L’étude réalisée par le cabinet Wavestone met en avant les innombrables failles affectant les sites web des grandes entreprises.
Tous les sites web testés ont des failles, plus de la moitié des failles graves.
Les sites web des grandes entreprises sont régulièrement attaqués et, trop souvent, cela débouche au mieux sur un defacing, au pire sur des vols massifs de données personnelles des clients (notamment des données de moyens de paiement). Le cabinet Wavestone, qui réalise des audits et des prestations de sécurité des sites web, a mené une étude sur les sites des plus grands groupes.
Le bilan fait peur : tous les sites accessibles depuis Internet présentent au moins une faille, 56 % présentent une faille grave pouvant mener à des fuites d’information, à l’accès aux contenus ou à la prise de contrôle des serveurs (60 % en 2016). C’est d’autant plus gênant que cette étude est réalisée depuis trois ans et que la situation n’a quasiment pas changé depuis le début. Concernant les sites Intranet, la situation s’améliore légèrement : 75 % avaient des failles graves en 2016, 68 % en 2017 et 66 % en 2018.
La première typologie de faille concerne le chiffrement et huit sites sur dix (de 79 % à 83 % selon les années). Parmi ces failles, notons : les protocoles vulnérables, les certificats invalides, etc. La diffusion d’informations techniques superflues (par exemple : la version d’un composant sur une page d’erreur) concerne à peu près autant de sites. L’exécution de code à l’insu du visiteur concerne environ la moitié des sites. Le manque de robustesse de l’identification (comme l’absence de dispositif anti-force-brute pour trouver un mot de passe) est la faille qui subit la deuxième meilleure amélioration : de 55 % en 2016 à 44 % en 2018. La première est la possibilité d’injection SQL : de 25 % en 2016 à 10 % en 2018. Dans un tiers des cas, Wavestone estime que « tout est à revoir », tant le nombre de paramètres touchés est important (de dizaines à plusieurs centaines).