Qu’est-ce que l’IAST (Interactive Application Security Testing) ?
Interactive Application Security Testing (IAST) est une méthode qui combine Static Application Security Testing (SAST) et Dynamic Application Security Testing (DAST) pour identifier les vulnérabilités des applications de manière plus efficace.
Les caractéristiques de l’IAST incluent :
- Les outils IAST fonctionnent en ajoutant des capteurs ou des composants de surveillance à l’intérieur de l’application pendant son exécution. Ces outils observent le comportement de l’application pendant les tests, qu’ils soient automatisés ou réalisés par des personnes. Cette approche permet à l’IAST de vérifier l’exécution du code, les entrées utilisateur et la gestion des données par l’application en temps réel.
- L’IAST ne scanne pas automatiquement l’ensemble du code source ; sa couverture est déterminée par l’étendue de l’application exercée pendant les tests. Plus l’activité de test est étendue, plus la couverture des vulnérabilités est profonde.
- L’IAST est généralement déployé dans des environnements de QA ou de staging où des tests fonctionnels automatisés ou manuels sont exécutés.
Pourquoi l’IAST est important en cybersécurité
Le SAST analyse le code source, le bytecode ou les binaires sans exécuter l’application et est très efficace pour découvrir les erreurs de codage, mais il peut produire des faux positifs et manquer des problèmes spécifiques à l’exécution.
Les tests DAST examinent les applications de l’extérieur pendant leur exécution et peuvent révéler des problèmes qui n’apparaissent qu’à l’exécution, mais manquent de visibilité approfondie sur la logique interne ou la structure du code. L’IAST comble ce fossé en combinant les forces de ces techniques, offrant :
- Des aperçus plus profonds des sources et des chemins de vulnérabilité.
- Une précision de détection améliorée par rapport à SAST ou DAST seuls.
- Une réduction des faux positifs en corrélant l’activité en temps réel avec l’analyse du code.
Comment fonctionne l’IAST
- Instrumentation : L’IAST utilise l’instrumentation, c’est-à-dire que des capteurs ou du code de surveillance sont intégrés dans l’application (souvent dans un environnement de QA ou de pré-production) pour observer son comportement pendant les tests.
- Surveillance : Il observe le flux de données, les entrées utilisateur et le comportement du code en temps réel pendant que l’application est testée par des actions manuelles ou des tests.
- Détection : Il signale des vulnérabilités telles que des configurations non sécurisées, des flux de données non assainis ou des risques d’injection.
- Rapport : Des résultats exploitables et des conseils de remédiation sont fournis aux développeurs pour résoudre les problèmes détectés.
Exemple
Pendant les tests fonctionnels, l’équipe QA interagit avec le formulaire de connexion. L’outil IAST détecte que les entrées utilisateur sont intégrées dans une requête de base de données sans assainissement, indiquant un risque potentiel de injection SQL. L’équipe reçoit un rapport de vulnérabilité et des étapes exploitables pour corriger les problèmes de sécurité.