Rapport 2023 : Aperçu complet de la sécurité des 100 meilleures applications créées sur Bubble.io

Also available in :

by

Victor Nihoul

-

Apr 24, 2023

-

🇫🇷 French

Alors que l'industrie technologique continue de croître et d'évoluer, la sécurité et la réglementation en matière de confidentialité des données deviennent de plus en plus importantes. Cela est particulièrement vrai pour les applications créées sur la plateforme sans code Bubble.io, qui gagne en popularité. Cependant, la montée en popularité s'accompagne également d'un risque accru d'attaques cybernétiques. Malgré la facilité d'utilisation, les applications Bubble.io ne sont pas toujours bien sécurisées. Cela est dû à deux facteurs principaux : le manque d'informations sur les meilleures pratiques et l'absence d'informations publiques sur les vulnérabilités/fuites existantes et antérieures.Pour résoudre ce problème, Flusk has conducted a report analyzing the security of the top 100 apps made on the Bubble.io platform.

Flusk a réalisé un rapport analysant la sécurité des 100 meilleures applications créées sur la plateforme Bubble.io. Notre objectif principal chez Flusk est d'améliorer la sécurité et la fiabilité de l'écosystème Bubble. Nous avons effectué plus de 30 audits de sécurité sur les principaux acteurs de l'univers Bubble, et ce que nous avons découvert, c'est que l'écosystème a besoin d'une éducation et d'outils supplémentaires pour le rendre plus sûr. Notre nouvel outil, Flusk Vault, réalise des audits de sécurité automatisés sur les applications Bubble. Vous pouvez vous inscrire dès maintenant et l'essayer en suivant ce lien.‍

En examinant la situation en 2022, ce rapport fournit un aperçu de la sécurité dans l'écosystème Bubble.io, couvrant les mesures de sécurité actuellement en place, les vulnérabilités potentielles et les techniques de remédiation, et espère contribuer à promouvoir un écosystème sécurisé, conforme et axé sur la confidentialité.

Cette étude indépendante est réalisée par un groupe de développeurs Bubble vigilants et dévoués ayant un vif intérêt pour la sécurité, et n'est pas affiliée à l'équipe Bubble.

Méthodologie du rapport

Pour ce rapport, nous avons suivi une méthodologie qui a évalué la sécurité des 100 applications les plus populaires construites sur Bubble.io en fonction de critères de vulnérabilité spécifiques.

Trouver les 100 meilleures applications créées sur Bubble.io

Nous avons d'abord recueilli une liste d'applications Bubble à partir de différentes sources :

  • Des sites web de recherche technologique, notamment BuiltWith et Wappalyzer
  • Toutes les applications créées par des agences figurant dans l'annuaire d'agences Bubble.io
  • Toutes les applications de la section "Application du jour" dans le forum de Bubble
  • Tous les liens redirigeant vers une application Bubble dans le forum de Bubble entre 2018 et 2022
  • D'autres sources mineures telles que les éditeurs de plugins ayant partagé les URLs d'installation de leurs plugins.

La méthode suivante a ensuite été utilisée pour trier les applications dans un Top 100 :

  • Suppression de toutes les applications obsolètes, des applications non-Bubble ou des applications créées par Bubble elle-même.
  • Suppression de toutes les applications avec un plan "gratuit" ou "agence".
  • Suppression de toutes les applications non sensibles (comme les applications de page de destination uniquement, ou sans capacités de compte).
  • Pour les applications publiques, obtenir des statistiques de trafic à partir de SimilarWeb.
  • Par utilisation interne, nous entendons des applications destinées à être utilisées uniquement par un groupe restreint de personnes (comme une entreprise) sans possibilité d'acheter une adhésion ou un accès.

Suite à une analyse exhaustive de 38 453 liens, nous avons pu identifier 2 640 applications éligibles pour le rapport.

→ Après un tri ultérieur, notre Top 100 des applications était composé de 87 applications destinées à un usage public et de 13 uniquement à des fins internes.

