Translation/fr fr

.gitignore

@@ -2,3 +2,7 @@
 *.swo
 .~lock*
 
+.DS_Store
+2019/.DS_Store
+2019/fr/.DS_Store
+2019/fr/src/.DS_Store

2019/fr/src/0x00-header.md

@@ -0,0 +1,15 @@
+![OWASP LOGO](images/owasp-logo.png)
+
+## OWASP API Security Top 10 2019
+
+Une traduction en français du projet original "The Ten Most Critical API Security Risks"
+
+8 septembre 2020
+
+![WASP Logo URL TBA](images/front-wasp.png)
+
+| | | |
+| - | - | - |
+| https://owasp.org | Ce travail est sous licence [Creative Commons Attribution-ShareAlike 4.0 International License][1] | ![Creative Commons License Logo](images/front-cc.png) |
+
+[1]: http://creativecommons.org/licenses/by-sa/4.0/

2019/fr/src/0x00-notice.md

@@ -0,0 +1,14 @@
+Note
+====
+
+Ceci est la version texte de l'OWASP API Security Top 10, utilisé comme source
+pour la version officielle distribuée en Portable Document Format (PDF).
+
+Les contributions au projet telles que les commentaires, les corrections ou les
+traductions doivent être effectuées ici. Pour plus de détails sur
+[comment contribuer][1], veuillez vous référer au document [CONTRIBUTING.md][1].
+
+* Erez Yallon
+* Inon Shkedy
+
+[1]: ../../CONTRIBUTING.md

2019/fr/src/0x00-toc.md

@@ -0,0 +1,24 @@
+Table des Matières
+==================
+
+* [Table des Matières](0x00-toc.md)
+* [À propos d'OWASP](0x01-about-owasp.md)
+* [Avant-propos](0x02-foreward.md)
+* [Introduction](0x03-introduction.md)
+* [Notes de versions](0x04-release-notes.md)
+* [Risques de sécurité des API](0x10-api-security-risks.md)
+* [OWASP Top 10 Risques de sécurité des API – 2019](0x11-t10.md)
+* [API1:2019 Broken Object Level Authorization](0xa1-broken-object-level-authorization.md)
+* [API2:2019 Broken User Authentication](0xa2-broken-user-authentication.md)
+* [API3:2019 Excessive Data Exposure](0xa3-excessive-data-exposure.md)
+* [API4:2019 Lack of Resources & Rate Limiting](0xa4-lack-of-resources-and-rate-limiting.md)
+* [API5:2019 Broken Function Level Authorization](0xa5-broken-function-level-authorization.md)
+* [API6:2019 Mass Assignment](0xa6-mass-assignment.md)
+* [API7:2019 Security Misconfiguration](0xa7-security-misconfiguration.md)
+* [API8:2019 Injection](0xa8-injection.md)
+* [API9:2019 Improper Assets Management](0xa9-improper-assets-management.md)
+* [API10:2019 Insufficient Logging & Monitoring](0xaa-insufficient-logging-monitoring.md)
+* [Perspectives pour les Développeurs](0xb0-next-devs.md)
+* [Perspectives pour les DevSecOps](0xb1-next-devsecops.md)
+* [Méthodologie et Données](0xd0-about-data.md)
+* [Remerciements](0xd1-acknowledgments.md)

