Skip to content

Commit

Permalink
Merge pull request #722 from nhumblot/2021-fr
Browse files Browse the repository at this point in the history 
2021 FR translation synchronization
  • Loading branch information
@sslHello
sslHello committed Jun 16, 2022
2 parents f7a950a + 772b892 commit d4af5ff
Show file tree
Hide file tree
Showing 3 changed files with 4 additions and 4 deletions.
2 changes: 1 addition & 1 deletion 2021/docs/A01_2021-Broken_Access_Control.fr.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -8,7 +8,7 @@

## Aperçu

Précédemment à la cinquième place, 94 % des applications ont été testées pour une forme de contrôle d'accès défaillant avec un taux d'incidence moyen de 3,81 %. Cette catégorie a le plus d'occurrences dans l'ensemble de données contribué avec plus de 318 000. Les *Common Weakness Enumerations* (CWE) notables incluses sont *CWE-200: Exposure of Sensitive Information to an Unauthorized Actor*, *CWE-201: Exposure of Sensitive Information Through Sent Data* et *CWE-352: Cross-Site Request Forgery* .
Précédemment à la cinquième place, 94 % des applications ont été testées pour une forme de contrôle d'accès défaillant avec un taux d'incidence moyen de 3,81 %. Cette catégorie a le plus d'occurrences dans l'ensemble de données contribué avec plus de 318 000. Les *Common Weakness Enumerations* (CWE) notables incluses sont *CWE-200: Exposure of Sensitive Information to an Unauthorized Actor*, *CWE-201: Insertion of Sensitive Information Into Sent Data* et *CWE-352: Cross-Site Request Forgery* .

## Description

Expand Down
4 changes: 2 additions & 2 deletions 2021/docs/A07_2021-Identification_and_Authentication_Failures.fr.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -18,7 +18,7 @@ La confirmation de l'identité, de l'authentification et de la session de l'util
- permet la force brute ou d'autres attaques automatisées ;
- autorise les mots de passe par défaut, faibles ou bien connus, tels que "Password1" ou "admin / admin" ;
- utilise des processus de récupération des informations d'identification faibles ou inefficaces et des processus de mot de passe oublié, tels que « Questions secrètes », qui ne peuvent être sécurisées ;
- utilise des mots de passe en texte brut, chiffrés ou faiblement hachés (voir **A02:2021 – Défaillances cryptographiques**) ;
- utilise des mots de passe en texte brut, chiffrés ou faiblement hachés (voir [A02:2021 – Défaillances cryptographiques](A02_2021-Cryptographic_Failures.md)) ;
- absence ou utilisation inefficace de l’authentification multifacteur ;
- exposition des identifiants de session dans l'URL ;
- réutilisation de l'identifiant de session après une connexion réussie ;
Expand All @@ -38,7 +38,7 @@ La confirmation de l'identité, de l'authentification et de la session de l'util

**Scénario 1** : La réutilisation de mots de passe, l’utilisation de mots de passe connus, est une attaque classique. Supposons une application qui n’implémente pas une protection automatisée contre le bourrage d'informations ou l'utilisation des mots de passe connus. Dans ce cas, l'application peut être utilisée comme un oracle pour déterminer si les mots de passe sont valides.

**Scénario 2** : La plupart des attaques d’authentification se produisent en raison de l’utilisation de mots de passe comme facteur unique. Une fois considérées, les exigences de rotation et de complexité des mots de passe, sont considérées comme encourageant les utilisateurs à utiliser et réutiliser des mots de passe faibles. Il est maintenant recommandé d’arrêter ces pratiques selon les directives NIST 800-63 et d’utiliser du multifacteur.
**Scénario 2** : La plupart des attaques d’authentification se produisent en raison de l’utilisation de mots de passe comme facteur unique. Un temps considérées comme de bonnes pratiques, les exigences de rotation et de complexité des mots de passe sont considérées comme encourageant les utilisateurs à utiliser et réutiliser des mots de passe faibles. Il est maintenant recommandé d’arrêter ces pratiques selon les directives NIST 800-63 et d’utiliser du multifacteur.

**Scénario 3** : Les timeouts de session d’application ne sont pas paramétrés correctement. Un utilisateur utilise un ordinateur public pour accéder à une application. À la place de se déconnecter correctement, l’utilisateur ferme le navigateur et quitte l’ordinateur. Un attaquant utilise ensuite le même navigateur quelque temps après et l’utilisateur est toujours authentifié.

Expand Down
2 changes: 1 addition & 1 deletion 2021/docs/A09_2021-Security_Logging_and_Monitoring_Failures.fr.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -50,7 +50,7 @@ On trouve des logiciels, commerciaux ou open source, de protection d'application
- [OWASP Proactive Controls: Implement Logging and
Monitoring](https://owasp.org/www-project-proactive-controls/v3/en/c9-security-logging.html)

- [OWASP Application Security Verification Standard: V8 Logging and
- [OWASP Application Security Verification Standard: V7 Logging and
Monitoring](https://owasp.org/www-project-application-security-verification-standard)

- [OWASP Testing Guide: Testing for Detailed Error
Expand Down

0 comments on commit d4af5ff

Please sign in to comment.