Points de vulnérabilité pris en compte

Nous avons réalisé des tests sur la liste des 100 meilleures applications pour analyser les points de sécurité mentionnés ci-dessous :

  • Exposition de données sensibles via des fuites de l'API de données
  • Exposition de données sensibles en raison de règles de confidentialité mal configurées et de recherches/récupérations de données sur toutes les pages
  • Accès non autorisé aux pages restreintes ou non publiques (par exemple, tableaux de bord d'administrateur)
  • Manipulation des flux de travail restreints (par exemple, création d'utilisateurs en tant qu'administrateurs, activités liées à des opérations sensibles sur les bases de données, etc.)
  • Accès non autorisé aux services tiers et aux API
  • Effacer les données dans les flux de travail de connexion
  • Vulnérabilité des mots de passe temporaires
  • Accès non autorisé aux points de terminaison de l'API

Les tests ont été effectués à la fois manuellement et à l'aide de notre outil d'audit interne pour des opérations complexes (par exemple, bruteforce de paramètres d'URL, scrapping XHR, etc.). Les exploits de sécurité avancés ont été délibérément omis en raison de la complexité de leur exécution sur un ensemble de données aussi vaste (par exemple, key-to-path, parsing JSON, exploit de cookies, etc.). Le rapport ne mentionne pas les vulnérabilités mineures telles que les fuites de bases de données contenant moins de 50 entrées ou les actions compromises mineures.

Une note sur l'éthique

→ Tous les acteurs dont les applications ont été incluses dans le rapport ont été informés des vulnérabilités avant la publication du rapport. Nous leur avons fourni des informations précises sur les vulnérabilités identifiées et leur avons proposé une assistance gratuite pour les résoudre.

→ Aucune donnée de la vulnérabilité n'a été téléchargée ou stockée sur des systèmes locaux, et notre outil de détection de données sensibles utilisant Google Vertex AI a été configuré uniquement pour se fier à l'analyse clé, sans exposer leurs valeurs.

→ Aucune action n'a été entreprise à partir d'un site web par le biais d'un accès compromis ou d'actions qui auraient pu être restreintes ; à la place, nous avons uniquement utilisé le code source de l'application pour classer la sensibilité des actions déclenchées par des déclencheurs de flux de travail potentiellement compromis.

Les Résultats

Les conclusions de l'étude étaient préoccupantes, car le rapport a révélé que 89 % des 100 meilleures applications présentaient au moins une vulnérabilité de sécurité.

89 % des 100 meilleures applications présentaient au moins une vulnérabilité sensible en matière de sécurité.

Fuites de données sensibles

Les résultats les plus préoccupants ont été trouvés concernant les fuites de données sensibles.Parmi les 100 meilleures applications examinées, au moins 76 présentaient des vulnérabilités.En tout, nous avons pu identifier plus de 2 300 000 éléments d'informations sensibles et personnelles, notamment des numéros de sécurité sociale américains, des passeports, des numérisations de cartes d'identité, des enregistrements vidéo de réunions privées, etc.

Partie des applications présentant des fuites de données sensibles parmi les 100 meilleures applications Bubble.io. Les données qui ne pouvaient pas être identifiées comme sensibles ou sécurisées sont désignées comme "Inconnues".

Nous désignons les données sensibles comme des informations soumises à des réglementations légales (comme le RGPD, le CPRA ou la Loi sur la protection des données de 1998), des documents privés internes ou des informations privées sur les utilisateurs telles que l'adresse postale ou le numéro de téléphone, à l'exclusion des adresses e-mail.

Actions et accès restreints compromis

L'analyse des 100 meilleures applications a révélé que 53 d'entre elles avaient des vulnérabilités d'accès restreint, et 61 d'entre elles avaient des actions restreintes compromises.

Partie des applications avec des actions compromises parmi les 100 meilleures applications Bubble.io. Les actions qui ne pouvaient pas être classées comme sensibles ou sûres sont désignées comme "Inconnues".

Cette capture d'écran montre un exemple de tableau de bord d'administration compromis avec des actions sensibles sur la base de données publique/en direct.