2019/fr/src/0x01-about-owasp.md

@@ -0,0 +1,63 @@
+À propos d'OWASP
+================
+
+L'Open Web Application Security Project (OWASP) est une communauté ouverte
+dédiée à permettre aux organisations de développer, d'acheter et de maintenir
+des applications et des API auxquelles on peut faire confiance.
+
+Chez OWASP, vous trouverez en gratuit et libre :
+
+* Outils et standards pour la sécurité des applications.
+* Livres complets sur les tests de sécurité des applications, le développement
+  sécurisé de code, et la revue sécurisée de code.
+* Présentations et [vidéos][1].
+* [Cheat sheets][2] sur de nombreux sujets.
+* Contrôles et bibliothèques de sécurité standards.
+* [Communautés locales partout dans le monde][3].
+* Recherche de pointe.
+* Nombreuses [conférences partout dans le monde][4].
+* [Listes de diffusion][5].
+
+Plus d'information sur : [https://www.owasp.org][6].
+
+Tous les outils, documents, vidéos, présentations et chapitres sont libres et
+ouverts à quiconque s'intéressant à l'amélioration de la sécurité des
+applications.
+
+Nous préconisons d'approcher la sécurité applicative comme un problème de
+personnes, de procédés et de technologie, parce que les approches les plus
+efficaces de sécurité des applications requièrent des améliorations dans ces
+directions.
+
+OWASP est une nouvelle sorte d'organisation. Notre liberté face aux pressions
+commerciales nous permet de fournir des informations impartiales, pratiques
+et efficientes à propos de la sécurité applicative.
+
+OWASP n'est affiliée avec aucune entreprise de technologie, bien que soutenions
+l'usage raisonné de technologies de sécurité commerciales. OWASP produit toutes
+sortes d'éléments de manière collaborative, transparente et ouverte.
+
+La Fondation OWASP est l'entité à but non-lucratif qui garantit le succès à
+long terme du projet. La quasi-totalité des personnes associée à OWASP est
+bénévole, y compris le conseil d'administration d'OWASP, les responsables des
+chapitres et les membres des projets. Nous soutenons la recherche en sécurité
+innovante avec des bourses et de l'infrastructure.
+
+Rejoignez-nous !
+
+## Copyright et licence
+
+![license](images/license.png)
+
+Copyright © 2003-2019 The OWASP Foundation. Ce document est distribué sous
+[licence Creative Commons Attribution Share-Alike 4.0][7]. Toute réutilisation
+ou distribution doit clairement mentionner les termes et conditions de licence
+de cette oeuvre.
+
+[1]: https://www.youtube.com/user/OWASPGLOBAL
+[2]: https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series
+[3]: https://www.owasp.org/index.php/OWASP_Chapter
+[4]: https://www.owasp.org/index.php/Category:OWASP_AppSec_Conference
+[5]: https://lists.owasp.org/mailman/listinfo
+[6]: https://www.owasp.org
+[7]: http://creativecommons.org/licenses/by-sa/4.0/

2019/fr/src/0x02-foreword.md

@@ -0,0 +1,46 @@
+Avant-propos
+============
+
+L'Application Programming Interface (API), en français interface de programmation applicative, est un élément fondateur des
+applications omniprésentes dans le monde actuel. Des banques, commerces, du
+transport à l'IoT, aux véhicules autonomes et aux villes intelligentes, les API
+forment une partie critique des applications mobiles, Saas et web modernes que
+l'on trouve dans des applications destinées aux consommateurs, aux partenaires
+ou aux usages internes.
+
+Par nature, les API exposent la logique applicative et des données sensibles
+telles que des données personnelles, et de ce fait les API sont devenues une
+cible pour des attaquants. Sans des API sécurisées, l'innovation rapide serait
+impossible.
+
+Bien qu'un Top 10 plus large sur les risques de sécurité des applications web
+fasse toujours sens, du fait de leur nature particulière, une liste des risques
+spécifiques aux API est nécessaire. La sécurité des API se concentre sur des
+stratégies et des solutions pour comprendre et corriger les vulnérabilités et
+risques de sécurité uniques aux API.
+
+Si vous êtes familiarisés avec le projet [OWASP Top 10][1], vous aurez alors
+remarqué des similarités entre les deux documents : ils sont conçus pour être
+lisibles et adoptés. Si vous découvrez la série OWASP Top 10, il vaudrait
+peut-être mieux commencer par lire les sections [Risques de sécurité des API][2]
+et [Méthodologie et données][3] avant de vous plonger dans la liste du Top 10.
+
+Vous pouvez contribuer à l'OWASP API Security Top 10 avec vos questions,
+commentaires et idées sur notre dépôt GitHub du projet :
+
+* https://github.com/OWASP/API-Security/issues
+* https://github.com/OWASP/API-Security/blob/master/CONTRIBUTING.md
+
+Vous trouverez l'OWASP API Security Top 10 ici :
+
+* https://www.owasp.org/index.php/OWASP_API_Security_Project
+* https://github.com/OWASP/API-Security
+
+Nous voulons remercier tous les contributeurs qui ont rendu ce projet possible
+grâce à leurs efforts et leurs contributions. Ils sont tous listés dans la
+[section des remerciements][4]. Merci !
+
+[1]: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd0-about-data.md
+[4]: ./0xd1-acknowledgments.md

