Dix des failles logicielles présentes au Top 25 de MITRE il y a quatre ans le sont encore aujourd’hui… et à un rang plus élevé.
Et de cinq, comme le nombre d’éditions du Top 25 CWE depuis que MITRE en a relancé la publication.
De la validation inappropriée de certificat (CWE-295) au chemin de recherche non fiable (CWE-427), huit des failles logicielles listées en 2019 dans l’édition « de reprise » ne sont plus présentes en 2023.
Sur les dix-sept autres, cinq ont perdu des positions. Deux se sont maintenues au même rang. En l’occurrence, les CWE-79 (cross-site scripting ; 2e du Top 25) et CWE-287 (authentification inadéquate ; 13e).
Les dix failles restantes ont toutes progressé. En voici un récapitulatif :
| CWE | Description | Rang | Progression |
| 787 | Écriture hors limites | 1 | +11 |
| 89 | Injection SQL | 3 | +3 |
| 416 | Use after free | 4 | +3 |
| 78 | Injection shell | 5 | +6 |
| 22 | Traversement de répertoire(s) | 8 | +2 |
| 434 | Téléversement de fichier(s) dangereux | 10 | +6 |
| 476 | Déréférencement de pointeur NULL | 12 | +2 |
| 502 | Désérialisation de données non fiables | 15 | +8 |
| 798 | Exploitation d’authentifiants codés en dur | 18 | +1 |
| 269 | Mauvaise gestion des privilèges | 22 | +2 |
Parmi les failles non présentes au Top 25 CWE de 2019, mais qui ont progressé depuis leur entrée :
> Autorisation manquante (CWE-862), 11e (+14)
> Injection de commandes (CWE-77), 16e (+7)
> SSRF / server-side request forgery (CWE-918), 19e (+5)
> Situation de compétition (CWE-362), 21e (+1)
> Injection de code (CWE-94), 23e (+2)
Deux sont restées à la même position. Nommémnet, CSRF / cross-site request forgery (CWE-352 ; 9e) et corruption de mémoire (CWE-119 ; 17e).
MITRE fonde ses estimations sur l’analyse d’enregistrements CVE des deux années écoulées (2021-2022 pour l’édition actuelle, donc). Sa méthodologie est à consulter par ici.
Mots-clés : cybersécurité, sécurité informatique, protection des données, menaces cybernétiques, veille cyber, analyse de vulnérabilités, sécurité des réseaux, cyberattaques, conformité RGPD, NIS2, DORA, PCIDSS, DEVSECOPS, eSANTE, intelligence artificielle, IA en cybersécurité, apprentissage automatique, deep learning, algorithmes de sécurité, détection des anomalies, systèmes intelligents, automatisation de la sécurité, IA pour la prévention des cyberattaques.
