Securite Des Applications WEB Contexte 1

http://prox-ia.blogspot.
com
Scurit des applications WEB

Philippe BITON pbiton@prox-ia.com Fvrier 2012
http://prox-ia.blogspot.com
Objectifs

prsenter la problmatique globale de la scurit applicative proposer des dfinitions et homogniser le vocabulaire du domaine. brosser le panorama des principales vulnrabilits prsenter des approches mthodologiques identifier les bonnes pratiques en conception analyser les solutions en environnement applicatif mettre en avant la complmentarit de la scurit dans une chane applicative aborder les tendances en termes dusage et de technologie.
Aspects logistiques
une session de prsentation... une session dchange nhsitez pas poser des questions!
les horaires : 9h30 - 12h00 et 13h30 - 16h30 une pause en milieu dintervention, le matin et laprs-midi
pour me joindre : pbiton@prox-ia.com merci de bien vouloir mettre vos portables en mode vibreur
Faisons connaissance
Philippe BITON (pbiton@prox-ia.com) Environ 20 ans dans lingnierie logicielle

10 ans de dveloppement logiciel en socit de services 10 ans Gemalto (anciennement Gemplus)

Dans larchitecture logicielle des serveurs Dans le dveloppement dapplications Web Dans lintgration des serveurs dans les environnements des clients
dans le domaine de la scurit (CISSP 2010).
Sommaire
Contexte de la scurit applicative Vocabulaire et rfrences techniques Typologie des vulnrabilits applicatives Rponses matrielles Rponses mthodologiques Choix dauthentification Conclusion
I - Contexte de la scurit applicative

Tentative de dfinition de la scurit applicative Chiffres (historique et volution) Etat des lieux
Tentative de dfinition de la scurit informatique
Tenter de scuriser un systme d'information revient essayer de se protger contre les risques lis l'informatique pouvant avoir un impact sur la scurit de celui-ci, ou des informations qu'il traite.
Source: Wikipedia http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_du_syst%C3%A8me_d%27information
Chiffres: 2010
Source: Symantec Global Internet Threat Report Trends for 2010 - Vol 16, Published April 2011 http://msisac.cisecurity.org/resources/reports/documents/SymantecInternetSecurityThreatReport2010.pdf
Chiffres: 2010
Chiffres: 2010
Tendances: vols didentits
Tendances : URLs courtes
Tendances : URLs courtes
Tendances : les botes outils
Source: Symantec Report on Attack Kits and Malicious Websites - Published January 2011 http://www.symantec.com/content/en/us/enterprise/other_resources/bsymantec_report_on_attack_kits_and_malicious_websites_21169171_WP.en-us.pdf
Tendances : les botes outils
Tendances : les attaques web
Source: Symantec Intelligence Quarterly - April-June 2011 http://www.symantec.com/content/en/us/enterprise/white_papers/bsymc_intelligence_qtrly_apr_to_jun_WP.en-us.pdf
Source: Symantec Intelligence Quarterly - April-June 2011 http://www.symantec.com/content/en/us/enterprise/white_papers/bsymc_intelligence_qtrly_apr_to_jun_WP.en-us.pdf
Tendances : les mcanismes de propagation
Tendances : les smartphones
Cycle de vie des vulnrabilits (black hat)

1.
2.
3.
4.
Dcouverte dune faille: un hacker dcouvre une faille de scurit Publication de lexploit: le risque augmente trs fortement avec la publication; les scripts kiddies entrent en action Correctif de lditeur: lditeur publie un correctif; la faille est dsormais connue de tous Application du correctif: lentreprise ragit et met jour lapplication vulnrable
Objectif: 0 day
Source: eEye Digital Security - http://research.eeye.com/html/alerts/zeroday/index.html
Cycle de vie des vulnrabilits (white hat)

