Discussion :

[Victor Vincent]

Quelle est la plateforme de développement ou le langage le plus exposé aux vulnérabilités ?
Une étude de Veracode donne des éléments de réponse

Les résultats d’une étude de Veracode révèlent que les langages de script web PHP et ASP sont plus exposés aux vulnérabilités que les plateformes Java et .NET. La vague de vulnérabilité qui a atteint WordPress et Drupal au cours des deux dernières années, ainsi que les découvertes de vulnérabilités dans des applications permettant d’attaquer ces dernières par injection a visiblement terni l’image de leur langage de script sous-jacent. En effet, environ 86 % des applications écrites en PHP sont exposées aux attaques de type cross-site scripting et 56 % d’entre elles contiennent des bogues les rendant vulnérables aux injections SQL, selon l’étude de Veracode. Cette étude s’est intéressée à PHP, Java, Microsoft Classic ASP, .NET, iOS, Android, C, C++, JavaScript, ColdFusion, Ruby et COBOL. Elle a été effectuée en faisant des scans et de l’analyse des codes source de plus de cinquante mille applications sur le cloud.

L’étude montre également que 64 % des applications écrites en ASP Classic et 62 % de celles écrites en ColdFusion présentent des bogues les rendant vulnérables aux risques d’injection SQL. Contrairement à ces langages, l’étude montre que Java et .NET ont de bien meilleures performances avec respectivement 21 et 29 % seulement des applications présentant des vulnérabilités liées aux injections SQL. Chris Wysopal, PDG de Veracodes, estime que les problèmes de PHP favorisent les injections SQL. Chris explique en effet que certaines de ces vulnérabilités continuent d’exister du fait que les programmeurs utilisent des langages difficiles à programmer et donc qu'il est difficile de sécuriser le code de ces derniers. D’après l’étude, PHP et ASP ne disposent pas de fonctions comme Java et .NET permettant de réduire le risque d’injection SQL, de cross-site scripting et de dépassement de capacité. Verracode a également pointé du doigt les plateformes mobiles Android et iOS qui présentent des faiblesses au niveau de la cryptographie.

source : Veracode

Et vous ?

Qu'en pensez-vous ?

Voir aussi

la rubrique Débats sur le développement

[TiranusKBX]

en quoi un langage de programmation à rapport aux injection SQL ? rien, à par la proportion de personnes qui ne vérifie pas les données avant requête dans leur programme(PDO prepare() est vôtre ami )
pourquoi voit-on plus de faille de programme sous PHP et ASP ? simplement car la proportion de site avec c'est 2 langages est bien plus importante que pour les autres non ?

Donc pour moi cette étude sert à rien mis à part déformer la réalité apportée par les chiffres pour amener à passer sous java ou .net 2 langages propriétaires

[Ducdevolpe]

Eh bien je voulais donner mon avis, mais TyranusKBX l'a tout à fait résumé :-D. +1

Il n'y a pas de rapport entre les sites mal sécurisé et sensible aux injection sql et php... Ce sont les développeurs qui ne prennent pas attention (ou alors qui ne sont absolument pas formés aux risques) à la sécurité et n'utilise pas les possibilités (comme pdo) offerte par php.

[RyzenOC]

Les langages les moins sécurisé je pense que c'est les langages bas niveau (C, C++ par exemple), car il plus facile pour un pirate de corrompre la mémoire.

[pschiit]

Je ne sais pas si c'est parcequ'un site est développé en ASP classic qu'il est plus vulnérable, ou si c'est parceque c'est un vieux site fait à une époque où on se souciait moins de ce genre de problématique...

[MikeRowSoft]

C'est une peu comme s'habiller et se rendre compte qu'il fait froid ou que la tenu est souvent indicatrice d'un lieu géographique.

PHP en tous cas sa m'étonne, puisque les droits utilisateurs associé sont souvent celui d'un utilisateur donnant par "héritage" ses droits à une application, SQL ayant lui aussi des droits, mais pas souvent relié aux états de services des entreprises, puisque très souvent c'est le même utilisateur qui manipule les bases de données pour toute une catégorie d'employé.

[Luckyluke34]

Quelle est la plateforme de développement ou le langage le plus exposé aux vulnérabilités ?

Tiens, c'est déjà Trolldi ?

[tomlev]

L’étude montre également que 64 % des applications écrites en ASP Classic et 62 % de celles écrites en ColdFusion présentent des bogues les rendant vulnérables aux risques d’injection SQL.

Oui enfin des apps en ASP classique ou ColdFusion, il doit pas en rester des masses

D’après l’étude, PHP et ASP ne disposent pas de fonctions comme Java et .NET

PHP (et probablement ASP aussi) dispose bien de telles fonctions, mais comme c'est historiquement un langage de bidouilleurs et de débutants (historiquement, pas exclusivement... fans de PHP, ne montez pas sur vos grands chevaux ), beaucoup de développeurs n'ont pas pris l'habitude de les utiliser.

pourquoi voit-on plus de faille de programme sous PHP et ASP ? simplement car la proportion de site avec c'est 2 langages est bien plus importante que pour les autres non ?

