référence directe d’objet non sécurisé (IDOR)
6. Escalade des privilèges
7. Injection SQL
8. Authentication incorrecte
9. Injection de code
10. Falsification de requête inter-site (CSRF)

En examinant de plus près les 10 premières vulnérabilités de cette année et en les comparant à celles de 2019, il ressort que :

1. Les vulnérabilités de type Cross-site Scripting (XSS) restent une menace majeure pour les applications web, car les attaquants exploitant les attaques XSS peuvent prendre le contrôle du compte de l’utilisateur et dérober des informations personnelles telles que les mots de passe, les numéros de compte bancaire, les informations relatives aux cartes de crédit, les informations d’identification personnelle (IIP), les numéros de sécurité sociale, etc. Les vulnérabilités XSS figurent parmi les plus récompensées depuis deux ans, et ont coûté aux entreprises un total de 4,2 millions $, soit une augmentation de 26 % en un an. Si ces bugs représentent 18 % des vulnérabilités signalées, la récompense moyenne n’est que de 501 $. Quand on sait que la prime moyenne pour une vulnérabilité critique s’élève généralement à 3 650 $, on en déduit que les entreprises parviennent à atténuer ce risque majeur de manière très rentable.

2. Le contrôle d’accès non autorisé (en hausse de 9 places par rapport à 2019) et la divulgation d’informations (toujours en troisième position) restent des vulnérabilités très fréquentes. Le volume de récompenses pour le contrôle d’accès non autorisé a augmenté de 134 % en un an, atteignant un peu plus de 4 millions $. La divulgation d’informations n’est pas loin derrière, avec une augmentation annuelle de 63 %. Les décisions relatives au contrôle d’accès doivent être prises par des humains, car le risque d’erreurs étant élevé, il est quasiment impossible que ces deux types de vulnérabilités puissent être détectés à l’aide d’outils automatisés.

3. Les falsifications de requêtes côté serveur (SSRF), qui peuvent être exploitées pour cibler les systèmes internes derrière les pares-feux, confirme que la migration vers le cloud comporte des risques. Situés l’an dernier à la septième place du classement, les bugs SSRF étaient jusqu’à présent relativement bénins car ils étaient uniquement utilisés pour l’analyse du réseau interne avec parfois un accès aux consoles d’administration internes. Désormais, l’avènement de modèles cloud et de points d’entrée non protégés rend ces vulnérabilités de plus en plus critiques.

4. La faille SQLi / Injection SQL recule chaque année. Considérée par OWASP et d’autres comme l’une des menaces les plus dangereuses pour les applications web, elle n’occupe plus que la septième place du classement en 2020.

"Rechercher les vulnérabilités les plus courantes est une initiative peu coûteuse", poursuit Miju. Han. "Dans le top 10 des vulnérabilités les plus récompensées, seuls le contrôle d’accès non autorisé, les falsifications de demande côté serveur (SSRF) et la divulgation d’informations ont vu leur prime moyenne augmenter de plus de 10 %. Les autres en revanche, ont vu leur valeur moyenne diminué ou sont restés pratiquement inchangés. Contrairement aux méthodes et outils de sécurité traditionnels qui deviennent plus chers et plus complexes dans un contexte où les objectifs changent et la surface d’attaque s’étend, la sécurité gérée par les hackers éthiques s’avère être plus rentable au fil du temps. Grâce aux hackers, empêcher les acteurs de la cyber menace d’exploiter des bugs est devenu moins coûteux.”

Méthodologie

Cette édition du Top 10 des types de vulnérabilités les plus importantes et les plus récompensées de HackerOne a été basée sur les données exclusives de HackerOne examinant les faiblesses de sécurité résolues sur la plateforme HackerOne entre mai 2019 et avril 2020. Les vulnérabilités incluses ici ont été signalées par la communauté des hackers par le biais de divulgations de vulnérabilités et de programmes de bug bounty publics et privés. Toutes les classifications de vulnérabilités ont été faites ou confirmées par les clients de HackerOne, y compris le type de faiblesse, l’impact et la gravité.