Les entreprises soucieuses de la sécurité examinent un grand nombre de technologies de développement lorsqu'elles doivent bâtir un site Internet. La question qui revient le plus souvent est la suivante :

  • « Quel est le langage de programmation ou l'environnement de développement le plus sûr du marché ? »

Un rapport de WhiteHat Security apporte certains éléments de réponse. Les 10 principaux constats du rapport sont les suivants :

  • Empiriquement, les langages/ environnements de programmation n'ont pas la même posture vis-à-vis de la sécurité une fois déployés. Ils présentent des vulnérabilités moyennement différentes, avec des fréquences d'occurrence différentes, et qui sont corrigées au bout de délais différents.
  • La surface d'attaque d'une application Web à elle seule n'est pas nécessairement liée au volume ni au type des problèmes identifiés. Par exemple, l'expérience montre que Microsoft .NET et Apache Struts, dont la surface d'attaque est proche de la moyenne, sont ceux qui ont les vulnérabilités moyennes les plus basses.
  • Perl présente un nombre moyen de vulnérabilités largement supérieur, de 44,8 par site Web ; avec 11,8, il conserve aujourd'hui le nombre le plus élevé.
  • Struts a dépassé Microsoft .NET pour le nombre moyen le plus faible de vulnérabilités actuellement ouvertes par site Web, avec un score de 5,5 contre 6,2.
  • Historiquement, ColdFusion arrive au deuxième rang du plus grand nombre moyen de vulnérabilités par site Web, avec 34,4. C'est toutefois le moins susceptible de présenter une vulnérabilité grave non résolue s'il est géré sous WhiteHat Sentinel (54 %). Il est talonné par Microsoft ASP Classic qui, avec un taux de 57 %, battait son successeur Microsoft .NET de tout juste un point.
  • Les sites Web codés en Perl, ColdFusion, JSP et PHP sont, dans quelque 80 % des cas, les plus susceptibles de présenter au moins une vulnérabilité grave. Les autres langages et environnements se tenaient tous dans une fourchette de dix points de pourcentage.
  • Parmi les sites Web contenant des URL avec des extensions Microsoft .NET, 36 % des vulnérabilités comportaient des extensions Microsoft ASP Classic. Inversement, 11 % des vulnérabilités des sites Web en ASP comportaient des extensions Microsoft .NET.
  • 37 % des sites Web ColdFusion présentaient des vulnérabilités SQL Injection, taux le plus élevé mesuré, alors que Struts et JSP arrivaient en dernier avec, respectivement, 14 % et 15 %.
  • Avec une moyenne de 44 jours, ce sont les vulnérabilités SQL Injection qui ont été réparées le plus rapidement sur les sites Web Microsoft ASP Classic, juste devant PERL (PL) dont la moyenne est de 45 jours.
  • 79 % des vulnérabilités SQL Injection « urgentes » ont été corrigées sur les sites Web Struts, la plupart sur site. Elles sont suivies par les vulnérabilités Microsoft .NET (71 %) et Perl (71 %), les suivantes se situant entre 58 % et 70 %.

Ce rapport repose sur les données de 1 659 sites Internet

Source :