SlideShare uma empresa Scribd logo

Un peu de sécurité dans ce monde de Kiwi

Transferir como PPTX, PDF
Laurie-Anne Bourdain
Laurie-Anne Bourdain

Présentation donnée pendant la Kiwi Party 2014 Rapide introduction des menaces pour les sites web.

Apresentações e oratória
1 de 20
UN PEU DE SÉCURITÉ DANS CE MONDE DE KIWI Laurie-Anne Bourdain Kiwi Party 2014 1
LA SÉCURITÉ RÉPONDS AUX RISQUES Confidentialité Intégrité Disponi- bilité 2
QU’EST-CE QUE JE VOUS SERT? Gestion de Risque • Analyse • Réponse • Évaluation On the Web again • Les Menaces de l’Internet • Comment les Mitiger • Quelques bonnes pratiques Questions 3
LES BASES DE LA GESTION DE RISQUES 4
UN CYCLE SANS FIN Gestion de Risque Analyse RéponseÉvaluation 5
S.T.R.I.D.E. (PROGRÈS) • Se faire passer pour quelqu’un ou quelque chose que l’on n’est pas. • Peut être utilisé pour modifier des données, un DoS… Spoofing • Modifier quelque chose sans en avoir le droit. • Le « defacing » en est l’exemple le plus visible.Tampering • Rejet de Responsabilité. • Affirmer ne pas avoir fait quelque chose (vrai ou pas). • Sert généralement à camoufler un « spoofing » ou « tampering ». Repudiation • Accéder à et publier des informations (généralement sensibles ou confidentielles). • Le cas Snowden est un bon exemple. Information Disclosure • Attaque qui a pour but d’empêcher les utilisateurs légitimes d’utiliser un service. • En le crashant, le ralentissant ou en saturant sa mémoire. Denial of Service • (Se) donner plus d’accès à un système. • Peut permettre un « tampering » ou « information disclosure » Elevation of Privilege 6
IDENTIFIER SES RISQUES Tous les sites ne sont pas exposés aux mêmes risques, mais il y a de grandes tendances (voir OWASP Top 10). Les questions à se poser:  Qu’est-ce qui peut valoir le coup d’attaquer mon site?  Quelle est ma visibilité?  Est-ce que des concurrents (ou moi-même) ont subit des attaques?  Quelles sont mes périodes critiques (fin de mois/d’année, release d’un super produit, grande annonce…)? Ne pas négliger ce qui semble improbable. 7
LA RÉPONSE… N’EST PAS 42 Mitiger Eliminer Transférer Accepter Risque 8
NE PAS TROP EN FAIRE 0 10 20 30 40 50 60 0 20 40 60 80 100 Coût des risques Coût des mesures de mitigation de risques Équilibre 9
ÉVALUER LES RISQUES Pour évaluer les risques on utiliser généralement la formule suivante: PPA = PPI * FA Ou: PPA : Prévision de Perte Annuelle PPI : Prévision de Perte Isolée FA : Fréquence Annuelle 10
ÉVALUER LES RISQUES Impact Faible Moyen Grave Catastrophique Probabilité Élevé Moyenne Faible Très faible 11
ON THE WEB AGAIN 12
OWASP TOP 10 OWASP Top 10 2013 A1 Injection A2 Broken Authentication & Session Management A3 Cross-Site Scripting (XSS) A4 Insecure Direct Object References A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Missing Function Level Access Control A8 Cross-Site Request Forgery (CSRF) A9 Using Unknown Vulnerable Components A10 Unvalidated Redirects and Forwards 13 Plus d’info: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
LES UTILISATEURS  Identification, authentification et autorisation: Identifier: demander qui est l’utilisateur Authentifier: vérifier qui est l’utilisateur Autoriser: donner des accès à l’utilisateur L’authentification et les autorisations de l’utilisateur doivent être vérifiée pour chacune de ses actions. Les autorisations doivent être données selon les principes du « least privilege » et du « Need-to-Know »  Non-repudiation: Être capable d’identifier l’auteur des problèmes. Toutes les actions utilisateurs doivent être loguées. Ces logs doivent être protégés en écriture. 14
LES UTILISATEURS, BIS  Injections SQL: Vérifier le type de données si possible; Échapper les caractères spéciaux (mysqli_real_escape_string()); Utiliser des requêtes pré-formatées:  $stmt = $dbh->prepare("SELECT * FROM users WHERE USERNAME = ? AND PASSWORD = ?"); $stmt- >execute(array($username, $password));  La requête pré-formatée n’accepte que les données attendues et est plus rapide (quand il y a plusieurs requêtes identiques à exécuter). 15
LE DÉVELOPPEUR  Porte Dérobées (Backdoor) / Porte de Debug Porte Dérobée = Pas Bien Porte de Debug = Pas Bien en Production Les portes dérobées sont des moyens d’entrée non documentés, sans mot de passe et/ou contournant les mesures de sécurité d’une application. Les portes de debug sont la même chose, mais leur but est d’offrir, lors du développement, des accès facile pour tester les fonctionnalités d’une application. Elles doivent toujours être supprimées avant de déployer en production. L’utilisateur « admin » (mdp = admin) est une backdoor. 16
LE DÉVELOPPEUR, BIS  Version et Documentation Versionner son code permet de repartir sur une base saine lors de développements futurs. Éviter les développement à La RACHE©®™  Patcher Toujours utiliser les dernières versions de Biblio, API… Patchez également vos softwares et serveurs.  Testez, Testez, Testez ! 17
L’HÉBERGEMENT  Backup Vérifiez quelle est la politique de backup de votre hébergeur. Comparez la à vos besoins. Si nécessaire, faites les backups vous-même  Politique de destruction du matériel Savez-vous ce qu’il advient des disques qui ont hébergé vos données lorsqu’ils sont en fin de vie?  DoS Dans la plupart des cas, les attaques DoS seront gérées par votre hébergeur et son ISP.  Continuité Si la continuité est critique pour votre activité, prévoyez un plan de secours (autre hébergeur). 18
LES AUTRES  Il existe des attaques contre lesquelles, on ne peux rien faire. Sauf éduquer les utilisateurs et signaler les attaques en cours. Phishing Dangling Pointer (Lien moisi) 19
QUESTIONS ? 20