Vulnérabilités des tiers ou des API

Sur les 100 meilleures applications examinées, 18 d'entre elles présentaient des vulnérabilités.

Partie des applications avec des vulnérabilités des tiers ou des API parmi les 100 meilleures applications Bubble.io. Les services qui ne pouvaient pas être classés comme sensibles ou sûrs, ou pour lesquels nous ne pouvions pas confirmer un accès potentiel, sont désignés comme "Inconnus".

Cette capture d'écran montre un exemple d'un service tiers compromis avec un accès administrateur complet au contenu et aux actions sensibles.

Acteurs de développement impliqués

Parmi les 89 applications qui présentaient des vulnérabilités, nous avons pu identifier l'origine du développement de l'application pour 75 d'entre elles.

  • Environ 92 % des applications créées par des entrepreneurs indépendants ou des entreprises présentaient des vulnérabilités.
  • Environ 65 % des applications créées par des agences Bubble présentaient des vulnérabilités.
  • Environ 82 % des applications créées par des freelancers ou des développeurs indépendants présentaient des vulnérabilités.

Conclusion

Bubble.io est une plateforme sécurisée qui a mis en place des mesures de protection solides pour la sécurité des données. Cependant, sa disponibilité généralisée et son interface utilisateur intuitive la rendent accessible à un large public qui peut ne pas avoir une compréhension approfondie de la cybersécurité ni une connaissance à jour des réglementations sur la confidentialité des données, ce qui peut entraîner des risques pour les utilisateurs finaux. Ce phénomène semble encore amplifié par le manque d'informations adéquates concernant les pratiques de sécurité et le manque de rapports publics sur les vulnérabilités précédentes ou existantes. Il est également nécessaire de corréler cette observation avec la croissance exponentielle des outils de non-codage, et plus spécifiquement de Bubble. De plus en plus d'applications sont construites avec Bubble.io, donc statistiquement, de plus en plus d'applications présentent des failles de sécurité. Il est nécessaire de prendre des mesures dès que possible afin de maintenir cette écosystème sécurisé et de ne pas perdre en crédibilité.

Courbe de croissance du nombre d'applications exécutées sur Bubble.io entre 2013 et 2022. Source : BuiltWith.

Il est donc urgent de sensibiliser les différents acteurs, y compris les entrepreneurs individuels, les freelancers et les agences.

Construction d'une application Bubble sécurisée.

Après avoir mené plus de 30 audits manuels pour les applications Bubble, notre équipe a développé une application interne innovante pour accélérer le processus. En consultation avec les propriétaires d'agences, il est devenu évident qu'un outil de sécurité haute performance pourrait améliorer leurs procédures d'assurance qualité et faciliter la livraison d'applications sécurisées. Par conséquent, nous avons collaboré avec plus de 15 agences et plus de 50 freelancers Bubble pour créer une solution automatisée qui reproduit nos efforts manuels. Nous avons récemment introduit Flusk Vault, un outil de pointe conçu pour aider les développeurs, les agences et les propriétaires d'entreprises à lancer des applications sécurisées sans faille de données ni points d'accès compromis.

Cette capture d'écran montre un exemple concret de Flusk Vault sur une application de test.

Comme vous avez lu cette étude, nous tenons à vous remercier de vous soucier de sujets aussi importants dans l'écosystème de Bubble en vous offrant une réduction de 10 % sur votre première licence Flusk Vault. Vous pouvez vous inscrire en suivant ce lien et utilisez le code suivant lors du paiement : “SECURITYSTUDY4800”.
Voici un petit article sur la manière d'appliquer les codes de réduction.

Nous avons également publié un livre gratuit sur la sécurité de Bubble qui vous apprendra comment construire des applications sécurisées. 80 pages d'exemples concrets, examinées par Bubble et 15 experts développeurs Bubble : 🔗 La Feuille de Triche de Sécurité Bubble 2023

Évaluation par des experts en Bulles

Nous avons soumis ce rapport à des experts reconnus de Bubble pour savoir ce qu'ils pensaient des résultats et comment leur travail peut améliorer la sécurité sur Bubble.

