Академический Документы
Профессиональный Документы
Культура Документы
Communication
Sécurité
Orienté Service
76
19
et
75
19
83
18
IDS
86
19
CC ronkok (Flickr)
Anti-Virus
87
19
CC SlipStreamJC (Flickr)
Firewall
1
9
19
à
88
19
SSL49
19
CC Darwin Bell (Flickr)
Dev Infra
1883 Principe de crypto
1975 Crypto symétrique moderne
1976 Crypto asymétrique
1986 IDS
1987 Antivirus
1988 Firewall 1G (packet filter)
1990 Firewall 2G (stateful)
1991 Firewall 3G (application level)
1994 SSL
1995 CGI, Perl
?
1997 ASP, JSP
1998 EJB, J2EE, DCOM
1999 SOAP, XML
2001 REST, SOAP
2003 Web 2.0
Page AAAA MM JJ | CONFIDENTIEL
Mythes
CC Mightyohm (Flickr)
Qui sont-ils?
• Depuis plus de 10 ans
• 80% des attaques s’exécutent à partir de
l’intérieur
• Erreurs humaines
• Employés
• Espionnage industriel (12 milliard*)
• 2millions sécurité VS 78 millions de perte
* http://www.lesaffaires.com/archives/generale/les-menaces-qui-pesent-sur-votre-entreprise/504041
Risques réels
Facilité d’exécuter une
attaque
• Outils gratuits disponibles
• Facilité des nouvelles technologies
• Aucun système n’est 100% sécuritaire
• La sécurité est rarement intégrée dès le
début d’un projet
• Plusieurs attaques sont réalisables en mois
de 10 minutes... (voir exemples)
C?
Architecture
CC enfilm (Flickr)
CC ...-Wink-...l (Flickr)
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
Qu’est-ce qu’un cadre
normatif?
• Un programmeur ne pense pas comme un
analyste en sécurité
• L’analyste en sécurité peut aider le
programmeur et, par la suite, effectuer un
audit de sécurité
• Réduit le risque d’erreurs de base
One day Alice came to a fork in the road and
saw a Cheshire cat in a tree. Which road do I
take? she asked. Where do you want to go?
was his response. I don't know, Alice
answered. Then, said the cat, it doesn't
matter.
—Lewis Carroll
Les impacts CC spettacolopuro (Flickr)
Intégrité, confidentialité,
disponibilié
• Perte d’intégrité:
• Modification du site Web (images porno, redirection,
hameçonnage, etc.)
• Modification des textes (textes diffamatoires, insultes, vulgarités)
• Modification des données (données financières, médicales, etc.)
• Perte confidentialité:
• Documents confidentiels
• Accès aux applications et aux données
• Perte disponibilité:
• Système hors fonction ou dysfonctionnel
Les impacts sur les données de
mission
• Perte d’intégrité, de disponibilité et
condifentialité
• Perte financières
• Perte de clients, de fournisseurs, etc.
• Perte de confiance
• Dégradation de l’image publique de l’entreprise
• ...
Gouvernance
CC ? (Flickr)
C?
C?
C?
Doctrine
CC Army.mil (Flickr)
Cycle de développement
sécuritaire
Analyse
Introduction de la sécurité dans le projet dès le départ
Rédaction à partir du guide vert/dmr incluant les éléments de sécurité
Formation et Conception
sensibilisation Architecture et développement
Cadre normatif de développement sécuritaire
Réduction de certains risques de base
Vérification
Revalidation de toutes les mesures de sécurité
Implantation
Implantation et validation de la sécurité
Tests de sécurité
Maintenance
Validation des éléments de sécurité
Valider chaque correctif et nouveau module
Défense en profondeur
Serveurs
Données
Stratégie de zonage
CC Julep67 (Flickr)
C?
classification données
CC libraryman (Flickr)
Droit d’accès minimum
CC ? (Flickr)
Confiance transitive
CC Tojosan (Flickr)
Types d’attaques
SQL Injection
Tekniks
Mais où est le bug?
• Cookie
• Variable Get (victim.com/script.php?
var=valeur)
• Formulaire (POST)
• Ajax (XMLHttpRequest)
• ...
Fonctions sensibles
• System(), Passthru(),...
• mysql_query()
• TOUS les intrants!
• Upload
• Canaux de communication (socket, fichier,s
site web,...)
Information disclosure
• Qu’est-ce que c’est?
• Directory listing
• Code source
• Config par défaut
• Extension (.bak, .old, ~bak, ~old, ...)
• Faible risque
Mais! Accumulation=risque++
ROBOTS.txt
User-agent: *
Disallow: /admin/
Disallow: /App_Browsers/
Disallow: /App_GlobalResources/
Disallow: /App_Themes/
Disallow: /bin/
Disallow: /Controls/
Disallow: /includes/
Disallow: /jscripts/
Disallow: /My Project/
Disallow: /Templates/
Disallow: /vbscripts/
Disallow: /phpMyAdmin/
Disallow: /intranet/
Protection Robots.txt
Disallow: /search/si/*
Disallow: /search/av/*
Disallow: /search/ad/*
Disallow: /search/re/*
Disallow: /search/pr/*
Guess the UserName
Bak file
Google Hacking
• GOTO Google.com
• site:qc.ca
• inurl:admin
• site:facebook.com...
Default Config
• /admin
• /gestion
• /manual
• /cgi-bin
• user: admin password: admin
• install.php, cleandb.php, etc.
Possibilités de...:
• Usurpation d’identité numérique
• Usurpation d’identité physique
• Contrôle à distance
• Exécution à distance
• Vol de données de mission
• ...
Exemples
À ne pas faire ni essayer!