2. http://www.google.fr/#q=sebastien gioria
‣Responsable de la branche Audit S.I et Sécurité
au sein du cabinet Groupe Y
‣OWASP France Leader & Founder - Evangéliste
‣OWASP Global Education Comittee Member
(sebastien.gioria@owasp.org)
‣Responsable du Groupe Sécurité des
Applications Web au CLUSIF
Twitter :@SPoint
CISA && ISO 27005 Risk Manager
‣ +13 ans d’expérience en Sécurité des Systèmes d’Information
‣ Différents postes de manager SSI dans la banque, l’assurance et les télécoms
‣ Expertise Technique
- PenTesting,
- Secure-SDLC
- Gestion du risque, Architectures fonctionnelles, Audits
- Consulting et Formation en Réseaux et Sécurité
Applica'on*Security*Forum*3*2012*
'
Western'Switzerland' 2
2
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
3. http://www.google.fr/#q=sebastien gioria
‣Responsable de la branche Audit S.I et Sécurité
au sein du cabinet Groupe Y
‣OWASP France Leader & Founder - Evangéliste
‣OWASP Global Education Comittee Member
(sebastien.gioria@owasp.org)
‣Responsable du Groupe Sécurité des
Applications Web au CLUSIF
Twitter :@SPoint
CISA && ISO 27005 Risk Manager
‣ +13 ans d’expérience en Sécurité des Systèmes d’Information
‣ Différents postes de manager SSI dans la banque, l’assurance et les télécoms
‣ Expertise Technique
- PenTesting,
- Secure-SDLC
- Gestion du risque, Architectures fonctionnelles, Audits
- Consulting et Formation en Réseaux et Sécurité
Applica'on*Security*Forum*3*2012*
'
Western'Switzerland' 2
2
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
4. Top 10 Risques
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
5. Top 10 Risques
• Vision multi-plateforme :
• Android, IOS, Nokia, Windows, ...
• Focus sur les risques plutôt que les
vulnérabilités.
• Utilisation de l’OWASP Risk Rating
Methodology pour le classement
• https://www.owasp.org/index.php/
OWASP_Risk_Rating_Methodology
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
4
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
6. Les 10 risques
Risque
M1 - Stockage de données non sécurisé
M2 - Contrôles serveur défaillants
M3 - Protection insuffisante lors du transport de données
M4 - Injection client
M5 - Authentification et habilitation defaillante
M6 - Mauvaise gestion des sessions
M7- Utilisation de données d’entrée pour effectuer des décisions sécurité.
M8 - Perte de données via des canaux cachés
M9 - Chiffrement défectueux
M10 - Perte d’information sensible
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
5
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
8. M1 - Stockage de données non sécurisé
• Les données sensibles ne sont pas Impact
protégées
• Perte de
• S’applique aux données locales, tout confidentialité sur
comme celles disponibles dans le cloud
les données
• Généralement du à :
• Divulgation
• Défaut de chiffrement des données
d’authentifiants
• Cache de données qui n’est pas
généralement prévu • Violation de vie
• Permissions globales ou faibles privée
• Non suivi des bonnes pratiques de la • Non-compliance
plateforme
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
7
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
9. M1 - Stockage de données non sécurisé
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
8
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
10. M1 - Stockage de données non sécurisé
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
8
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
11. M1 - Stockage de données non sécurisé
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
8
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
12. M1 - Stockage de données non sécurisé
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
8
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
14. M1 - Prévention
1. Ne stocker que ce qui est réellement
nécessaire
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
9
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
15. M1 - Prévention
1. Ne stocker que ce qui est réellement
nécessaire
2. Ne jamais stocker de données sur des
éléments publics (SD-Card...)
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
9
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
16. M1 - Prévention
1. Ne stocker que ce qui est réellement
nécessaire
2. Ne jamais stocker de données sur des
éléments publics (SD-Card...)
