Sommaire

Exposition de données sensibles

1. Présentation et risques

L’exposition de données sensibles concerne surtout les attaques cryptographiques, voire le manque de chiffrement sur les réseaux et données stockées. Comme vu dans le chapitre précédent (cf. Panorama de la sécurité web - La sécurité des navigateurs et serveurs web), les attaques du type homme du milieu (MITM) sont assez simples à mettre en place et efficaces si l’application n’utilise pas de chiffrement SSL/TLS avec un HSTS (Strict Transport Security) bien configuré. La confusion entre les protocoles de chiffrement, le hachage et l’encodage peut créer des brèches, par exemple l’utilisation de fonctions base64 pour traiter des données sensibles au lieu d’un chiffrement. Ci-dessous, l’évaluation des risques selon l’OWASP :

images/03EP57.png

Selon l’OWASP, la prévalence et l’exploitabilité de ce risque sont faibles. En revanche, l’impact technique, quant à lui, est sévère, et c’est pour cette raison qu’il faut prendre en compte ce risque, surtout dans le cas où des exigences en termes de confidentialité et d’intégrité sont présentes.

Tout comme la présentation du risque précédent sur les mauvaises configurations de sécurité, la présentation des vulnérabilités n’a pas de sens pour ce risque car la protection ...