29/12/2011

Faut-il patcher les framework web pour PCI DSS ?


Lorsque l'on étudie les exigences PCI DSS, le lecteur peut se demander si l'installation des patchs de sécurité doit se limiter aux systèmes d'exploitation ou s'il faut également patcher les socles applicatifs.

Ces socles ou "framework" sont la base des applications web et sont, par conséquent, partie prenante de la sécurité de l'ensemble. Il s'agit des briques telles que .NET, PHP, Java, Joomla, Jahia, Typo3, Jmx-console... mais aussi Hibernate, Spring, Struts, etc.

Tout se passe dans le chapitre 6 du PCI DSS, chapitre qui regroupe à la fois les exigences liées au patch management, aux développements et aux applications Web.

6.1 Ensure that all system components and software are protected from known vulnerabilities by having the latest vendor-supplied security patches installed.

Il faut ici patcher les systèmes d'exploitation (Linux Kernel, Windows, AIX...), les services systèmes (FTPS, SSH, Apache, Tomcat) et les applications third-parties : bases de données, applications de paiement, applications...

Qu'en est-il des socles applicatifs ? En creusant les sous-exigences du paragraphe 6.5 (dédié à la sécurité des applications web et à l'OWASP) on trouve la ligne 6.5.6 :

6.5.6 All “High” vulnerabilities identified in the vulnerability identification process (as defined in PCI DSS Requirement 6.2).

Le PCI SSC rajoute cette ligne ici, dans la partie consacrée aux applications web, pour renforcer le message et indiquer que les briques qui touchent à la sécurité des applications web doivent être suivies et mises à jour du point de vue des correctifs de sécurité, au même titre que les briques "système".

Pas étonnant, sachant de 90% des intrusions web que j'ai constaté en 2011 sont directement liées à des failles sur les socles applicatifs.

Malheureusement, la segmentation des rôles au sein des entreprises (entre l'exploitation, les DBA, les développeurs, les études...) fait que le patch management des frameworks se situe dans une zone de non-responsabilité où personne n'est vraiment en charge de suivre les failles publiées et où chacun pense que c'est aux autres de le faire. Les pirates jouissent ici d'une faille autant technique qu'organisationnelle.

Aucun commentaire:

Enregistrer un commentaire