3. Utiliser les APIs de chiffrement et les
conteneurs sécurisés fournis par la plateforme.
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
9
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
17. M1 - Prévention
1. Ne stocker que ce qui est réellement
nécessaire
2. Ne jamais stocker de données sur des
éléments publics (SD-Card...)
3. Utiliser les APIs de chiffrement et les
conteneurs sécurisés fournis par la plateforme.
4. Ne pas donner des droits en “world writeable”
ou “world readable”
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
9
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
19. M2- Contrôles serveur défaillants
• S’applique uniquement aux Impact
services de backend.
• Perte de
• Non spécifique aux mobiles. confidentialité
sur des
• Il n’est pas plus facile de
données
faire confiance au client.
• Il est nécessaire de revoir les • Perte
d’intégrité sur
contrôles actuels classiques.
des données
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
11
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
20. M2 - Contrôles serveur défaillants
OWASP Top 10 OWASP Cloud Top 10
• https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project • https://www.owasp.org/images/4/47/Cloud-
Applica'on*Security*Forum*3*2012*
Top10-Security-Risks.pdf
Western'Switzerland'
'
12
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
22. M2- Prévention
1. Comprendre les nouveaux risques induits par
les applications mobiles sur les architectures
existantes
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
13
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
23. M2- Prévention
1. Comprendre les nouveaux risques induits par
les applications mobiles sur les architectures
existantes
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
13
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
24. M2- Prévention
1. Comprendre les nouveaux risques induits par
les applications mobiles sur les architectures
existantes
3. OWASP Top 10, Cloud Top 10, Web Services Top 10
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
13
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
25. M2- Prévention
1. Comprendre les nouveaux risques induits par
les applications mobiles sur les architectures
existantes
3. OWASP Top 10, Cloud Top 10, Web Services Top 10
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
13
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
26. M2- Prévention
1. Comprendre les nouveaux risques induits par
les applications mobiles sur les architectures
existantes
3. OWASP Top 10, Cloud Top 10, Web Services Top 10
5. Voir les Cheat sheets, guides de développement,
l’ESAPI
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
13
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
28. M3 - Protection insuffisante lors du
transport de données
• Perte complète de chiffrement Impact
des données transmises.
• Attacks MITM
• Faible chiffrement des
données transmises.
• Modification
des données
• Fort chiffrement, mais oubli transmises
des alertes sécurité
• Perte de
• Ignorer les erreurs de validation de certificats
confidentialité
• Retour en mode non chiffré après erreurs
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
15
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
29. M3 - Protection insuffisante lors du
transport de données
Exemple : Protocole d’authentification des clients
Google
• L’entete d’authentification est envoyé sur HTTP
• Lorsqu’un utilisateur se connecte via un WIFI,
l’application automatiquement envoie le jeton dans
le but de synchroniser les données depuis le serveur.
• Il suffit d’écouter le réseau et de voler cet élément
pour usurper l’identité
• http://www.uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
16
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
31. M3 - Prévention
1. Vérifier que les données sensibles quittent
l’appareil chiffrées.
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
17
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
32. M3 - Prévention
1. Vérifier que les données sensibles quittent
l’appareil chiffrées.
2. Quelque soit les données et les réseaux : Wifi,
NFC( coucou Renaud :) ), GSM, ....
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
17
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
33. M3 - Prévention
1. Vérifier que les données sensibles quittent
l’appareil chiffrées.
2. Quelque soit les données et les réseaux : Wifi,
NFC( coucou Renaud :) ), GSM, ....
3. Ne pas ignorer les erreurs de sécurité !
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
17
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
35. M4- Injection Client
• Utilisation des fonctions de Impact
navigateurs dans les applications
• Apps pure Web
• Compromissio
• Apps hybrides
n de l’appareil
• On retrouve les vulnérabilités
connues • Fraude à
• Injection XSS et HTML l’appel
• SQL Injection
• Augmentation
• Des nouveautés interessantes
de privilèges
• Abus d’appels et de SMS
• Abus de paiements ?
