Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

http://prox-ia.blogspot.com Sécurité des applications WEB Philippe BITON pbiton

http://prox-ia.blogspot.com Sécurité des applications WEB Philippe BITON pbiton@prox-ia.com Février 2012 http://prox-ia.blogspot.com Objectifs  présenter la problématique globale de la sécurité applicative  proposer des définitions et homogénéiser le vocabulaire du domaine.  brosser le panorama des principales vulnérabilités  présenter des approches méthodologiques  identifier les bonnes pratiques en conception  analyser les solutions en environnement applicatif  mettre en avant la complémentarité de la sécurité dans une chaîne applicative  aborder les tendances en termes d’usage et de technologie. http://prox-ia.blogspot.com Aspects logistiques une session de présentation... une session d’échange n’hésitez pas à poser des questions! les horaires : 9h30 - 12h00 et 13h30 - 16h30 merci de bien vouloir mettre vos portables en mode vibreur pour me joindre : pbiton@prox-ia.com une pause en milieu d’intervention, le matin et l’après-midi http://prox-ia.blogspot.com Faisons connaissance…  Philippe BITON (pbiton@prox-ia.com)  Environ 20 ans dans l’ingénierie logicielle • 10 ans de développement logiciel en société de services • 10 ans à Gemalto (anciennement Gemplus) Dans l’architecture logicielle des serveurs Dans le développement d’applications Web Dans l’intégration des serveurs dans les environnements des clients …dans le domaine de la sécurité (CISSP 2010). http://prox-ia.blogspot.com Sommaire • Contexte de la sécurité applicative • Vocabulaire et références techniques • Typologie des vulnérabilités applicatives • Réponses matérielles • Réponses méthodologiques • Choix d’authentification • Conclusion http://prox-ia.blogspot.com I - Contexte de la sécurité applicative • Tentative de définition de la sécurité applicative • Chiffres (historique et évolution) • Etat des lieux http://prox-ia.blogspot.com Source: Wikipedia - http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_du_syst%C3%A8me_d%27information “Tenter de sécuriser un système d'information revient à essayer de se protéger contre les risques liés à l'informatique pouvant avoir un impact sur la sécurité de celui-ci, ou des informations qu'il traite.” Tentative de définition de la sécurité informatique http://prox-ia.blogspot.com Source: Symantec Global Internet Threat Report Trends for 2010 - Vol 16, Published April 2011 - http://msisac.cisecurity.org/resources/reports/documents/SymantecInternetSecurityThreatReport2010.pdf Chiffres: …2010 http://prox-ia.blogspot.com Source: Symantec Global Internet Threat Report Trends for 2010 - Vol 16, Published April 2011 - http://msisac.cisecurity.org/resources/reports/documents/SymantecInternetSecurityThreatReport2010.pdf Chiffres: …2010 http://prox-ia.blogspot.com Source: Symantec Global Internet Threat Report Trends for 2010 - Vol 16, Published April 2011 - http://msisac.cisecurity.org/resources/reports/documents/SymantecInternetSecurityThreatReport2010.pdf Chiffres: …2010 http://prox-ia.blogspot.com Source: Symantec Global Internet Threat Report Trends for 2010 - Vol 16, Published April 2011 - http://msisac.cisecurity.org/resources/reports/documents/SymantecInternetSecurityThreatReport2010.pdf Tendances: vols d’identités http://prox-ia.blogspot.com Source: Symantec Global Internet Threat Report Trends for 2010 - Vol 16, Published April 2011 - http://msisac.cisecurity.org/resources/reports/documents/SymantecInternetSecurityThreatReport2010.pdf Tendances : URLs courtes http://prox-ia.blogspot.com Source: Symantec Global Internet Threat Report Trends for 2010 - Vol 16, Published April 2011 - http://msisac.cisecurity.org/resources/reports/documents/SymantecInternetSecurityThreatReport2010.pdf Tendances : URLs courtes http://prox-ia.blogspot.com Source: Symantec Report on Attack Kits and Malicious Websites - Published January 2011 - http://www.symantec.com/content/en/us/enterprise/other_resources/b- symantec_report_on_attack_kits_and_malicious_websites_21169171_WP.en-us.pdf Tendances : les boîtes à outils http://prox-ia.blogspot.com Source: Symantec Global Internet Threat Report Trends for 2010 - Vol 16, Published