Dcouverte dune faille: une socit spcialise ou lditeur dcouvre une faille de scurit Publication dun correctif: les hackers analysent le correctif par reverse engineering Publication dun exploit: les scripts kiddies entrent en action Application du correctif: lentreprise doit ragir rapidement et mettre jour lapplication vulnrable
1.
2.
3.
4.
Lactualit du Cyber-crime
23 janvier 2011: Le compte Facebook de Nicolas Sarkozy est hack indiquant que le prsident ne se reprsentera pas en 2012
Source: NakedSecurity - http://nakedsecurity.sophos.com/
28 janvier 2011: le FBI met 40 mandats de perquisition pour les participants une attaque DDOS contre les ennemis de Wikileaks
26 janvier 2011: des hackeurs lancent des attaques DDOS contre les sites web officiels dEgypte
20 janvier 2011: les joueurs de World of Warcraft victimes du phishing
5 janvier 2011: le Scottish Court Service reconnait ne pas avoir pris les mesures ncessaires pour que des documents contenant des donnes confidentielles ne se retrouvent dans une centre de recyclage de Glasgow
Demo I
USB Dumper
USB Autorun PDF malicieux
Cyber-crime trend: user resistance to web security
Companies filter URLs, blocking access to particular sites for policy reasons. Office workers use anonymizing proxies in order to bypass company policies and perimeter defenses. This can obviously have an impact on security. Anonymizing proxies can themselves be infected with multiple pieces of malware.
Source: Microsoft, The Rational Rejection of Security Advice by Users http://research.microsoft.com/en-us/um/people/cormac/papers/2009/SoLongAndNoThanks.pdf Source: Sophos Security Threat Report July 2009 http://www.sophos.com/security/sophoslabs/anonymizing-proxies.html
Estonie
Cyber-crime sponsoris par les tats

August 2008. As tensions rose over South Ossetia, Russian and Georgian hackers launched attacks. Examples include a distributed denial of service attack against the website of the South Ossetian government and the defacement of the Georgian Ministry of Foreign Affairs website with a collage of pictures of Georgian president Mikheil Saakashvili and Adolf Hitler.
Source: MISC n 40 Nov/Dec 2008 - http://www.miscmag.com Source: Sophos Security Threat Report 2011- http://www.sophos.com
Stuxnet
Cyber-scurit: les organisations
Juillet 2009, la France se dote dune vraie agence gouvernementale de cyber-scurit. L'Agence nationale de la scurit des systmes d'information (ANSSI) a vocation protger les rseaux gouvernementaux et sensibiliser tous les publics aux menaces de l'Internet. La France prend dsormais les menaces informatiques trs au srieux
Source: ITespresso - http://www.itespresso.fr/la-france-se-dote-dune-vraie-agencegouvernementale-de-cyber-securite-30404.html
Wanted: vulnerability!
On August 19th, 2008 iDefense Labs launched the new interactive VCP Contributor Portal. This portal allows our contributors to submit their vulnerabilities and then track the progress as we evaluate and process them, simplifying the overall process and allowing faster response. Please visit the VCP Portal at: https://labs.idefense.com/vcp/portal.
iDefense is a Verisign company

Source: iDefense - http://www.idefense.com
MICE
Les lments de scurit

Rappel: 60% des attaques sont applicatives
Poste client Couches transports Filtrage Cloisonnement Environnement de production Couche applicative
Laptop
Antivirus Anti-spyware
Chiffrement
Contrle daccs
IPS IDS SSO
Scurit applicative
Les 1O lois immuables sur la scurit

Law #1: If a bad guy can persuade you to run his program on your computer, it's not your computer anymore
Law #2: If a bad guy can alter the operating system on your computer, it's not your computer anymore
Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore
Law #4: If you allow a bad guy to upload programs to your website, it's not your website any more Law #5: Weak passwords trump strong security Law #6: A computer is only as secure as the administrator is trustworthy Law #7: Encrypted data is only as secure as the decryption key Law #8: An out of date virus scanner is only marginally better than no virus scanner at all Law #9: Absolute anonymity isn't practical, in real life or on the Web Law #10: Technology is not a panacea
Source: Microsoft - http://technet.microsoft.com/en-us/library/cc722487.aspx
Une application WEB cest

Une relation entre un client et un serveur, mis en relation par linfrastructure dacheminement TCP/IP de linternet, et dialoguant au travers dun protocole applicatif de requtage HTTP sur un port applicatif
Laptop
Poste client
HTTP 80
Serveur HTTP Apache IIS
Extensions applicatives Extension HTTP

ISAPI
Sources de donnes MySQL Firebird Oracle MSSQL
Server-Side Scripting: ASP

JSP
Serveur dapplications:
Java EE .NET
Les applications distribues sur le web sont incontournables
Les axes de scurisation dune application Web

Scurit du dveloppement Scurit de larchitecture
Laptop
Client
Internet
Architecture technique applicative
Scurit des OS Scurit du rseau
Scurit de lorganisation
Source: Philippe ENSARGUET - Silicomp
Constat sur la scurit
Depuis plus de 10 ans, on trouve de nombreuses nouvelles technologies dimplmentation

ce jour, aucune technologie ne sest montre invulnrable ! On observe une exploitation grandissante de failles, de vulnrabilits portant une atteinte lintgrit, la confidentialit, limputabilit et laccs aux donnes utilisateurs.
Des applications monolithiques vers les applications distribues