Recomendados

La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
 
Guide de securite php
Guide de securite phpGuide de securite php
Guide de securite phpbelfkih
 
20100114 Waf V0.7
20100114 Waf V0.720100114 Waf V0.7
20100114 Waf V0.7Sébastien GIORIA
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 

Recomendados

La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
 
Guide de securite php
Guide de securite phpGuide de securite php
Guide de securite phpbelfkih
 
20100114 Waf V0.7
20100114 Waf V0.720100114 Waf V0.7
20100114 Waf V0.7Sébastien GIORIA
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013Sébastien GIORIA
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 ProactiveAbdessamad TEMMAR
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
Pourquoi les antivirus ne sont pas vos amis
Pourquoi les antivirus ne sont pas vos amisPourquoi les antivirus ne sont pas vos amis
Pourquoi les antivirus ne sont pas vos amisPrénom Nom de famille
 
Geek handbook
Geek handbookGeek handbook
Geek handbookSamuel Beaurepaire
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la SécuritéSébastien GIORIA
 
Maitriser le code PHP
Maitriser le code PHPMaitriser le code PHP
Maitriser le code PHPDamien Seguy
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeursHarvey Francois
 
Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018African Cyber Security Summit
 
Avast 10 points clés de la sécurité informatique des pme
Avast 10 points clés de la sécurité informatique des pmeAvast 10 points clés de la sécurité informatique des pme
Avast 10 points clés de la sécurité informatique des pmeAntivirusAvast
 
Sand Blast Agent Anti Ransomware Presentation
Sand Blast Agent Anti Ransomware PresentationSand Blast Agent Anti Ransomware Presentation
Sand Blast Agent Anti Ransomware PresentationAGILLY
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirusNRC
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesSkilld
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
Conseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenacesConseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenacesOpen Source Experience
 

Mais conteúdo relacionado

Mais procurados

OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013Sébastien GIORIA
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
Pourquoi les antivirus ne sont pas vos amis
Pourquoi les antivirus ne sont pas vos amisPourquoi les antivirus ne sont pas vos amis
Pourquoi les antivirus ne sont pas vos amisPrénom Nom de famille
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
Maitriser le code PHP
Maitriser le code PHPMaitriser le code PHP
Maitriser le code PHPDamien Seguy
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPyaboukir
 

Mais procurados (11)

OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
Pourquoi les antivirus ne sont pas vos amis
Pourquoi les antivirus ne sont pas vos amisPourquoi les antivirus ne sont pas vos amis
Pourquoi les antivirus ne sont pas vos amis
 
Geek handbook
Geek handbookGeek handbook
Geek handbook
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
 
Maitriser le code PHP
Maitriser le code PHPMaitriser le code PHP
Maitriser le code PHP
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
 

Semelhante a Un peu de sécurité dans ce monde de Kiwi

2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeursHarvey Francois
 
Avast 10 points clés de la sécurité informatique des pme
Avast 10 points clés de la sécurité informatique des pmeAvast 10 points clés de la sécurité informatique des pme
Avast 10 points clés de la sécurité informatique des pmeAntivirusAvast
 