April 2011 - http://msisac.cisecurity.org/resources/reports/documents/SymantecInternetSecurityThreatReport2010.pdf Tendances : les boîtes à outils http://prox-ia.blogspot.com Source: Symantec Global Internet Threat Report Trends for 2010 - Vol 16, Published April 2011 - http://msisac.cisecurity.org/resources/reports/documents/SymantecInternetSecurityThreatReport2010.pdf Tendances : les attaques “web” http://prox-ia.blogspot.com Source: Symantec Intelligence Quarterly - April-June 2011 - http://www.symantec.com/content/en/us/enterprise/white_papers/b- symc_intelligence_qtrly_apr_to_jun_WP.en-us.pdf Tendances : les attaques “web” http://prox-ia.blogspot.com Tendances : les attaques “web” Source: Symantec Intelligence Quarterly - April-June 2011 - http://www.symantec.com/content/en/us/enterprise/white_papers/b- symc_intelligence_qtrly_apr_to_jun_WP.en-us.pdf http://prox-ia.blogspot.com Source: Symantec Global Internet Threat Report Trends for 2010 - Vol 16, Published April 2011 - http://msisac.cisecurity.org/resources/reports/documents/SymantecInternetSecurityThreatReport2010.pdf Tendances : les mécanismes de propagation http://prox-ia.blogspot.com Source: Symantec Global Internet Threat Report Trends for 2010 - Vol 16, Published April 2011 - http://msisac.cisecurity.org/resources/reports/documents/SymantecInternetSecurityThreatReport2010.pdf Tendances : les smartphones http://prox-ia.blogspot.com Source: eEye Digital Security - http://research.eeye.com/html/alerts/zeroday/index.html Cycle de vie des vulnérabilités (black hat) 1. Découverte d’une faille: un hacker découvre une faille de sécurité 2. Publication de l’exploit: le risque augmente très fortement avec la publication; les “scripts kiddies” entrent en action 3. Correctif de l’éditeur: l’éditeur publie un correctif; la faille est désormais connue de tous 4. Application du correctif: l’entreprise réagit et met à jour l’application vulnérable Objectif: “0” day http://prox-ia.blogspot.com Cycle de vie des vulnérabilités (white hat) 1. Découverte d’une faille: une société spécialisée ou l’éditeur découvre une faille de sécurité 2. Publication d’un correctif: les hackers analysent le correctif par reverse engineering 3. Publication d’un exploit: les « scripts kiddies » entrent en action 4. Application du correctif: l’entreprise doit réagir rapidement et mettre à jour l’application vulnérable http://prox-ia.blogspot.com L’actualité du « Cyber-crime » Source: NakedSecurity - http://nakedsecurity.sophos.com/ 23 janvier 2011: Le compte Facebook de Nicolas Sarkozy est hacké indiquant que le président ne se représentera pas en 2012 http://prox-ia.blogspot.com L’actualité du « Cyber-crime » 28 janvier 2011: le FBI émet 40 mandats de perquisition pour les participants à une attaque “DDOS” contre les ennemis de Wikileaks Source: NakedSecurity - http://nakedsecurity.sophos.com/ http://prox-ia.blogspot.com L’actualité du « Cyber-crime » 26 janvier 2011: des hackeurs lancent des attaques DDOS contre les sites web officiels d’Egypte Source: NakedSecurity - http://nakedsecurity.sophos.com/ http://prox-ia.blogspot.com L’actualité du « Cyber-crime » 20 janvier 2011: les joueurs de World of Warcraft victimes du phishing Source: NakedSecurity - http://nakedsecurity.sophos.com/ http://prox-ia.blogspot.com L’actualité du « Cyber-crime » 5 janvier 2011: le Scottish Court Service reconnait ne pas avoir pris les mesures nécessaires pour que des documents contenant des données confidentielles ne se retrouvent dans une centre de recyclage de Glasgow Source: NakedSecurity - http://nakedsecurity.sophos.com/ http://prox-ia.blogspot.com USB Dumper USB Autorun PDF malicieux Demo I http://prox-ia.blogspot.com Cyber-crime trend: user resistance to web security Source: Sophos Security Threat Report July 2009 - http://www.sophos.com/security/sophoslabs/anonymizing-proxies.html • Companies filter URLs, blocking access to particular sites for policy reasons. • Office workers use anonymizing proxies in order to bypass company policies and perimeter defenses. • This can obviously have an impact on security. • Anonymizing proxies can themselves be infected with multiple pieces of malware. Source: Microsoft, The Rational Rejection