1
Application monolithique
Application composants Client lourd
Application dentreprise Client lger
Mainframe
Serveurs de Serveurs Client lourd composants de bases applicatifs de donnes
Client lger Serveurs HTTP
Serveurs applicatifs
Serveurs de bases de donnes
Application client/serveur
Application WEB Client lger
Application dentreprise Client riche
Client lourd
Client lger Serveurs HTTP
Client riche
Serveurs HTTP
Serveurs applicatifs
Dfinitions
Identification: Procdure dont le but est de reconnatre un utilisateur afin de lui accorder les droits correspondant son profil.
Authentification: Procdure dont le but est de vrifier de l'identit d'une personne pour contrler l'accs un systme d'information ou un logiciel.
Contrle daccs: Procdure dont le but est de limiter laccs des ressources (matrielles ou logicielles) protges
Habilitation: Procdure dont le but est de limiter lexcution ou lutilisation de ressources (fonctionnelles ou donnes) protges
Imputabilit: Procdure, qui part du principe que tout utilisateur du systme doit tre identifi, dans le but de tracer les violations ou accs lgitimes dans un contexte de responsabilit.
De plus en plus dexigences en scurit

Identification Authentification Identification Authentification Contrle daccs Habilitations
Identification Authentification Contrle daccs
Gestion didentit Identification Authentification Contrle daccs
SSO
Deux tendances fortes
Ne plus grer les utilisateurs dans les applications Identit / profil / rle Dpendance trop forte / ractivit et prennit des donnes Se prparer ne plus grer [totalement] des oprations de scurit Identification + authentification Contrle daccs
Access Controls
Un peu de vocabulaire
Scurit des systmes dinformation ?
Identifier les menaces qui psent sur les biens sensibles dun systme dinformation, Trouver et mettre en place des parades permettant de les contrer, Evaluer la qualit et lefficacit de ces parades (concept de scurit proactive)
Bien sensible ?
Information ou ressource protger par les contre-mesures techniques et/ou non techniques d'un systme.
Un peu de vocabulaire Vulnrabilit?

"Faiblesse de la scurit d'un systme qui l'empche de remplir un ou plusieurs de ses objectifs de scurit" (Source: ITSEC). "Toute faiblesse qui pourrait tre exploite pour violer un systme ou les informations qu'il contient (Source: ISO7498-2). Une vulnrabilit est une caractristique intrinsque dun systme dInformation. Elle peut tre due : Un dfaut de conception Une faiblesse d'implmentation dun des composants Un dfaut dexploitation (configuration, administration, utilisation)
Un peu de vocabulaire Menace ?

"Action ou vnement susceptible de porter prjudice la scurit
(Source: ITSEC).
"Violation potentielle de la scurit" (Source: ISO 7498-2). La ralisation effective d'une menace exploite une vulnrabilit
Attaque ?
Tentative relle de porter atteinte la confidentialit, l'intgrit, la disponibilit d'un systme. Concrtisation d'une menace intentionnelle exploitant une vulnrabilit.
Intrusion ?
Prise de contrle partielle ou totale d'un systme distant.
Vulnrabilit 1 Menace 1 Vulnrabilit 3
En rsum
Menace 2
Vulnrabilit 2
Ne pas confondre attaque et vulnrabilit !
Smantiquement, tre vulnrable se dfinit par le fait d'tre sensible vis-vis de quelque chose ou quelqu'un. Une attaque matrialise une vulnrabilit. Les vulnrabilits ne mettent pas mal le systme d'information, seules les attaques ont des impacts rels.
CIA
Un peu de vocabulaire
Objectifs de scurit ?
Exigences qui se dfinissent par rapport aux biens que l'on souhaite protger et en fonction des menaces qui leur sont applicables. Ils s'expriment en terme de :
Confidentialit Intgrit Disponibilit Authenticit
Prvention contre laccs ou la divulgation de linformation un utilisateur, une entit ou un processus non autoris

Prvention contre une altration ou une destruction non autorise de linformation

Prvention contre lutilisation illgale des ressources & services offerts par le systme Assurance de lidentit non rvocable de l'metteur d'un message (authentification de l'origine des donnes) et contrle de la non altration des donnes pendant le transfert (intgrit) Imputabilit,
et quelques principes dingnierie dinfrastructure

