Open Worldwide Application Security Project

OWASP est créé par Mark Curphey le 9 septembre 2001. Jeff Williams est nommé président bénévole de la fin de l’année 2003 à septembre 2011. Tobias Gondrom lui succède. Avi Douglen en assume la fonction pour un mandat de deux années courant jusqu’au 31 décembre 2025^[2].

La communauté OWASP est fondée quatre mois avant la publication du mémo « Trustworthy computing » par Bill Gates, lequel souligne la nécessité, avec la plus haute priorité, d’avoir des systèmes informatiques sécurisés et fiables. Elle se donne pour objectif de fournir des éléments, informations et solutions, aux développeurs afin que ces derniers puissent prendre des décisions en matière de sécurisation de leurs applications web^[3].

Les projets les plus connus sont présentés ci-après.

Le projet OWASP Top Ten a pour but de fournir une liste des dix risques de sécurité les plus critiques dans les applications web afin d'y sensibiliser les développeurs web. Il repose principalement sur l’analyse en fréquences des vulnérabilités rapportées, en l’occurrence via les bulletins de sécurité des CSIRT et sur la base des CVE, et sur un consensus entre professionnels de la sécurité.

Le classement établi fait référence aujourd'hui dans le domaine de la sécurité. Il est cité par de nombreux organismes d’audits et de sécurisation des systèmes d’information (DoD, PCI Security Standard).

La première liste est publiée en 2003^[4]. OWASP a renouvelé cette liste en 2010, 2013, 2017 et 2021. La dernière mise à jour publiée est disponible sur le site web officiel dédié à OWASP Top Ten^[5].

En 2017, les dix failles les plus dangereuses identifiées par OWASP étaient les suivantes^[6]:

1. Injection : cela correspond à l'injection de code dans les applications web (exemple typique : injection SQL ou dans l'interface système). Les attaquants cherchent à entrer des données de façon qu'elles soient interprétées comme une commande, leur permettant ainsi d'effectuer des actions non désirées.
2. Broken authentification : cela correspond à une mauvaise gestion de l’authentification et de la session, que les attaquants peuvent exploiter pour récupérer mots de passe, clés, jetons de session, ou pour usurper l'identité d'un autre utilisateur.
3. Sensitive data exposure : cela correspond à une mauvaise protection des données sensibles (comme les données personnelles). Ces dernières sont collectées par les attaquants pour effectuer des usurpations d'identité, pour commettre des vols de cartes de paiement ou d’autres méfaits.
4. XML external entities (en) : les interpréteurs XML obsolètes ou mal configurés évaluent les entités externes déclarées dans un fichier XML. Or ces entités peuvent être utilisées pour accéder à des fichiers, analyser des ports ou exécuter du code à distance.
5. Broken access control : il s'agit de défauts dans la gestion des droits d'accès, permettant aux attaquants d'activer des fonctionnalités qui ne leur sont pas normalement accessibles.
6. Security misconfiguration : cela correspond aux failles de configuration liées aux serveurs web, applications, base de données ou frameworks.
7. Cross-site scripting : abrégée aussi en XSS, cette faille concerne les sites dont une partie du contenu est produite par les utilisateurs (médias sociaux notamment). Si le site ne vérifie pas les éditions des utilisateurs, des attaquants peuvent écrire du code malveillant dans une publication, lequel sera exécuté par un autre utilisateur à son insu, permettant ainsi le vol de sa session ou sa redirection vers un site frauduleux.
8. Insecure data deserialization : Une dé-sérialisation (conversion d'une chaîne de caractères en objets) non sécurisée peut permettre à un attaquant d'insérer ses propres objets et parfois son propre code malveillant dans une application.
9. Using components with known vulnerabilities : cela correspond aux failles liées à l’utilisation de composants tiers.
10. Insufficient logging and monitoring : la plupart des études de brèches de sécurité indiquent que la durée entre le début de l’exploitation et la découverte de ces brèches dépasse souvent 200 jours. Cela laisse largement le temps aux attaquants d’exploiter celles-ci et de perfectionner leur emprise sur le système. Les systèmes de surveillance informatique et de logging devraient être capables de détecter des activités suspectes pour émettre des alertes au plus tôt.

Il s'agit d'une plateforme de formation permettant à un utilisateur d'apprendre à exploiter les vulnérabilités les plus courantes sur une application Web.

Le projet OWASP Zed Attack Proxy, abrégé en ZAP, correspond à la mise au point d’un logiciel qui incorpore de nombreuses fonctionnalités utiles pour la réalisation d'audits de sécurité et qui opère en mode proxy de manière principale mais non exclusive. En plus de proposer à l'utilisateur de visualiser les requêtes échangées avec un serveur Web, ce logiciel rend possible la modification de ces requêtes ou encore l’analyse des identifiants de session.

Il s'agit d'un document de plusieurs centaines de pages destiné à aider une personne à évaluer le niveau de sécurité d'une application Web.

Il s'agit d'un document de plusieurs centaines de pages présentant une méthode de revue de code sécurité.

Par ailleurs, OWASP organise régulièrement des meetings un peu partout dans le monde. Durant ces rendez-vous, des intervenants issus du monde de la sécurité présentent un produit, une faille, un projet OWASP etc.

• Site internet de la communauté OWASP
• Portail du chapitre français d'OWASP

•   Portail de la sécurité de l’information
•   Portail de la sécurité informatique