Extrait de l'émission CPU release Ex0228 : lost + found (janvier 2026).
La OWASP Foundation, Open Worldwide Application Security Project, a pour mission d'informer sur les bonnes pratiques de programmation et d'installation. Depuis sa création en 2001, elle informe donc des failles et attaques les plus fréquentes et/ou les plus dévastatrices réalisées dans l'open-source, les applicatifs web, l'IoT. Le développeur consciencieux y trouvera des documentations sur les bonnes pratiques, des logiciels de défense périmétriques, des outils de pen-testing, et surtout leur Top 10 des vulnérabilités, qui est édité tous les 4 ans.
Et figurez-vous que la mise à jour vient d'arriver ! Elle est toute fraîche !
Mais dites-moi, et si on la jouait manière hit parade ?
[En fond sonore démarre la version intégrale de « Dream » de P.Lion, qui était le générique du Top 50 sur Canal+. Da Scritch tente pitoyablement d'imiter le timbre de voix de Marc Scalia, l'animateur historique de l'émission de télévision.]
A quitté le classement : Server Side Request Forgery (SSRF) (Falsification de requête côté serveur), mais soyez sûr que ce vieux tube tourne toujours.
Dans ce classement édition 2025, on note, dans les places 10 à 6 ;
Un nouvel entrant dans le top : Mishandling of Exceptional Conditions (Mauvaise gestion de conditions d'exception), qui concerne des comportements anormaux lors d'une erreur ou d'une exception levée, comme la fuite en production d'informations de débug sensible.
Logging & Alerting Failures (Carences dans les journaux et les alertes), quand les logs n'alertent pas correctement des erreurs, gênant les analyses post-incident.
Software or Data Integrity Failures (Manque d'intégrité des données et du logiciel), sur des sources de données ou de bibliothèques tierces pas forcément dignes de confiance.
Authentication Failures (Identification faible), quand un attaquant a la possibilité de faire croire qu'un utilisateur inexistant fait partie du système normal, ou une faiblesse comme une trop grande facilité d'automatiser les tentatives d'accès avec des mots de passe incorrects.
Insecure Design (Conception non sécurisée), quand le code ou la plateforme a une faille sérieuse de sécurité, une catégorie qui perd deux places par rapport au précédent classement.
Nous arrivons aux 5 premières catégories de danger de piratage sur internet, nous entrons donc dans
[Le fond sonore passe à l'habille du Top 5 de Radio <FMR> avec un thème up-beat] Le Top 5
Numéro 5 :
Injection, cette catégorie est passé de la 3ème à la 5ème place, mais il est toujours possible sur de nombreux systèmes d'injecter du code externe, parce que les données fournies par URL ou pièces jointes sont très mal nettoyées.
Numéro 4 :
Cryptographic Failures (Défaillances cryptographiques), tout ce qui concerne l'usage de fonctions cryptographiques faibles, désuètes, ou ayant une faiblesse par design (pensez au demandes d'états souhaitant avoir un accès à toute messagerie chiffrée). Elle aussi dégringole de la 2ème à la 4ème place, mais elle pourrait revenir en force prochainement avec les avancées en cassage de chiffrement par informatique quantique. Patience !
Numéro 3 :
Software Supply Chain Failures (Défaillances dans les sources logicielles), une des failles très très très en vogue actuellement, mais qui a perdu sa première place. On y range la compromission d'une bibliothèque tierce, les outils logiciels qui ne sont pas mis à jour régulièrement ou qu'ils n'ont pas été audités sur un risque particulier .
Numéro 2 :
Security Misconfiguration (Mauvaise configuration des sécurités) fait une progression spectaculaire depuis la 5ème place. Car trop souvent, des configurations par défaut sont beaucoup, mais alors beaucoup trop permissives, ou quand trop de fonctionnalités inutilisées sont quand même activées dans des logiciels. On y note aussi les mots de passe laissés par défaut !
Numéro 1 :
Broken Access Control (Contrôles d'accès défaillants) est actuellement en tête du classement ! Avec notamment les sessions mal invalidées après la déconnexion ou bien évidemment ce qui concerne des applicatifs qui tournent avec là aussi trop de droits ouverts. Un classement qui va faire mal avec par exemple des outils d'IA tournant sur des ordinateurs avec trop de possibilités d'intervenir un peu partout dans leur système.
C'était donc le classement des 10 vulnérabilités établi par l'OWASP sur un sondage de leurs membres spécialistes. Pensez à bien vous protéger, les p'tits clous !
Textes : Da Scritch
Illustration sonore : P. Lion - « Dream » ; habillage du Top 5 de Radio <FMR>.
Illustration : Logo OWASP, © The OWASP Foundation