2019/fr/src/0x03-introduction.md

@@ -0,0 +1,32 @@
+Introduction
+============
+
+## Bienvenue à l'OWASP API Security Top 10 - 2019 !
+
+Bienvenue à la première édition du projet OWASP API Security Top 10. Si vous
+connaissez les séries OWASP Top 10, vous remarquerez les similarités : elles
+sont voulues pour faciliter en la lisibilité l'adoption. Si ce n'est pas votre
+cas, vous pouvez commencer par consulter la [page wiki de l'OWASP
+API Security Project][1], avant d'approfondir avec les risques de sécurité les
+plus critiques des API.
+
+Les API jouent un rôle très important dans l'architecture des applications
+modernes. Dans la mesure où la création d'une prise de conscience de la sécurité
+et l'innovation ont des rythmes différents, il est important de se concentrer
+sur les vulnérabilités de sécurité courantes des API.
+
+L'objectif principal du projet OWASP API Security Top 10 est d'éduquer ceux qui
+sont impliqués dans le développement et la maintenance des API, notamment :
+développeurs, designers, architectes, managers, ainsi que les organisations.
+
+Dans la section [méthodologie et Données][2], vous pouvez en lire davantage sur
+la manière dont cette première édition a été créée. Pour les prochaines versions,
+nous voulons impliquer l'industrie de la sécurité, avec un appel public à
+informations. Pour le moment, nous encourageons chacun à contribuer avec des
+questions, des commentaires ou des idées sur notre [dépôt GitHub][3] ou notre
+[liste de diffusion][4].
+
+[1]: https://www.owasp.org/index.php/OWASP_API_Security_Project
+[2]: ./0xd0-about-data.md
+[3]: https://github.com/OWASP/API-Security
+[4]: https://groups.google.com/a/owasp.org/forum/#!forum/api-security-project

2019/fr/src/0x04-release-notes.md

@@ -0,0 +1,27 @@
+Notes de versions
+=================
+
+Ceci est la première édition de l'OWASP API Security Top 10, que nous prévoyons
+de mettre à jour périodiquement, tous les trois ou quatre ans.
+
+Contrairement à cette version, nous voulons pour les futures versions lancer un
+appel public à données, impliquant le secteur de la sécurité dans cette démarche.
+Dans la section [Méthodologie et Données][1], vous trouverez plus d'informations
+sur la manière dont cette version a été construite. Pour plus de détails sur les
+riques de sécurité, veuillez vous référer à la section
+[Risques de Sécurité des API][2].
+
+Il est important d'être conscient que l'architecture des applications a
+considérablement changé au cours des dernières années. Actuellement les API
+jouent un rôle très important dans cette nouvelle architecture de microservices,
+de *single page applications*, d'applis mobiles, d'IoT, etc.
+
+L'OWASP API Security Top 10 était un effort nécessaire pour créer une prise de
+conscience des questions de sécurité des API modernes. Cela n'a été possible que
+grâce aux efforts considérables de plusieurs volontaires, qui sont tous
+répertoriés dans la section [Remerciements][3].
+Merci !
+
+[1]: ./0xd0-about-data.md
+[2]: ./0x10-api-security-risks.md
+[3]: ./0xd1-acknowledgments.md

2019/fr/src/0x10-api-security-risks.md

@@ -0,0 +1,48 @@
+Risques de sécurité des API
+===========================
+
+La [méthodologie d'évaluation de risques OWASP][1] a été utilisée pour effectuer l'analyse de risques.
+
+La table ci-dessous résume la terminologie associée au niveau de risque.
+
+| Facteurs de menace | Exploitabilité | Prévalence de la faille | Détectabilité de la faille | Impact technique | Impact organisationnel |
+| :-: | :-: | :-: | :-: | :-: | :-: |
+| Spécifique API | Facile: **3** | Répandu **3** | Facile **3** | Sévère **3** | Spécifique à l'organisation |
+| Spécifique API | Moyen: **2** | Commune **2** | Moyenne **2** | Modéré **2** | Spécifique à l'organisation |
+| Spécifique API | Difficile: **1** | Difficile **1** | Difficile **1** | Mineure **1** | Spécifique à l'organisation |
+
+**Note**: Cette approche ne prend pas en compte la probabilité du facteur de
+menace. Elle ne prend pas non plus en compte les différents détails techniques
+spécifiques à votre application. Ces facteurs pourraient modifier de manière
+significative la probabilité globale qu'un attaquant trouve et exploite une
+vulnérabilité particulière. Cette évaluation ne prend pas en compte l'impact
+réel sur votre activité. Votre organisation devra décider quel niveau de risque
+de sécurité elle est prête à accepter pour vos applications et vos API en
+fonction de votre culture, votre secteur d'activité et votre environnement
+réglementaire. L'objet du projet OWASP API Security Top 10 n'est pas d'effectuer
+cette analyse de risques à votre place.
+
+## Références
+
+### OWASP
+
+* [OWASP Risk Rating Methodology][1]
+* [Article on Threat/Risk Modeling][2]
+
+### Externes
+
+* [ISO 31000: Risk Management Std][3]
+* [ISO 27001: ISMS][4]
+* [NIST Cyber Framework (US)][5]
+* [ASD Strategic Mitigations (AU)][6]
+* [NIST CVSS 3.0][7]
+* [Microsoft Threat Modeling Tool][8]
+
+[1]: https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
+[2]: https://www.owasp.org/index.php/Threat_Risk_Modeling
+[3]: https://www.iso.org/iso-31000-risk-management.html
+[4]: https://www.iso.org/isoiec-27001-information-security.html
+[5]: https://www.nist.gov/cyberframework
+[6]: https://www.asd.gov.au/infosec/mitigationstrategies.htm
+[7]: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
+[8]: https://www.microsoft.com/en-us/download/details.aspx?id=49168