Sand Blast Agent Anti Ransomware Presentation
Sand Blast Agent Anti Ransomware PresentationSand Blast Agent Anti Ransomware Presentation
Sand Blast Agent Anti Ransomware PresentationAGILLY
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirusNRC
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesSkilld
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
Conseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenacesConseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenacesOpen Source Experience
 
Petit-déjeuner "Cultiver l'art du code de qualité... Afin de livrer plus vite...
Petit-déjeuner "Cultiver l'art du code de qualité... Afin de livrer plus vite...Petit-déjeuner "Cultiver l'art du code de qualité... Afin de livrer plus vite...
Petit-déjeuner "Cultiver l'art du code de qualité... Afin de livrer plus vite...OCTO Technology
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIPECB
 
ABTest : un outil indispensable pour être « data-driven » ? par Laurent VION
ABTest : un outil indispensable pour être « data-driven » ? par Laurent VIONABTest : un outil indispensable pour être « data-driven » ? par Laurent VION
ABTest : un outil indispensable pour être « data-driven » ? par Laurent VIONLa Cuisine du Web
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...ASIP Santé
 
Conférence: L'assurance qualité au-delà de la qualité logicielle
Conférence: L'assurance qualité au-delà de la qualité logicielleConférence: L'assurance qualité au-delà de la qualité logicielle
Conférence: L'assurance qualité au-delà de la qualité logiciellegeosaa
 

Semelhante a Un peu de sécurité dans ce monde de Kiwi (20)

2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeurs
 
Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018
 
Avast 10 points clés de la sécurité informatique des pme
Avast 10 points clés de la sécurité informatique des pmeAvast 10 points clés de la sécurité informatique des pme
Avast 10 points clés de la sécurité informatique des pme
 
Sand Blast Agent Anti Ransomware Presentation
Sand Blast Agent Anti Ransomware PresentationSand Blast Agent Anti Ransomware Presentation
Sand Blast Agent Anti Ransomware Presentation
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
Conseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenacesConseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenaces
 
Petit-déjeuner "Cultiver l'art du code de qualité... Afin de livrer plus vite...
Petit-déjeuner "Cultiver l'art du code de qualité... Afin de livrer plus vite...Petit-déjeuner "Cultiver l'art du code de qualité... Afin de livrer plus vite...
Petit-déjeuner "Cultiver l'art du code de qualité... Afin de livrer plus vite...
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SI
 
ABTest : un outil indispensable pour être « data-driven » ? par Laurent VION
ABTest : un outil indispensable pour être « data-driven » ? par Laurent VIONABTest : un outil indispensable pour être « data-driven » ? par Laurent VION
ABTest : un outil indispensable pour être « data-driven » ? par Laurent VION
 
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
 
Conférence: L'assurance qualité au-delà de la qualité logicielle
Conférence: L'assurance qualité au-delà de la qualité logicielleConférence: L'assurance qualité au-delà de la qualité logicielle
Conférence: L'assurance qualité au-delà de la qualité logicielle
 