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
19
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
39. M4 - Prévention
1. Valider les données d’entrée avant utilisation
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
21
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
40. M4 - Prévention
1. Valider les données d’entrée avant utilisation
2. Nettoyer les données en sortie avant affichage.
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
21
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
41. M4 - Prévention
1. Valider les données d’entrée avant utilisation
2. Nettoyer les données en sortie avant affichage.
3. Utilisation des requetes paramétrées
(correctement ! ) pour les appels bases de
données.
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
21
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
42. M4 - Prévention
1. Valider les données d’entrée avant utilisation
2. Nettoyer les données en sortie avant affichage.
3. Utilisation des requetes paramétrées
(correctement ! ) pour les appels bases de
données.
4. Minimiser les capacités/privilèges des applications
hybrides Web.
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
21
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
44. M5- Authentification et habilitation
defaillante
• 50% du a des problèmes d’architecture, Impact
50% du à des problèmes du mobile
• Certaines applications se reposent • Elevation de
uniquement sur des éléments Privileges
théoriquement inchangeables, mais
pouvant être compromis (IMEI, IMSI,
UUID)
• Accès non
autorisé.
• Les identifiants matériels persistent
apres les resets ou les nettoyages de
données.
• De l’information contextuelle ajoutée,
est utile, mais pas infaillible.
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
23
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
45. M5- Authentification et habilitation
defaillante
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
24
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
47. M5 - Prevention
1. De l’information contextuelle peut améliorer
les choses, mais uniquement en cas
d’implementation d’authentification multi-
facteur.
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
25
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
48. M5 - Prevention
1. De l’information contextuelle peut améliorer
les choses, mais uniquement en cas
d’implementation d’authentification multi-
facteur.
2. Impossible de faire du “Out-of-band” sur le
même matériel (eg SMS...)
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
25
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
49. M5 - Prevention
1. De l’information contextuelle peut améliorer
les choses, mais uniquement en cas
d’implementation d’authentification multi-
facteur.
2. Impossible de faire du “Out-of-band” sur le
même matériel (eg SMS...)
3. Ne jamais utiliser l’ID machine ou l’ID
opérateur (subscriber ID), comme élément
unique d’authentification.
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
25
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
51. M6 - Mauvaise gestion des sessions
• Les sessions applicatives mobiles sont Impact
généralement plus longues que sur une
application normale.
• Dans un but de facilité d’utilisation • Elévation de
• Parceque le réseau est plus “lent” et moins
privilèges.
“sur”
• Accès non
• Le maintien de session applicative se fait via autorisé.
• HTTP cookies
• OAuth tokens
• Contournement
des licenses et
• SSO authentication services
des éléments de
• Très mauvaise idée d’utiliser l’ID matériel
paiements
comme identification de session.
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
27
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
53. M6- Prévention
1. Ne pas avoir peur de redemander aux utilisateurs
de se ré-authentifier plus souvent.
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
28
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
54. M6- Prévention
1. Ne pas avoir peur de redemander aux utilisateurs
de se ré-authentifier plus souvent.
2. S’assurer que les ID/token peuvent rapidement
être révoqués en cas de perte.
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
28
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
55. M6- Prévention
1. Ne pas avoir peur de redemander aux utilisateurs
de se ré-authentifier plus souvent.
2. S’assurer que les ID/token peuvent rapidement
être révoqués en cas de perte.
3. Utiliser des outils de gestion des sessions
éprouvés
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
28
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
57. M7- Utilisation de données d’entrée pour
effectuer des décisions sécurité.
• Peut être exploité pour passer Impact
outre les permissions et les
modèles de sécurité. • Utilisation de
ressources
• Globalement similaires sur les
payantes.
différentes plateformes
• Des vecteurs d’attaques • Exfiltration de
importants données
• Applications malveillantes • Elevation de
• Injection client privilèges.