Petter Amlie profile picture

Petter Amlie

Petter est un expert bien connu et reconnu dans l'écosystème de Bubble. Il est l'auteur du Guide Ultime de la Sécurité Bubble et duTGuide Ultime de la Performance Bubble. Il travaille également avec Bubble sur la documentation produit.

Que pensez-vous des résultats de cette étude ?

“Ils sont certainement préoccupants, mais pas surprenants. Bubble offre une sécurité solide, mais il est encore assez difficile de configurer une application qui aborde toutes les vulnérabilités potentielles, du moins comparé à la facilité d'utilisation d'autres parties de leur plateforme. Le défi réside dans le fait que la plupart des vulnérabilités ne sont pas ignorées, mais que les développeurs ignorent qu'elles existent. Faire de cela une conversation à haute priorité au sein de la communauté est important.”

Selon vous, quelle est la principale cause de ce résultat ?

“Je pense qu'il y a plusieurs causes. Peut-être avant tout, je suis d'accord sur le fait que Bubble attire un public qui n'a aucune expérience en matière de cybersécurité, et cela se ressent. Ils peuvent également ne pas avoir d'expérience en matière de conception et de logique de flux de travail, mais les résultats immédiats en mode "ce que vous voyez est ce que vous obtenez" les obligent à apprendre. Les vulnérabilités de sécurité sont en grande partie invisibles et très difficiles à prendre conscience si personne ne vous les signale. Deuxièmement, la sécurité est une priorité faible pour de nombreuses entreprises : la plupart changent leurs pratiques après avoir subi une violation, ce qui n'est pas propre à Bubble. C'est particulièrement difficile à prioriser si vous construisez une start-up en espérant la mettre rapidement sur le marché et que l'apprentissage de la sécurité semble être un défi insurmontable. De plus, beaucoup d'utilisateurs construisent leur application tout en apprenant : la sécurité est souvent la dernière chose à laquelle ils s'intéressent. Inverser la tendance et apporter des modifications à leur application après coup n'est pas une tâche tentante.”

Quelles solutions pensez-vous qui seraient efficaces pour mieux sécuriser l'écosystème Bubble ?

“La sensibilisation est évidemment la première priorité. Je ne pense pas que les grands groupes de pirates informatiques soient encore très conscients de Bubble, mais des réseaux de robots seront sûrement mis en place pour exploiter des vulnérabilités connues, et lorsque cela se produira, des milliers d'applications pourraient être exposées en même temps, mettant en danger une grande quantité de données utilisateur. Les documents de Bubble doivent continuer à s'améliorer, et pour intégrer de nouveaux utilisateurs occasionnels à de bonnes pratiques de sécurité, les ressources tierces telles que des livres et votre plateforme d'audit ne sont pas suffisantes : Bubble doit travailler à renforcer la sensibilisation et à aider les développeurs à comprendre les meilleures pratiques dès le début du processus de développement du produit.”

Comment contribuez-vous à la sécurité de l'écosystème Bubble ?

“Ma contribution la plus évidente, je suppose, est le livre et, espérons-le, le travail que je réalise sur le manuel. La sécurité fera certainement partie intégrante de ce travail, même si nous n'en sommes pas encore arrivés à ce stade dans le développement du manuel. J'organise des séances de coaching et des formations/bootcamps, mais le plus grand volume significatif d'utilisateurs est atteint grâce aux livres, aux articles et au manuel.”

Pensez-vous que des solutions de sécurité externes (nocode:nohack, ncScale, Flusk) ont leur place dans l'écosystème ? Pourquoi ?

“Absolument, la sécurité repose sur la structure et la répétition : des vérifications et des révérifications. Disons qu'un système comme Flusk peut révéler 80 % des vulnérabilités potentielles avant chaque déploiement, évidemment, c'est bien mieux que 0 % et, plus important encore, c'est à chaque fois. Même s'il y a 20 % de cas particuliers qui échappent encore à notre vigilance, je dirais que c'est quand même une amélioration majeure. Je donne ces chiffres à titre d'exemple pour illustrer mon propos, mais oui : si le logiciel peut remplacer les listes de vérification gérées par des humains, il est garanti de réduire le taux d'erreurs humaines.”