Un peu de sécurité dans ce monde de Kiwi

  • 1. UN PEU DE SÉCURITÉ DANS CE MONDE DE KIWI Laurie-Anne Bourdain Kiwi Party 2014 1
  • 2. LA SÉCURITÉ RÉPONDS AUX RISQUES Confidentialité Intégrité Disponi- bilité 2
  • 3. QU’EST-CE QUE JE VOUS SERT? Gestion de Risque • Analyse • Réponse • Évaluation On the Web again • Les Menaces de l’Internet • Comment les Mitiger • Quelques bonnes pratiques Questions 3
  • 4. LES BASES DE LA GESTION DE RISQUES 4
  • 5. UN CYCLE SANS FIN Gestion de Risque Analyse RéponseÉvaluation 5
  • 6. S.T.R.I.D.E. (PROGRÈS) • Se faire passer pour quelqu’un ou quelque chose que l’on n’est pas. • Peut être utilisé pour modifier des données, un DoS… Spoofing • Modifier quelque chose sans en avoir le droit. • Le « defacing » en est l’exemple le plus visible.Tampering • Rejet de Responsabilité. • Affirmer ne pas avoir fait quelque chose (vrai ou pas). • Sert généralement à camoufler un « spoofing » ou « tampering ». Repudiation • Accéder à et publier des informations (généralement sensibles ou confidentielles). • Le cas Snowden est un bon exemple. Information Disclosure • Attaque qui a pour but d’empêcher les utilisateurs légitimes d’utiliser un service. • En le crashant, le ralentissant ou en saturant sa mémoire. Denial of Service • (Se) donner plus d’accès à un système. • Peut permettre un « tampering » ou « information disclosure » Elevation of Privilege 6
  • 7. IDENTIFIER SES RISQUES Tous les sites ne sont pas exposés aux mêmes risques, mais il y a de grandes tendances (voir OWASP Top 10). Les questions à se poser:  Qu’est-ce qui peut valoir le coup d’attaquer mon site?  Quelle est ma visibilité?  Est-ce que des concurrents (ou moi-même) ont subit des attaques?  Quelles sont mes périodes critiques (fin de mois/d’année, release d’un super produit, grande annonce…)? Ne pas négliger ce qui semble improbable. 7
  • 8. LA RÉPONSE… N’EST PAS 42 Mitiger Eliminer Transférer Accepter Risque 8
  • 9. NE PAS TROP EN FAIRE 0 10 20 30 40 50 60 0 20 40 60 80 100 Coût des risques Coût des mesures de mitigation de risques Équilibre 9
  • 10. ÉVALUER LES RISQUES Pour évaluer les risques on utiliser généralement la formule suivante: PPA = PPI * FA Ou: PPA : Prévision de Perte Annuelle PPI : Prévision de Perte Isolée FA : Fréquence Annuelle 10
  • 11. ÉVALUER LES RISQUES Impact Faible Moyen Grave Catastrophique Probabilité Élevé Moyenne Faible Très faible 11
  • 12. ON THE WEB AGAIN 12
  • 13. OWASP TOP 10 OWASP Top 10 2013 A1 Injection A2 Broken Authentication & Session Management A3 Cross-Site Scripting (XSS) A4 Insecure Direct Object References A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Missing Function Level Access Control A8 Cross-Site Request Forgery (CSRF) A9 Using Unknown Vulnerable Components A10 Unvalidated Redirects and Forwards 13 Plus d’info: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
  • 14. LES UTILISATEURS  Identification, authentification et autorisation: Identifier: demander qui est l’utilisateur Authentifier: vérifier qui est l’utilisateur Autoriser: donner des accès à l’utilisateur L’authentification et les autorisations de l’utilisateur doivent être vérifiée pour chacune de ses actions. Les autorisations doivent être données selon les principes du « least privilege » et du « Need-to-Know »  Non-repudiation: Être capable d’identifier l’auteur des problèmes. Toutes les actions utilisateurs doivent être loguées. Ces logs doivent être protégés en écriture. 14
  • 15. LES UTILISATEURS, BIS  Injections SQL: Vérifier le type de données si possible; Échapper les caractères spéciaux (mysqli_real_escape_string()); Utiliser des requêtes pré-formatées:  $stmt = $dbh->prepare("SELECT * FROM users WHERE USERNAME = ? AND PASSWORD = ?"); $stmt- >execute(array($username, $password));  La requête pré-formatée n’accepte que les données attendues et est plus rapide (quand il y a plusieurs requêtes identiques à exécuter). 15
  • 16. LE DÉVELOPPEUR  Porte Dérobées (Backdoor) / Porte de Debug Porte Dérobée = Pas Bien Porte de Debug = Pas Bien en Production Les portes dérobées sont des moyens d’entrée non documentés, sans mot de passe et/ou contournant les mesures de sécurité d’une application. Les portes de debug sont la même chose, mais leur but est d’offrir, lors du développement, des accès facile pour tester les fonctionnalités d’une application. Elles doivent toujours être supprimées avant de déployer en production. L’utilisateur « admin » (mdp = admin) est une backdoor. 16
  • 17. LE DÉVELOPPEUR, BIS  Version et Documentation Versionner son code permet de repartir sur une base saine lors de développements futurs. Éviter les développement à La RACHE©®™  Patcher Toujours utiliser les dernières versions de Biblio, API… Patchez également vos softwares et serveurs.  Testez, Testez, Testez ! 17
  • 18. L’HÉBERGEMENT  Backup Vérifiez quelle est la politique de backup de votre hébergeur. Comparez la à vos besoins. Si nécessaire, faites les backups vous-même  Politique de destruction du matériel Savez-vous ce qu’il advient des disques qui ont hébergé vos données lorsqu’ils sont en fin de vie?  DoS Dans la plupart des cas, les attaques DoS seront gérées par votre hébergeur et son ISP.  Continuité Si la continuité est critique pour votre activité, prévoyez un plan de secours (autre hébergeur). 18
  • 19. LES AUTRES  Il existe des attaques contre lesquelles, on ne peux rien faire. Sauf éduquer les utilisateurs et signaler les attaques en cours. Phishing Dangling Pointer (Lien moisi) 19