Pour PHP OK, mais ASP ça m'étonnerait qu'il en reste beaucoup. Et de toute façon on parle de proportion de sites vulnérables pour chaque techno, donc le nombre de sites utilisant ces technos ne change rien à l'affaire.

Donc pour moi cette étude sert à rien mis à part déformer la réalité apportée par les chiffres pour amener à passer sous java ou .net 2 langages propriétaires

Java n'est pas vraiment propriétaire (du moins il en existe une implémentation open-source: OpenJDK)
Et .NET n'est pas un langage mais une plateforme. Le langage C# est open-source depuis 1 an et demi, et l'implémentation cross-platform de .NET (.NET Core et CoreCLR, actuellement en RC) est également open-source.

Bref, ta théorie de la conspiration pour amener les gens à des langages propriétaires me semble un peu bancale...

[youtpout978]

en quoi un langage de programmation à rapport aux injection SQL ? rien, à par la proportion de personnes qui ne vérifie pas les données avant requête dans leur programme(PDO prepare() est vôtre ami )
pourquoi voit-on plus de faille de programme sous PHP et ASP ? simplement car la proportion de site avec c'est 2 langages est bien plus importante que pour les autres non ?

Donc pour moi cette étude sert à rien mis à part déformer la réalité apportée par les chiffres pour amener à passer sous java ou .net 2 langages propriétaires

Parce que je crois que d'office tu as des outils implémentés dans ces langages pour éviter les injections, t'aura beau écrire un code vulnérable au Injection ou autre faille de sécurité quand tu en tentera une le framework l'interceptera et te renverra un joli message d'erreur (j'avais testé en Asp.Net de faire une injection j'ai eu une jolie erreur), après corrigé moi si je me trompe.

[Luckyluke34]

t'aura beau écrire un code vulnérable au Injection ou autre faille de sécurité quand tu en tentera une le framework l'interceptera et te renverra un joli message d'erreur (j'avais testé en Asp.Net de faire une injection j'ai eu une jolie erreur), après corrigé moi si je me trompe.

Non, c'est bien ça. Par contre, est-ce que ça peut compter dans les critères qui font "qu'une plateforme est exposée aux vulnérabilités" ? En tout cas, ça ne doit pas dispenser les développeurs de concevoir sérieusement la sécurité de leurs applications quelle que soit la plateforme.

[Sergeobee]

Chacun peut faire ses études hein...

Bref, la sécurité des langages est d'abord le fait de l'utilisation du programmeur et des éléments autour (navigateur, serveur, etc.).
Et tant que Facebook sera programmé en PHP* (je rappelle juste que c'est l'une des plus "grandes" applications grand public du monde mettant en exergue l'interaction avec une base de données), il faudra qu'on me passe sur le corps pour m'inciter à abandonner le PHP.

Par ailleurs, qui a financé cette étude?
Si j'émets l'hypothèse selon laquelle, Veracode sachant qu'il y a plus 3 fois plus d'applications en PHP (ASP) que tous les autres réunis publiés sur le web, voudrait inciter les développeurs à sécuriser leurs applications chez eux, je me trompe? Une hypothèse hein

(*): http://www.developpez.com/actu/69143...rs-nouveautes/

[youtpout978]

Chacun peut faire ses études hein...

Bref, la sécurité des langages est d'abord le fait de l'utilisation du programmeur et des éléments autour (navigateur, serveur, etc.).
Et tant que Facebook sera programmé en PHP* (je rappelle juste que c'est l'une des plus "grandes" applications grand public du monde mettant en exergue l'interaction avec une base de données), il faudra qu'on me passe sur le corps pour m'inciter à abandonner le PHP.

Facebook c'est du php en surface mais derrière ça c'est une solution maison qui tourne pour avoir des performances décente http://royal.pingdom.com/2010/06/18/...hind-facebook/

Après tu peux partir sur les mêmes solutions si ta besoin d'une solution performante et que tu choisis le PHP pour ça.

[melka one]

Apparemment il n’y a rien a dire sur JavaScript

[Metalman]

Ok... donc ils étudient des "langages", et finalement ne tombent que sur les parties webs.
Uhuh... incroyable : quand on cherche des failles, les parties les plus exposées au public sont les plus sensibles.
Bravo. Jamais je n'aurais deviné ça.

Après, faire confiance à un framework n'est pas plus safe que bien penser ses requêtes SQL et la façon de les émettre.
Quand une faille apparaitra dans le framework : que se passera-t-il ? Il faudra refaire une étude pour inverser le classement ?
C/C++ sont plus fiables, mais en fait non car on tape en mémoire... c'est quoi cette comparaison avec PHP, .Net, etc... ?

Quels sont les critères de comparaison ? Quels codes C ou COBOL ont-ils comparé avec PHP ou Java ?

Bref, c'est malheureux de lire ça.