Si vous deviez donner un conseil de sécurité à toute personne qui apprend Bubble, quel serait-il ?

“Je vous en donnerai deux : apprenez les règles de confidentialité et comprenez la différence entre le côté client et le côté serveur.”

Benoit De Montecler profile picture

Benoît de Montecler

Benoît est le co-fondateur de ncScale, le premier outil pour rendre votre no-code fiable, sécurisé et facile à entretenir.

Que pensez-vous des résultats de cette étude ?

“Ces résultats sont préoccupants car ils se sont détériorés en un an. Le nombre d'applications a plus que doublé, et des milliers de nouveaux utilisateurs arrivent en ignorant la sécurité pour leurs premières applications. Comme pour toute nouvelle technologie, nous découvrons progressivement ses faiblesses. Cela ne m'inquiète pas car cela suit ce qui s'est passé avec le code. Les applications basées sur le code ont autant de défauts, mais les développeurs sont mieux équipés pour les surveiller, contrairement au no-code. De nouveaux outils comme Flusk ou ncScale montrent que les choses vont dans la bonne direction.
Contrairement à la croyance populaire, de bons utilisateurs de no-code sont tout aussi rares que de bons développeurs.
Il est désormais essentiel pour les entreprises de maîtriser le no-code car il est devenu un avantage concurrentiel. Développer 10 fois plus rapidement que la concurrence ne doit pas se faire au détriment de la qualité, et c'est désormais possible grâce à ces nouveaux outils.”

Selon vous, quelle est la principale cause de ce résultat ?

“Les nouveaux utilisateurs de Bubble utilisent cet outil comme ils utiliseraient n'importe quelle autre plateforme SaaS qui empêche les utilisateurs de créer des vulnérabilités. Grâce à son approche permissive, Bubble est très puissant en termes de personnalisation. C'est ce qui en fait son principal atout et sa principale faiblesse.”

Selon vous, quelles solutions seraient efficaces pour mieux sécuriser l'écosystème Bubble ?

“Bubble devrait analyser les applications et être proactif concernant certaines choses évidentes, telles que :
- L'alerte en cas de données sensibles accessibles au public
- Rendre privés les éléments publics inutiles tels que la liste des pages, la structure de la base de données et la liste des API tierces utilisées.
- Mettant en avant les outils de sécurité de Bubble, il y en a de plus en plus, ce qui est un bon signe ! Cela a commencé avec Tinkso, puis ncScale, et enfin Flusk! Cela va dans la bonne direction, et j'espère que d'autres outils suivront !"”

comment ncScale contribue-t-il à la sécurité et à la fiabilité de l'écosystème Bubble et de l'industrie du no-code en général ?

“Nous avons réintégré les fonctionnalités de notre plugin de sécurité 'nocodenohack' dans ncScale, et nous venons de lancer l'alerte sur les journaux de Bubble. Cela nous permet de surveiller en temps réel les comportements non autorisés, tels que l'accès non autorisé à une page d'administration par un utilisateur, de détecter les erreurs qui bloquent les utilisateurs, ou encore de repérer un pic anormal dans l'utilisation d'une fonctionnalité.”

Si vous deviez donner un conseil en matière de sécurité à toutes les personnes qui apprennent Bubble, quel serait-il ?

“S'il y a une chose à retenir pour sécuriser votre application Bubble, c'est que vous devez concevoir votre base de données et configurer vos règles de confidentialité en même temps ! Si vous ne le faites pas en parallèle, il sera difficile de sécuriser l'application, et le risque d'erreur est très élevé.”

Ressources

Les solutions immédiates incluent des ressources provenant d'acteurs bien connus, telles que :

Ce rapport est basé sur une étude menée en décembre 2022 par Flusk.

Si vous souhaitez utiliser ou republier le contenu de cet article, veuillez contacter inquiries@flusk.eu pour obtenir la permission.