C'est une pratique qui consiste à créer des logiciels ou des systèmes sans prendre en compte les implications en matière de sécurité dès le départ. Cela peut entraîner des vulnérabilités qui peuvent être exploitées par des attaquants pour compromettre les données, les fonctionnalités ou la disponibilité de l’application.

La conception non sécurisée est différente de l’implémentation non sécurisée, qui est due à des erreurs de codage ou de configuration. La conception non sécurisée ne peut pas être corrigée par une implémentation parfaite car, par définition, les contrôles de sécurité nécessaires n’ont jamais été créés pour se défendre contre des attaques spécifiques.

Des exemples de conception non sécurisée 
  • Ne pas authentifier correctement les utilisateurs avant de leur donner accès à des données ou à des fonctionnalités sensibles. Par exemple, si une application permet à un utilisateur non authentifié de modifier son profil ou de consulter les informations d’un autre utilisateur.
  • Ne pas utiliser ou implémenter correctement les mécanismes de cryptographie. Par exemple, si une application utilise une bibliothèque cryptographique obsolète ou vulnérable, comme OpenSSL qui était affectée par la vulnérabilité Heartbleed en 2014.
    • Heartbleed est une vulnérabilité logicielle présente dans la bibliothèque de cryptographie open source OpenSSL à partir de , qui permet à un « attaquant » de lire la mémoire d'un serveur ou d'un client pour récupérer, par exemple, les clés privées utilisées lors d'une communication avec le protocole Transport Layer Security (TLS). Découverte en  et rendue publique le , elle concerne de nombreux services Internet. Ainsi 17 % des serveurs web dits sécurisés, soit environ un demi-million de serveurs, auraient été touchés par la faille au moment de la découverte du bogue.
  • Ne pas envoyer de directives de sécurité aux clients, par exemple les en-têtes de sécurité. Par exemple, si une application ne définit pas l’en-tête Content-Security-Policy qui limite les sources de contenu autorisées.
Modifié le: jeudi 19 octobre 2023, 08:15