[tomlev]

Apparemment il n’y a rien a dire sur JavaScript

En même temps, tu as souvent manipulé une DB SQL en Javascript ? (oui je sais, c'est possible avec Node.js, mais la plupart des devs JS font plutôt du front-end)

Sinon, pour revenir au débat principal, ce n'est pas vraiment une question de langage, mais plutôt une question de bonnes pratiques. Tous les langages permettent de faire des requêtes paramétrées pour éviter l'injection SQL, et écrire du code vulnérable à l'injection SQL, c'est limite impardonnable de la part d'un développeur professionnel.

Après, c'est aussi lié à la culture de chaque techno ; certaines technos comme Java ou .NET tendent à encourager les bonnes pratiques, alors que PHP par exemple a un peu une culture du "quick and dirty", du fait que ce soit une techno très accessible aux débutants (encore une fois, c'est une remarque générale, je sais bien qu'il est aussi possible de coder proprement en PHP...)

[yann2]

en quoi un langage de programmation à rapport aux injection SQL ? rien, à par la proportion de personnes qui ne vérifie pas les données avant requête dans leur programme(PDO prepare() est vôtre ami )
pourquoi voit-on plus de faille de programme sous PHP et ASP ? simplement car la proportion de site avec c'est 2 langages est bien plus importante que pour les autres non ?

Donc pour moi cette étude sert à rien mis à part déformer la réalité apportée par les chiffres pour amener à passer sous java ou .net 2 langages propriétaires

Bonjour

Autant, je suis à peu près d'accord avec vous pour la première partie de la réponse, autant la deuxième partie (celle en gras) est complètement fausse puisque les résultats donnés sont en pourcentages... je pense que ça vient surtout du fait que la plupart des sites amateurs sont plus souvent réalisés en PHP qu'en Java ou .Net. Un mec qui fait un livre d'or en recopiant le code de PHP4 et MySQL pour les nuls sera vulnérable aux deux types d'attaque (Injection SQL et Cross Site Scripting). En gros, il faudrait plutôt comparer la part des applications amateurs pour chaque plateforme.

PHP et ASP ne disposent pas de fonctions comme Java et .NET permettant de réduire le risque d’injection SQL, de cross-site scripting et de dépassement de capacité.

Je ne me prononce pas pour les attaques xss et de "dépassement de capacité" mais pour les injections SQL tout bon framework d'abstractions d'accès à une BDD fourni les exécutions préparées qui prémunissent contre les attaques par injection SQL (rien de plus simple à utiliser en plus, c'est pour ça que je suis toujours abasourdi quand j'entends que des sites sont encore vulnérables à des attaques de type injection SQL).

[el_slapper]

Ok... donc ils étudient des "langages", et finalement ne tombent que sur les parties webs.
Uhuh... incroyable : quand on cherche des failles, les parties les plus exposées au public sont les plus sensibles.
Bravo. Jamais je n'aurais deviné ça.(.../...)

Sur. Le COBOL est rarement attaqué tout simplement parce qu'il est présent uniquement dans les couches les plus basses de systèmes d'informations généralement massifs. Et que les pirates n'arrivent même pas en position de l'attaquer. La partie émergée de l'iceberg est bien plus facile d'accès. Dur d'en conclure quoi que ce soit(même si une machine MVS, bien plus que le langage COBOL qui tourne dessus, est généralement hyper-sécurisée - on voit là l'imposture de l'étude, c'est l'OS qui fait la sécurité, dans ce cas, pas le langage).

[imikado]

Comme mes camarades: il n'y a pas de langages plus ou moins sécurisés, mais de bonnes pratiques à appliquer par les développeurs peu importe la technologie.

J'avais écrit un article sur la sécurité en php : http://imikado.developpez.com/tutori...e-mkframework/

Et avec l'experience, je vois qu'on enseigne pas à l'école la sécurisation des applications, c'est une fois en entreprise, et encore quand l'entreprise s'en préoccupe que l'on apprend à se protéger des failles xss, nullbyte, SQLi, DDoS...
Combien d'entreprise paie des sociétés pour faire des audit de sécurité de leurs applications ? même dans le e-commerce
Pour avoir travailler de nombreuses années dans ce secteur, je peux dire que peu importe le nom affiché sur l'enseigne peu ou pas le font

Oui ça coute cher, oui ça prend du temps de faire auditer son infrastructure ou ses applications (en boite noire/blanche)
Mais clairement, quand c'est son coeur de métier c'est un investissement de sécuriser ce qui peut corrompre son image auprès des clients

[dragonjoker59]

Comme mes camarades: il n'y a pas de langages plus ou moins sécurisés, mais de bonnes pratiques à appliquer par les développeurs peu importe la technologie.

Mouais, moi, en tant que développeur C++, je dis qu'il y a quand même des langages qui laissent bien plus de portes ouvertes que d'autres, C et C++ ne fermant pas de portes...

[imikado]

Euh... la plupart des failles que l'on cite sont plus lié au type d'application "web" qu'au langage

Techniquement, une faille xss, xsrf ou SQLi peuvent arriver sur tous les langages

Idem pour le DDoS applicatif