5. Allô !
• Mon expérience en sécurité/hacking?
• Mon But dans la présentation
• Comprendre les impacts de l’insécurité
en entreprise et au gouvernement
• Expliquer le cycle de développement
sécuritaire
• Le tout techniquement
7. Hello !
• Mon expérience en sécurité/hacking?
• Buts de la présentation
• Comprendre le fonctionnement de la
sécurité d’entreprise appliqué au Web
• Expliquer les éléments de sécurité haut
niveau
27. Chiffrement des données
• l’utilisation du httpS (SSL)
• Ne change rien!
• Qu’un site Web soit chiffré ou non, notre
navigateur Web télécharge toutes les
informations.
28. Le firewall
• Ne nous protège pas “réellement” des
attaques
• Un utilisateur peut tout de même visiter et
télécharger des données depuis un site
malicieux
29. Information disclosure
• Qu’est-ce que c’est?
• Toute faille, quel que soit son impact, doit
être considérée et approfondie.
• Faible risque,
Mais, l’accumulation = risque++
30. Sécuriser l’élément à risque
• Souvent, on sécurise seulement l’endroit
considéré comme à risque
• Toutefois, en verrouillant la porte de notre
maison, on n’empêche pas quelqu’un
d’entrer par la fenêtre... Fail
• En informatique, c’est le même principe
35. Qui sont-ils?
• Depuis plus de 10 ans
• 80% des attaques s’exécutent à partir de
l’intérieur
• Erreurs humaines
• Employés
• Espionnage industriel (12 milliard*)
• 2millions sécurité VS 78 millions de perte
* http://www.lesaffaires.com/archives/generale/les-menaces-qui-pesent-sur-votre-entreprise/504041
37. Facilité d’exécuter une
attaque
• Outils gratuits disponibles
• Facilité des nouvelles technologies
• Aucun système n’est 100% sécuritaire
• La sécurité est rarement intégrée dès le
début d’un projet
• Plusieurs attaques sont réalisables en mois
de 10 minutes... (voir exemples)
41. bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla bla bla bla bla bla bla bla bla bla bla
42.
43. Qu’est-ce qu’un cadre
normatif?
• Un programmeur ne pense pas comme un
analyste en sécurité
• L’analyste en sécurité peut aider le
programmeur et, par la suite, effectuer un
audit de sécurité
• Réduit le risque d’erreurs de base
44.
45.
46. One day Alice came to a fork in the road and
saw a Cheshire cat in a tree. Which road do I
take? she asked. Where do you want to go?
was his response. I don't know, Alice
answered. Then, said the cat, it doesn't
matter.
—Lewis Carroll
48. Intégrité, confidentialité,
disponibilié
• Perte d’intégrité:
• Modification du site Web (images porno, redirection,
hameçonnage, etc.)
• Modification des textes (textes diffamatoires, insultes, vulgarités)
• Modification des données (données financières, médicales, etc.)
• Perte confidentialité:
• Documents confidentiels
• Accès aux applications et aux données
• Perte disponibilité:
• Système hors fonction ou dysfonctionnel
49. Les impacts sur les données de
mission
• Perte d’intégrité, de disponibilité et
condifentialité
• Perte financières
• Perte de clients, de fournisseurs, etc.
• Perte de confiance
• Dégradation de l’image publique de l’entreprise
• ...
55. Cycle de développement
sécuritaire
Analysele projet dès le départ
Introduction de la sécurité dans
Rédaction à partir du guide vert/dmr incluant les éléments de sécurité
Formation et Conception
sensibilisation Architecture et développement
Cadre normatif de développement sécuritaire
Réduction de certains risques de base
Vérification
Revalidation de toutes les mesures de sécurité
Implantation la sécurité
Implantation et validation de
Tests de sécurité
Maintenance
Validation des éléments de sécurité
Valider chaque correctif et nouveau module
72. Mais où est le bug?
• Cookie
• Variable Get (victim.com/script.php?
var=valeur)
• Formulaire (POST)
• Ajax (XMLHttpRequest)
• ...
73. Fonctions sensibles
• System(), Passthru(),...
• mysql_query()
• TOUS les intrants!
• Upload
• Canaux de communication (socket, fichier,s
site web,...)
74. Information disclosure
• Qu’est-ce que c’est?
• Directory listing
• Code source
• Config par défaut
• Extension (.bak, .old, ~bak, ~old, ...)
• Faible risque
Mais! Accumulation=risque++
83. SQLi Error
Risque: Lecture/exécution de la base de données,
information sur les serveurs
Impact:Vol et modification de données publiques et
confidentielles, attaque serveur
85. SQL ... gouv!
Risque: Lecture/exécution de la base de données,
information du serveur
Impact:Vol et modification de données publiques et
confidentielles, attaques serveur