Retour au blog
Sécurité7 min

OWASP A09:2021 – Défaillances de Journalisation

Mettre en place une journalisation efficace pour détecter et répondre aux incidents.

Équipe Eurinhash

Analyste en Cybersécurité

Qu'est-ce que les Défaillances de Journalisation ?

Les Insufficient Logging & Monitoring Failures concernent l'absence ou l'inefficacité des mécanismes de journalisation et de surveillance. Sans logs appropriés, il est impossible de détecter, investiguer ou répondre aux incidents de sécurité.

Cette faille permet aux attaquants d'agir sans être détectés pendant de longues périodes.

Exemples Courants de Failles

  1. Absence de logs sur les événements critiques : Échecs de connexion, violations d'accès.
  2. Logs non centralisés : Impossible de corréler les événements entre plusieurs serveurs.
  3. Données sensibles dans les logs : Mots de passe, tokens, ou données personnelles exposés.
  4. Pas d'alertes automatisées : Les incidents ne sont pas signalés en temps réel.
  5. Logs facilement modifiables : Un attaquant peut effacer ses traces.

Comment se protéger ?

Implémentez une stratégie de logging robuste :

  • Journaliser les événements de sécurité : Authentification, autorisation, validation des données.
  • Format structuré : Utilisez JSON pour faciliter l'analyse automatique.
  • Centralisation : Envoyez les logs vers un SIEM ou un service dédié.
  • Alertes en temps réel : Configurez des seuils pour les activités suspectes.
  • Protection des logs : Stockez les logs dans un emplacement en écriture seule (WORM).

[!IMPORTANT] Ne jamais logger de données sensibles : mots de passe, tokens de session, numéros de carte bancaire, ou données de santé.

// MAUVAISE PRATIQUE : Logger des données sensibles
app.post('/login', (req, res) => {
  const { username, password } = req.body;
  console.log(`Login attempt: ${username}, password: ${password}`); // ⚠️ DANGER
  // ...
});
 
// BONNE PRATIQUE : Logger sans données sensibles
const winston = require('winston');
 
const logger = winston.createLogger({
  format: winston.format.json(),
  transports: [
    new winston.transports.File({ filename: 'security.log' })
  ]
});
 
app.post('/login', (req, res) => {
  const { username } = req.body;
  
  logger.warn('Tentative de connexion', {
    username,
    ip: req.ip,
    timestamp: new Date().toISOString(),
    userAgent: req.get('User-Agent')
  });
  // ...
});

Événements à Journaliser

ÉvénementNiveauAction
Échec de connexionWarningAlerter après N échecs
Violation d'accèsErrorAlerter immédiatement
Modification de donnéesInfoAudit trail
Changement de privilègesWarningVérification requise
Erreurs de validationInfoDétection d'attaques

Restez en veille

Inscrivez-vous pour recevoir nos prochaines analyses techniques directement dans votre terminal.