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
30
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
58. M7- Utilisation de données d’entrée pour effectuer
des décisions sécurité.
Exemple : gestion de skype dans l’URL sur
IOS...
• http://software-security.sans.org/blog/2010/11/08/
insecure-handling-url-schemes-apples-ios/
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
31
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
60. M7- Prévention
1. Vérifier les permissions lors de l’utilisation de
données d’entrée.
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
32
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
61. M7- Prévention
1. Vérifier les permissions lors de l’utilisation de
données d’entrée.
2. Demander à l’utilisateur une confirmation
avant l’utilisation de fonctions sensibles.
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
32
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
62. M7- Prévention
1. Vérifier les permissions lors de l’utilisation de
données d’entrée.
2. Demander à l’utilisateur une confirmation
avant l’utilisation de fonctions sensibles.
3. Lorsqu’il n’est pas possible de vérifier les
permissions, s’assurer via une étape
additionnelle du lancement de la fonction
sensible.
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
32
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
64. M8- Perte de données via des canaux
cachés
• Mélange de fonctionnalités de la Impact
plateforme et de failles de programmation.
• Les données sensibles se trouvent un peu
partout. ou l’on ne s’attend pas.... • Perte
• Web caches définitive de
• Logs de clavier... données.
• Screenshots
• Logs (system, crash)
• Violation de la
• Répertoires temporaires.
vie privée.
• Faire attention a ce que font les librairies
tierces avec les données
utilisateurs( publicité, analyse, ...)
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
34
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
65. M8- Perte de données via des canaux
Screenshots cachés
Logging
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
35
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
67. M8- Prévention
1. Ne jamais stocker des authentifiants/passwds ou d’autres
informations sensibles dans les logs.
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
36
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
68. M8- Prévention
1. Ne jamais stocker des authentifiants/passwds ou d’autres
informations sensibles dans les logs.
2. Supprimer les données sensibles avant les screenshots,
utiliser les capacités des caches pour les contenu des
applications Web, ...
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
36
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
69. M8- Prévention
1. Ne jamais stocker des authentifiants/passwds ou d’autres
informations sensibles dans les logs.
2. Supprimer les données sensibles avant les screenshots,
utiliser les capacités des caches pour les contenu des
applications Web, ...
3. Debugger avec attention les applications avant mise en
production pour vérifier les fichiers produits, modifiés, lus, ....
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
36
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
70. M8- Prévention
1. Ne jamais stocker des authentifiants/passwds ou d’autres
informations sensibles dans les logs.
2. Supprimer les données sensibles avant les screenshots,
utiliser les capacités des caches pour les contenu des
applications Web, ...
3. Debugger avec attention les applications avant mise en
production pour vérifier les fichiers produits, modifiés, lus, ....
4. Porter une attention particulière aux librairies tierces.
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
36
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
71. M8- Prévention
1. Ne jamais stocker des authentifiants/passwds ou d’autres
informations sensibles dans les logs.
2. Supprimer les données sensibles avant les screenshots,
utiliser les capacités des caches pour les contenu des
applications Web, ...
3. Debugger avec attention les applications avant mise en
production pour vérifier les fichiers produits, modifiés, lus, ....
4. Porter une attention particulière aux librairies tierces.
5. Tester les applications sur différentes versions de la
plateforme....
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
36
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
73. M9- Chiffrement défectueux
• 2 catégories importantes
Impact
• Implémentations défectueuses via
l’utilisation de librairies de • Perte de
chiffrement.
confidentialité.
• Implementations personnelles de
chiffrement.... • Elevation de
• Bien se rappeler les bases !!! privilèges
• Codage (Base64) != chiffrement
• Contournemen
• Obfuscation != chiffrement t de la logique
• Serialization != chiffrement métier.
• Vous vous appelez Bruce ?