2019/fr/src/0x11-t10.md

@@ -0,0 +1,15 @@
+OWASP Top 10 Risques de sécurité des API – 2019
+===============================================
+
+| Risque | Description |
+| ------ | ----------- |
+| API1:2019 - Broken Object Level Authorization | Les API ont tendance à exposer des points d'accès (endpoints) qui gèrent les identifiants d'objets (OID), créant une large surface d'attaque des contrôles de niveaux d'accès. Des contrôles d'autorisation doivent être effectués pour toute fonction qui accède à une source de données à partir d'entrées fournies par un utilisateur. |
+| API2:2019 - Broken User Authentication | Les mécanismes d'authentification sont souvent implémentés incorrectement, permettant à des attaquants de compromettre des jetons (tokens) d'authentification ou d'exploiter des failles d'implémentation afin d'endosser temporairement ou de manière permanente l'identité d'autres utilisateurs. L'incapacité, pour un système, à identifier le client / utilisateur de manière fiable compromet la sécurité de l'API dans son ensemble. |
+| API3:2019 - Excessive Data Exposure | En effectuant des implémentations génériques rapides, les développeurs ont tendance à exposer tous les attributs des objets sans prendre en considération leur confidentialité individuelle, se reposant sur les clients d'API pour effectuer un filtrage des données avant présentation à l'utilisateur. |
+| API4:2019 - Lack of Resources & Rate Limiting | Bien souvent, les API n'imposent pas de restrictions sur la taille ou le nombre de ressources qui peuvent être requises par le client / l'utilisateur. Ceci impacte non seulement la performance du serveur d'API, aboutissant à un Déni de Service (DoS), mais cela constitue aussi une porte ouverte pour des failles d'authentification par force brute. |
+| API5:2019 - Broken Function Level Authorization | Les politiques de contrôle d'accès complexes avec des hiérarchies, groupes et rôles différents, et la séparation non claire entre les fonctions normales et d'administration tendent à occasionner des failles d'authentification. En exploitant ces problèmes, les attaquants parviennent à accéder aux ressources d'autres utilisateurs et / ou aux fonctions d'administration. |
+| API6:2019 - Mass Assignment | La connexion de données fournies par le client (ex : JSON) aux modèles de données sans filtrage approprié par une liste de validation conduit généralement à l'assignation massive. En devinant les attributs des objets, en explorant les autres points d'accès de l'API, en lisant la documentation ou en incluant des attributs supplémentaires dans la charge utile (payload) des requêtes, les attaquants parviennent à modifier les attributs d'objets qu'ils ne devraient pas pouvoir modifier. |
+| API7:2019 - Security Misconfiguration | Une mauvaise configuration de sécurité est souvent le résultat de configurations par défauts non sécurisées, de configurations incomplètes ou ad-hoc, de stockages ouverts dans le cloud, d'en-têtes HTTP mal configurés, de méthodes HTTP non nécessaires, de partage de ressources intersites permissives (CORS), et de messages d'erreurs verbeux contenant des informations sensibles. |
+| API8:2019 - Injection | Les failles d'injection telles que SQL, NoSQL, injection de commandes, etc, se produisent lorsque des données non fiables sont transmises à un interpréteur comme partie d'une commande ou d'une requête. Les données malveillantes de l'attaquant peuvent tromper l'interpréteur et lui faire exécuter des commandes non prévues ou accéder à des données sans disposer des autorisations nécessaires. |
+| API9:2019 - Improper Assets Management | Les API ont tendance à exposer plus de points d'accès que les applications web traditionnelles, rendant très importante la nécessité d'une documentation appropriée et actualisée. Un inventaire précis des hôtes et des versions d'API déployées joue également un rôle important pour prévenir les problèmes tels que les versions obsolètes d'API et l'exposition des points de déboggage. |
+| API10:2019 - Insufficient Logging & Monitoring | L'insuffisance de logging et de monitoring, couplée à une intégration insuffisante ou absente à la réponse aux incidents, permet aux attaquants de poursuivre leurs attaques sur les systèmes, de s'y maintenir de manière persistante, et de rebondir sur d'autres systèmes pour compromettre, extraire ou détruire des données. La plupart des études de failles montrent que le temps nécessaire pour détecter une intrusion est supérieur à 200 jours, typiquement découverte par des tiers externes plutôt que par des processus ou un monitoring interne. |