Selon le State of Software Security (SOSS) 2017 de Veracode, 88% des applications contiennent un ou plusieurs composants vulnérables. Et plus de 53% des applications Java s’appuient sur une version vulnérable des composants issus des collections communes (Commons Collections components).
Ce phénomène s’explique par la réutilisation fréquente de composants Java. Une méthode qui facilite et accélère le développement d’une application. Jusqu’à 75% d’une application peut ainsi être construite à base de composants Open Source, avance le fournisseur de sécurisation du code. Or, il n’est pas rare qu’un développeur ne mette pas à jour son code lorsqu’une faille y est découverte ou quand de nouvelles versions des composants sont disponibles.
« L’utilisation universelle des composants dans le développement d’applications signifie que lorsqu’une seule vulnérabilité dans un seul composant est divulguée, cette vulnérabilité a maintenant le potentiel d’avoir un impact sur des milliers d’applications – ce qui rend bon nombre d’entre elles cassables avec un seul exploit », souligne Chris Wysopal, CTO de la société acquise par CA Technologies en mars.
Et de citer l’exemple de la faille « Struts-Shock ». Pas moins de 68% des applications Java s’appuyant sur la bibliothèque Apache Struts 2 utilisaient une version boguée du code. Résultat, 35 millions de sites web étaient vulnérables. D’autant que le correctif contenait lui-même des défaillances.
La 8e édition du rapport de Veracode s’appuie sur 400 000 analyses de code, soit 250 milliards de lignes passées au crible sur 12 mois. Une analyse qui a révélé 12,8 millions de vulnérabilités. L’étude rapporte aussi que seules 28% des entreprises effectuent une analyse pour suivre et surveiller les composantes de leurs applications.
Pas question pour autant de cesser d’utiliser les composants Open Source. Mais il convient de s’assurer de leur intégrité avant de les exploiter. « Nous avons maintenant constaté un certain nombre de violations en raison de composants vulnérables et, à moins que les entreprises ne commencent à prendre cette menace plus au sérieux, et d’utiliser des outils pour surveiller l’utilisation des composants, je prévois que le problème va s’intensifier », alerte Chris Wysopal.
Lire également
Une faille Apache Struts menace 65% des entreprises du Fortune 100
Les sites web menacés par les librairies JavaScript obsolètes
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…