← Retour au blog
Recherche 25 min de lecture

OWASP Top 10 2025 : Le Guide Complet des Risques de Sécurité des Applications Web

Le OWASP Top 10 est le standard le plus reconnu en matière de risques de sécurité des applications web. Que vous soyez développeur, ingénieur sécurité ou dirigeant — ce guide explique chaque catégorie avec des exemples concrets, techniques de détection et stratégies de remédiation.

ℹ️ Qu'est-ce que le OWASP Top 10 ?

Un document de sensibilisation mis à jour périodiquement qui classe les risques de sécurité les plus critiques pour les applications web. Basé sur l'analyse de données de centaines d'organisations, des enquêtes communautaires et des données réelles de violations. Référencé par PCI DSS, DORA, NIS2 et de nombreuses normes industrielles.


A01 Contrôle d'accès défaillant

Vulnérabilité n°1 la plus courante — trouvée dans 94 % des applications testées.

⚠️ Exemples concrets

  • IDOR : Changer /api/users/123/profile en /api/users/124/profile
  • Élévation de privilèges : Un utilisateur standard accédant à /admin/dashboard
  • Contrôle d'accès fonctionnel manquant : L'API vérifie l'authentification mais pas l'autorisation
  • Mauvaise configuration CORS : Permettre à des sites malveillants d'effectuer des requêtes authentifiées

✅ Remédiation

  • Implémenter le contrôle d'accès côté serveur — ne jamais se fier au côté client
  • Refuser par défaut — exiger des autorisations explicites
  • Implémenter un RBAC ou ABAC approprié
  • Journaliser et alerter sur les échecs de contrôle d'accès
  • Limiter le débit d'accès aux API

A02 Défaillances cryptographiques

Anciennement « Exposition de données sensibles » — renommé pour se concentrer sur la cause profonde.

⚠️ Erreurs courantes

  • Pages de connexion transmettant les identifiants en HTTP non chiffré
  • Support de TLS 1.0/1.1 ou suites de chiffrement faibles
  • Mots de passe stockés avec MD5 ou SHA-1 au lieu de bcrypt/Argon2
  • Clés de chiffrement codées en dur dans le code source
  • Sauvegardes de bases de données sans chiffrement

✅ Remédiation

Imposer HTTPS partout avec HSTS. Utiliser AES-256, bcrypt/Argon2, SHA-256+. Ne jamais coder en dur les secrets — utiliser Vault ou AWS Secrets Manager. Chiffrer les données au repos. Désactiver TLS 1.0/1.1.

A03 Injection

La vulnérabilité web classique — toujours dans le top 3 après deux décennies.

Types d'injection

  • Injection SQL : ' OR 1=1 -- et des attaques bien plus sophistiquées
  • Injection NoSQL : Manipulation JSON de MongoDB/CouchDB
  • Injection de commandes : Commandes OS via les entrées applicatives
  • XSS : Injection de JavaScript — réfléchi, stocké, basé sur le DOM
  • Injection de template (SSTI) : Code dans les moteurs de templates côté serveur
  • Injection d'en-têtes : Manipulation des en-têtes HTTP

✅ Prévention

Requêtes paramétrées pour toutes les interactions DB. Validation des entrées avec listes blanches. Encodage de la sortie selon le contexte. En-têtes Content Security Policy. Comptes DB avec privilèges minimaux. Utilisation cohérente des ORM.

A04 Conception non sécurisée

Nouvelle catégorie — défauts au niveau de la conception, pas des bugs d'implémentation.

⚠️ Exemples

  • Flux de réinitialisation de mot de passe permettant des tentatives illimitées (pas de limitation de débit)
  • Application côté client des règles métier (validation des prix en JS)
  • Clé API unique accordant accès en lecture et écriture à toutes les ressources

Solution : Intégrer la modélisation des menaces (STRIDE, PASTA) dans la phase de conception. Utiliser des patrons de conception sécurisés. Rédiger des cas d'abus en parallèle des cas d'usage.

A05 Mauvaise configuration de sécurité

Trouvée dans 90 % des applications testées.

⚠️ Mauvaises configurations courantes

  • Mots de passe admin par défaut sur les bases de données et panneaux d'administration
  • Listing de répertoire, endpoints de debug, messages d'erreur verbeux activés
  • En-têtes de sécurité manquants (CSP, X-Frame-Options, X-Content-Type-Options)
  • Buckets S3 ou blobs Azure accessibles publiquement
  • Méthodes HTTP inutiles (PUT, DELETE, TRACE) activées

✅ Prévention

Processus de durcissement reproductible. Supprimer toutes les fonctionnalités inutiles. Implémenter tous les en-têtes de sécurité. Automatiser la gestion de configuration avec l'IaC. Audits de configuration réguliers. Utiliser le CSPM pour le cloud.

A06 Composants vulnérables et obsolètes

528
Composants moy./appli
84 %
Bases de code avec vulns connues
48 %
Vulnérabilités à haut risque
252j
Temps moyen de correction

⚠️ Exemples notables

  • Log4Shell (CVE-2021-44228) : RCE critique affectant des millions d'applications Java
  • Spring4Shell (CVE-2022-22965) : RCE dans Spring Framework
  • XSS jQuery : De nombreuses applications utilisent encore des versions vulnérables de jQuery

Solution : Maintenir un inventaire des composants (SBOM). Surveiller en continu les bases CVE. Supprimer les dépendances inutilisées. Automatiser les mises à jour avec Dependabot/Renovate.

