Imaginez un classement des 10 façons les plus courantes dont les pirates informatiques s'introduisent dans les sites web et applications. C'est exactement ce qu'est l'OWASP Top 10.
C'est quoi l'OWASP ?
L'OWASP (Open Worldwide Application Security Project) est une organisation internationale à but non lucratif. Son objectif : aider tout le monde à créer des logiciels plus sûrs.
Tous les 3-4 ans, l'OWASP publie un "Top 10" : la liste des 10 problèmes de sécurité les plus fréquents et les plus dangereux dans les applications web. En novembre 2025, une nouvelle version est sortie.
Pourquoi c'est important ? Parce que ce classement est utilisé partout dans le monde pour :
- Savoir quoi vérifier en priorité
- Former les développeurs
- Auditer les applications
- Décider où investir en sécurité
Le Top 10 2025 en langage simple
A01 - Contrôle d'accès défaillant
Le problème : L'application laisse des utilisateurs accéder à des données ou des fonctions qui ne leur sont pas destinées.
Exemple concret : Un employé peut voir les fiches de paie de ses collègues en modifiant simplement l'adresse dans son navigateur.
A02 - Mauvaise configuration (↑ Monte de la 5ème place)
Le problème : L'application ou le serveur n'est pas correctement configuré.
Exemple concret : Le mot de passe administrateur est resté sur "admin123" depuis l'installation, ou des messages d'erreur détaillés révèlent des informations techniques aux pirates.
Pourquoi ça monte ? Cette catégorie passe de la 5ème à la 2ème place. Avec la multiplication des services cloud et des configurations complexes, les erreurs de configuration sont devenues l'une des premières causes de failles.
A03 - Failles dans la chaîne logicielle (NOUVEAU)
Le problème : Votre application utilise des composants externes (bibliothèques, outils) qui peuvent être compromis.
Exemple concret : Votre développeur utilise un outil gratuit téléchargé sur internet. Cet outil contient un virus qui infecte votre application sans que personne ne s'en rende compte.
Pourquoi c'est nouveau ? Les attaques de ce type ont explosé ces dernières années. Des entreprises comme SolarWinds ont été victimes de ce genre d'attaque, affectant des milliers de leurs clients. Cette catégorie remplace et élargit l'ancienne "Composants vulnérables et obsolètes".
A04 - Problèmes de chiffrement (↓ Descend de la 2ème place)
Le problème : Les données sensibles (mots de passe, numéros de carte bancaire) ne sont pas correctement protégées.
Exemple concret : Les mots de passe sont stockés "en clair" dans la base de données. Si un pirate y accède, il peut les lire directement.
A05 - Injection (↓ Descend de la 3ème place)
Le problème : Un pirate peut "injecter" des commandes malveillantes dans votre application.
Exemple concret : Dans un formulaire de connexion, au lieu d'entrer son nom, le pirate tape une commande qui lui donne accès à toute la base de données.
A06 - Conception non sécurisée
Le problème : L'application a été mal conçue dès le départ, sans penser à la sécurité.
Exemple concret : Un site de e-commerce permet de commander un nombre négatif d'articles (par exemple -5 téléphones), ce qui crédite le compte du client au lieu de le débiter.
A07 - Problèmes d'authentification
Le problème : Le système de connexion (login/mot de passe) est mal sécurisé.
Exemple concret : L'application autorise des mots de passe comme "123456", ou ne bloque pas un pirate qui essaie des milliers de mots de passe à la suite.
A08 - Intégrité des logiciels et des données
Le problème : L'application ne vérifie pas que les mises à jour ou les données qu'elle reçoit sont authentiques et non modifiées.
Exemple concret : Une mise à jour automatique est interceptée par un pirate qui y insère du code malveillant. L'application installe la fausse mise à jour sans vérification.
A09 - Manque de surveillance et d'alertes
Le problème : Personne ne surveille ce qui se passe sur l'application. Les attaques passent inaperçues.
Exemple concret : Un pirate essaie de se connecter 10 000 fois en une heure. Personne n'est alerté, aucune trace n'est conservée.
A10 - Mauvaise gestion des erreurs (NOUVEAU)
Le problème : Quand quelque chose tourne mal, l'application ne réagit pas correctement et peut devenir vulnérable.
Exemple concret : Quand une opération échoue, l'application affiche un message d'erreur contenant des informations techniques (nom du serveur, version du logiciel) qui aident les pirates.
Ce que vous pouvez faire
Si vous êtes dirigeant ou responsable
- Demandez un inventaire de tous les logiciels et outils utilisés par vos applications
- Exigez des mises à jour régulières de tous vos systèmes
- Faites auditer vos applications par des experts
- Formez vos équipes aux bonnes pratiques
Si vous gérez des projets informatiques
- Intégrez la sécurité dès le début des projets, pas à la fin
- Utilisez des outils automatiques pour détecter les composants vulnérables
- Surveillez activement vos applications (logs, alertes)
- Testez régulièrement la résistance de vos applications
Conclusion
Le Top 10 OWASP 2025 nous rappelle une réalité : les menaces évoluent constamment. Les failles de la chaîne logicielle sont devenues si fréquentes qu'elles entrent directement en 3ème position du classement, et les erreurs de configuration bondissent à la 2ème place.
La bonne nouvelle ? La plupart de ces problèmes peuvent être évités avec de bonnes pratiques et un accompagnement adapté. La sécurité n'est pas qu'une affaire de spécialistes : c'est l'affaire de tous ceux qui créent ou utilisent des applications.
Comparaison détaillée 2021 vs 2025
| OWASP 2021 | OWASP 2025 | Évolution |
|---|---|---|
| A01 - Broken Access Control | A01 - Broken Access Control | Stable (inclut maintenant SSRF) |
| A02 - Cryptographic Failures | A04 - Cryptographic Failures | ↓ Descend à la 4ème place |
| A03 - Injection | A05 - Injection | ↓ Descend à la 5ème place |
| A04 - Insecure Design | A06 - Insecure Design | ↓ Descend à la 6ème place |
| A05 - Security Misconfiguration | A02 - Security Misconfiguration | ↑ Monte à la 2ème place |
| A06 - Vulnerable Components | Fusionné dans A03 | Évolue vers Supply Chain |
| A07 - Auth Failures | A07 - Auth Failures | Stable |
| A08 - Software and Data Integrity | A08 - Software and Data Integrity | Stable |
| A09 - Logging Failures | A09 - Logging & Alerting Failures | Stable (+ alertes) |
| A10 - SSRF | Fusionné dans A01 | Absorbé par Access Control |
| - | A03 - Supply Chain Failures | NOUVEAU |
| - | A10 - Exceptional Conditions | NOUVEAU |
Le message principal : Les attaques évoluent. Aujourd'hui, les mauvaises configurations sont devenues le 2ème risque majeur, et les pirates ciblent de plus en plus la chaîne logicielle plutôt que d'attaquer directement votre site.