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
38
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
76. M9- Prévention
1. Stocker la clef et les données chiffrées n’est
pas correct.
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
40
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
77. M9- Prévention
1. Stocker la clef et les données chiffrées n’est
pas correct.
2. Il vaut mieux utiliser des librairies connues de
chiffrement que sa propre librairie....
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
40
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
78. M9- Prévention
1. Stocker la clef et les données chiffrées n’est
pas correct.
2. Il vaut mieux utiliser des librairies connues de
chiffrement que sa propre librairie....
3. Utiliser les avantages éventuels de la
plateforme !
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
40
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
79. Dark side ?
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
41
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
80. M10- Perte d’information sensible
• M10(enfoui dans le matériel) est Impact
différent de M1 (stocké)
• Il est assez simple de faire du reverse- • Perte
engineer sur des applications mobiles...
d’authentifiants
• L’obfuscation de code ne supprime pas
le risque. • Exposition de
propriété
• Quelques informations classiques
trouvées : intellectuelle ?
• clefs d’API
• Passwords
• Logique métier sensible.
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
42
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
83. M10- Prévention
1. Les clefs d’API privées portent bien leur nom.
Il ne faut pas les stocker sur le client.
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
44
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
84. M10- Prévention
1. Les clefs d’API privées portent bien leur nom.
Il ne faut pas les stocker sur le client.
2. Si il existe une logique métier propriétaire, il
convient de la faire executée par le serveur !
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
44
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
85. M10- Prévention
1. Les clefs d’API privées portent bien leur nom.
Il ne faut pas les stocker sur le client.
2. Si il existe une logique métier propriétaire, il
convient de la faire executée par le serveur !
3. Il n’y a jamais ou presque de réelle raison de
stocker des mots de passes en dur (si vous le
pensez, vous avez d’autres problèmes à
venir...)
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
44
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
88. Conclusion
• La sécurité mobile en est au début.
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
46
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
89. Conclusion
• La sécurité mobile en est au début.
• Nous venons d’identifier quelques problèmes,
il est nécessaire de les corriger !
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
46
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
90. Conclusion
• La sécurité mobile en est au début.
• Nous venons d’identifier quelques problèmes,
il est nécessaire de les corriger !
• Les plateformes deviennent plus matures, les
applications le doivent aussi...
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
46
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
91. Conclusion
• La sécurité mobile en est au début.
• Nous venons d’identifier quelques problèmes,
il est nécessaire de les corriger !
• Les plateformes deviennent plus matures, les
applications le doivent aussi...
• Ne pas oublier que la sécurité mobile
comporte une partie application
serveur !
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
46
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
92. Remerciements
OWASP Mobile Project Leaders
Jack Mannino jack@nvisiumsecurity.com
• http://twitter.com/jack_mannino
Zach Lanier zach.lanier@intrepidusgroup.com
• http://twitter.com/quine
Mike Zusman mike.zusman@carvesystems.com
• http://twitter.com/schmoilito
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
47
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
93. Liens
•OWASP Mobile Project :
https://www.owasp.org/index.php/
OWASP_Mobile_Security_Project
•HTML5 Sécurité :
http://www.slideshare.net/Eagle42/2011-0207html5securityv1
•OWASP Top10
https://www.owasp.org/index.php/
Category:OWASP_Top_Ten_Project
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
48
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
94. Vous pouvez donc vous
protéger de lui maintenant...
@SPoint
sebastien.gioria@owasp.org
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
49
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12
95. Vous pouvez donc vous
protéger de lui maintenant...
@SPoint
sebastien.gioria@owasp.org
Il n'y a qu'une façon d'échouer, c'est d'abandonner avant
d'avoir réussi [Olivier Lockert]
Applica'on*Security*Forum*3*2012*
Western'Switzerland'
'
708'novembre'2012'0'Y0Parc'/'Yverdon0les0Bains'
49
h?ps://www.appsec0forum.ch'
Saturday, November 10, 12