of Security Advice by Users - http://research.microsoft.com/en-us/um/people/cormac/papers/2009/SoLongAndNoThanks.pdf http://prox-ia.blogspot.com •August 2008. As tensions rose over South Ossetia, Russian and Georgian hackers launched attacks. Examples include a distributed denial of service attack against the website of the South Ossetian government and the defacement of the Georgian Ministry of Foreign Affairs website with a collage of pictures of Georgian president Mikheil Saakashvili and Adolf Hitler. Source: MISC n 40 Nov/Dec 2008 - http://www.miscmag.com Cyber-crime sponsorisé par les états Source: Sophos Security Threat Report 2011- http://www.sophos.com Estonie http://prox-ia.blogspot.com Source: ITespresso - http://www.itespresso.fr/la-france-se-dote-dune-vraie-agence- gouvernementale-de-cyber-securite-30404.html Cyber-sécurité: les organisations Juillet 2009, la France se dote d’une vraie agence gouvernementale de cyber-sécurité. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a vocation à protéger les réseaux gouvernementaux et sensibiliser tous les publics aux menaces de l'Internet. La France prend désormais les menaces informatiques très au sérieux Stuxnet http://prox-ia.blogspot.com Wanted: vulnerability…! Source: iDefense - http://www.idefense.com On August 19th, 2008 iDefense Labs launched the new interactive VCP Contributor Portal. This portal allows our contributors to submit their vulnerabilities and then track the progress as we evaluate and process them, simplifying the overall process and allowing faster response. Please visit the VCP Portal at: https://labs.idefense.com/vcp/portal. iDefense is a Verisign company http://prox-ia.blogspot.com Les éléments de sécurité Antivirus Anti-spyware Chiffrement Contrôle d’accès IPS IDS SSO Sécurité applicative Poste client Couches transports Environnement de production Couche applicative Laptop Filtrage Cloisonnement Rappel: 60% des attaques sont applicatives MICE http://prox-ia.blogspot.com Law #1: If a bad guy can persuade you to run his program on your computer, it's not your computer anymore Law #2: If a bad guy can alter the operating system on your computer, it's not your computer anymore Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore Law #4: If you allow a bad guy to upload programs to your website, it's not your website any more Law #5: Weak passwords trump strong security Law #6: A computer is only as secure as the administrator is trustworthy Law #7: Encrypted data is only as secure as the decryption key Law #8: An out of date virus scanner is only marginally better than no virus scanner at all Law #9: Absolute anonymity isn't practical, in real life or on the Web Law #10: Technology is not a panacea Les 1O lois immuables sur la sécurité Source: Microsoft - http://technet.microsoft.com/en-us/library/cc722487.aspx http://prox-ia.blogspot.com Une application WEB c’est Poste client Extensions applicatives Sources de données Laptop Serveur HTTP HTTP 80 • Extension HTTP • ISAPI • Server-Side Scripting: • ASP • JSP • Serveur d’applications: • Java EE • .NET • Apache • IIS Une relation entre un client et un serveur, mis en relation par l’infrastructure d’acheminement TCP/IP de l’internet, et dialoguant au travers d’un protocole applicatif de requêtage HTTP sur un port applicatif “Les applications distribuées sur le web sont incontournables” • MySQL • Firebird • Oracle • MSSQL http://prox-ia.blogspot.com Sécurité du développement Sécurité de l’architecture Sécurité des OS Sécurité de l’organisation Sécurité du réseau Les axes de sécurisation d’une application « Web » Laptop Client Internet Architecture technique applicative Source: Philippe ENSARGUET - Silicomp http://prox-ia.blogspot.com Constat sur la sécurité • Depuis plus de 10 ans, on trouve de nombreuses nouvelles technologies d’implémentation • À ce jour, aucune technologie ne s’est montrée invulnérable ! • On observe une exploitation grandissante de failles, de vulnérabilités portant une atteinte à l’intégrité, la confidentialité, l’imputabilité et l’accès aux données utilisateurs. Source: Philippe ENSARGUET - Silicomp http://prox-ia.blogspot.com uploads/Philosophie/ securite-des-applications-web-contexte-1.pdf