Sécurité applicative (code, conception, tests AST) : vecteurs d'attaque (SOCLE)

L'étape Sécurité applicative (code, conception, tests AST) de la chaîne logicielle regroupe 7 vecteurs d'attaque, ancrés dans OWASP ASVS · OWASP Top 10 2025 · Microsoft SDL. Chaque vecteur décrit ce que vise l'attaquant et renvoie aux exigences SOCLE qui le neutralisent.

Injection (SQL, commande, XSS, LDAP)

Désérialisation non sécurisée

Secret en clair dans le code source

Techniques principales observées à cette étape : ce sont des approches alternatives, pas une séquence.

Vecteurs d'attaque

Les pastilles renvoient aux exigences SOCLE qui neutralisent chaque vecteur.

V-APP-1Injection (SQL, commande, XSS, LDAP)

Une entrée non validée est interprétée comme du code ou une requête (SQL, commande, XSS, LDAP), permettant l'exécution ou l'accès non autorisé. C'est la classe de failles applicatives la plus répandue (OWASP Top 10 2025, A03).

Ancré dansOWASP Top 10 2025 (A03 Injection), OWASP ASVS, OWASP CICD-SEC

Exigences qui le neutralisent SOCLE-APP-DSN-1 SOCLE-APP-COD-1 SOCLE-APP-COD-3 SOCLE-APP-COD-4 SOCLE-APP-GEN-2 SOCLE-APP-AST-1

V-APP-2Désérialisation non sécurisée

Des données non fiables sont désérialisées sans contrôle, permettant l'exécution de code ou la manipulation d'objets. Les frameworks qui désérialisent automatiquement amplifient le risque (cas Spring4Shell, GoAnywhere).

Ancré dansOWASP Top 10 2025, OWASP ASVS

Exigences qui le neutralisent SOCLE-APP-COD-3 SOCLE-APP-GEN-2 SOCLE-APP-AST-1

V-APP-3Secret en clair dans le code source

Une clé, un jeton ou un mot de passe est commité dans le code et exposé à quiconque accède au dépôt ou à l'artefact. La détection en pré-commit et en CI est la parade.

Ancré dansOWASP CICD-SEC-6, OWASP ASVS

Exigences qui le neutralisent SOCLE-APP-COD-2 SOCLE-SRC-GEN-4

V-APP-4Dépendance applicative vulnérable exploitée

Une bibliothèque applicative porteuse d'une vulnérabilité connue est exploitée faute de détection (SCA) et de mise à jour. L'absence d'inventaire et de correctif transforme une CVE publique en brèche (cas Log4Shell, Equifax).

Ancré dansOWASP Top 10 2025, OWASP CICD-SEC-3, OWASP ASVS

Exigences qui le neutralisent SOCLE-APP-GEN-3 SOCLE-APP-AST-3 SOCLE-INT-GEN-2

V-APP-5Faille de conception / logique métier

Une faille de conception ou de logique métier (contrôles manquants, hypothèses erronées) passe inaperçue faute de modélisation des menaces et de revue de sécurité. Aucun scanner ne la détecte : elle relève de la conception (Microsoft SDL, OWASP SAMM).

Ancré dansMicrosoft SDL, OWASP SAMM, OWASP ASVS

Exigences qui le neutralisent SOCLE-APP-GEN-1 SOCLE-APP-GEN-4 SOCLE-APP-DSN-2 SOCLE-APP-DSN-3 SOCLE-APP-DSN-4 SOCLE-APP-COD-5

V-APP-6Vulnérabilité exposée en production faute de test dynamique

Une vulnérabilité exploitable atteint la production parce qu'aucun test dynamique (DAST / IAST) ne l'a détectée avant la mise en service. Le test des surfaces exposées avant release est la parade (OWASP DSOMM).

Ancré dansOWASP DSOMM, OWASP ASVS

Exigences qui le neutralisent SOCLE-APP-GEN-5 SOCLE-APP-AST-2 SOCLE-APP-AST-4 SOCLE-APP-AST-5

V-APP-7Contrôle d'accès défaillant (broken access control)

Un contrôle d'accès incomplet ou contournable laisse un utilisateur accéder à des données ou actions non autorisées (élévation horizontale ou verticale). C'est la première catégorie du Top 10 OWASP 2025 (A01).

Ancré dansOWASP Top 10 2025 (A01), OWASP ASVS

Exigences qui le neutralisent SOCLE-APP-GEN-1 SOCLE-APP-DSN-2 SOCLE-APP-COD-1 SOCLE-APP-AST-2

Prochaines étapes

Étape suivante : DépendancesVecteurs suivants de la chaîne Panorama des vecteursLes 16 étapes de la chaîne