A07 Défaillances d'identification et d'authentification

⚠️ Défaillances courantes

  • Credential stuffing : Attaques automatisées utilisant des mots de passe volés
  • Politiques de mots de passe faibles (autorisant « password123 »)
  • Fixation de session et invalidation de session manquante
  • Jetons de session exposés dans les URL
  • MFA manquant pour les fonctions critiques

✅ Prévention

Implémenter le MFA. Imposer des mots de passe forts avec vérification dans les bases de fuites. Limitation de débit sur les endpoints d'authentification. Gestion de session sécurisée (IDs aléatoires, flags HTTPOnly/Secure). Invalider les sessions à la déconnexion/changement de mot de passe.

A08 Défaillances d'intégrité des logiciels et des données

⚠️ Attaques réelles

  • SolarWinds (2020) : Code malveillant dans une mise à jour logicielle légitime — 18 000 organisations affectées
  • Désérialisation non sécurisée : Exécution de code arbitraire via des données non fiables
  • Compromission de pipeline CI/CD : Incidents Codecov, ua-parser-js
  • SRI manquant : Chargement de JS depuis des CDN sans hashes d'intégrité

Solution : Signatures numériques sur tous les logiciels/données. Subresource Integrity (SRI) pour les ressources externes. CI/CD sécurisé avec contrôles d'accès et signature. Éviter la désérialisation non sécurisée — utiliser JSON.

A09 Défaillances de journalisation et de surveillance de sécurité

ℹ️ Le coût de l'aveuglement

Temps moyen pour identifier une violation : 204 jours (IBM 2024). Sans journalisation adéquate, les attaquants peuvent établir leur persistance, exfiltrer des données et étendre leur emprise — le tout sans déclencher d'alarme.

Solution : Journaliser tous les événements d'authentification, les échecs de contrôle d'accès et les échecs de validation des entrées. Inclure le contexte (horodatage, utilisateur, IP, action). Centraliser les logs dans un SIEM inviolable. Implémenter des alertes automatisées. Tester régulièrement les capacités de détection.

A10 Falsification de requête côté serveur (SSRF)

Nouvelle catégorie — ajoutée en raison de la prévalence croissante dans les architectures cloud-natives.

⚠️ Pourquoi le SSRF est dangereux

  • Violation Capital One (2019) : SSRF → métadonnées AWS → 100 M+ de dossiers clients exposés
  • Vol de métadonnées cloud : Accès à http://169.254.169.254/ pour les identifiants IAM
  • Accès aux services internes : Atteinte des API, bases de données, panneaux d'administration derrière le pare-feu

✅ Prévention

Valider toutes les URL fournies par l'utilisateur côté serveur. Utiliser des listes blanches pour les domaines autorisés. Bloquer les plages d'IP privées (10.x, 172.16.x, 169.254.x, 127.x). Désactiver les schémas d'URL inutiles (file://, gopher://). Utiliser IMDSv2 sur AWS. Segmenter les services de récupération d'URL.


Comment KENSAI scanne le OWASP Top 10

Catégorie OWASPCouverture KENSAI
A01 Contrôle d'accès défaillantTests IDOR, contournement d'autorisation, vérifications CORS
A02 Défaillances cryptographiquesAnalyse TLS, vérification des en-têtes, validation du chiffrement
A03 InjectionSQL, XSS, injection de commandes, SSTI, injection d'en-têtes
A04 Conception non sécuriséeLimitation de débit, ressources prévisibles, tests logiques
A05 Mauvaise configurationEn-têtes, valeurs par défaut, divulgation d'information, méthodes HTTP
A06 Composants vulnérablesFingerprinting technologique, base de 332K+ CVE
A07 Défaillances d'authentificationIdentifiants par défaut, tests de session, analyse des cookies
A08 Défaillances d'intégritéVérifications SRI, tests de désérialisation
A09 Défaillances de journalisationAnalyse des en-têtes de sécurité, revue de gestion des erreurs
A10 SSRFInjection d'endpoints internes, tests de métadonnées cloud
332K+
CVE suivies
10/10
Couverture OWASP
IA
Précision alimentée
990 €
Prix de départ/mois

Testez votre application contre le OWASP Top 10

Scan gratuit — sans engagement, sans carte bancaire. DAST alimenté par l'IA avec rapports prêts pour la conformité.

Lancer le Scan Gratuit →

FAQ

Quelle est la vulnérabilité OWASP la plus courante ?

Contrôle d'accès défaillant (A01) — trouvé dans 94 % des applications testées. Elle est passée de la position 5 à la position 1, reflétant l'échec généralisé à appliquer l'autorisation, particulièrement dans les API et SPA.

La conformité OWASP Top 10 est-elle obligatoire ?

Le OWASP Top 10 en lui-même est volontaire. Cependant, il est référencé par PCI DSS (exige de traiter le OWASP Top 10), NIS2 (attend une gestion systématique des vulnérabilités), DORA (référence les tests selon les standards industriels) et de nombreuses évaluations fournisseurs. En pratique, c'est effectivement obligatoire.

Les outils automatisés peuvent-ils détecter tout le OWASP Top 10 ?

Les outils DAST automatisés détectent efficacement la plupart des catégories — en particulier l'injection (A03), les défaillances cryptographiques (A02), les mauvaises configurations (A05) et les composants vulnérables (A06). Certaines catégories comme la conception non sécurisée (A04) et les défaillances de journalisation (A09) nécessitent souvent une évaluation manuelle. Utilisez le scan automatisé pour la couverture + les tests manuels pour la profondeur.

À quelle fréquence le OWASP Top 10 est-il mis à jour ?

Tous les 3 à 4 ans. Versions majeures : 2013, 2017, 2021. Chaque mise à jour reflète l'évolution du paysage des menaces — la mise à jour 2021 a introduit la conception non sécurisée (A04) et le SSRF (A10) tout en réorganisant les autres.

La sécurité n'est pas optionnelle.

🗡️ L'équipe KENSAI

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home