Le cloisonnement rseau
Cest un moyen qui permet de sectoriser physiquement ou logiquement une infrastructure technique. Il constitue une des principales mesures de scurit active. Le cloisonnement rseau est gnralement accompagn de mesures de filtrage sur les flux.
Vision duale : cloisonnement intra domaine et inter domaine lments de cloisonnement rseau: Firewall, VPN, Routeur filtrant, VLAN
et quelques principes dingnierie applicative

Le cloisonnement applicatif Cest une mesure qui permet disoler un processus applicatif de tout accs direct. Afin de satisfaire ce besoin disolement, on y associe la notion de processus mandataire ainsi que le principe de rupture (protocole ou protocolaire). Le cloisonnement applicatif peut saccompagner de : mcanismes de filtrage et denrichissement des flux. mcanismes dauthentification et de contrle daccs. mcanismes de contrle de la validit des donnes .
Objectif: Assurer une rupture de la continuit du protocole dans le strict but disoler une fonction critique de tout accs externe direct.
et en rsum
Cloisonnement rseau (firewall):
Il nautorise que les flux rseaux strictement ncessaires Cloisonnement applicatif (reverse proxy): Il interdit tout accs direct aux services sensibles en utilisant un service mandataire et matrise le contenu des flux autoriss.
La scurit base sur les rles

Le modle RBAC (Role Based Access Control)
Cest lune des familles de modles qui simpose comme rfrence pour la modlisation des droits dans lentreprise Dcouplage entre les droits et les utilisateurs du systme Affectation des droits des fonctions / rles dans lentreprise et non plus directement des personnes. RBAC repose sur les notions essentielles de : Utilisateur: une personne ou un agent automatis Rle : activit ou mtier qui dfinit un niveau dautorit Permission : approbation dun mode daccs une ressource
Typologies des attaques

Niveau 8
Les attaques sur lutilisateur Spam Phishing (hameonnage) Social Engineering
Niveaux 5,6,7
Les attaques applicatives Attaquer les systmes dexploitation, Attaquer les applications (serveurs Web, messagerie, base de donnes,)
Les attaques protocolaires Exploiter les failles IP, ICMP, TCP, UDP, DNS,
Niveaux 3,4 Niveaux 1,2
Les attaques physiques Attaquer les failles des rseaux LAN (Ethernet, Wifi,)
Evolution des attaques: le constat

1. 2. 3. 4. 5. Les machines des utilisateurs internes sont : moins protges et offrent plus de fonctionnalits connectes / autorises sur le rseau interne accdent Internet Les applications mtiers propritaires sont: non prouves peu audites Les applications donnent un lien direct aux donnes mtiers Les flux HTTP sont plus ou moins surveills Les applications prsentent de nombreuses vulnrabilits et un long dlai de mise en place des patchs
Evolution des attaques

Depuis quelques annes... On observe une meilleure prise en compte des recommandations sur la scurit primtrique firewall, cloisonnement, passerelles (reverse proxy) serveurs configurs et minimiss vulnrabilits corriges et OS stables (appliances) Attaques plus difficiles mettre en oeuvre au niveau de linfrastructure
Monte dans les couches du modle OSI

Demo II
Accs au mail dune personne en utilisant le social engineering
Source: Irongeek - http://irongeek-sarah-pallin

Securite Des Applications WEB Contexte 1

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Securite Des Applications WEB Contexte 1

Transféré par

Droits d'auteur :

Formats disponibles

http://prox-ia.blogspot.

Scurit des applications WEB

Philippe BITON (pbiton@prox-ia.com) Environ 20 ans dans lingnierie logicielle

dans le domaine de la scurit (CISSP 2010).

I - Contexte de la scurit applicative

Tentative de dfinition de la scurit informatique

Source: Wikipedia http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_du_syst%C3%A8me_d%27information

Tendances: vols didentits

Tendances : URLs courtes

Tendances : URLs courtes

Tendances : les botes outils

Tendances : les botes outils

Tendances : les attaques web

Tendances : les attaques web

Source: Symantec Intelligence Quarterly - April-June 2011 http://www.symantec.com/content/en/us/enterprise/white_papers/bsymc_intelligence_qtrly_apr_to_jun_WP.en-us.pdf

Tendances : les attaques web

Source: Symantec Intelligence Quarterly - April-June 2011 http://www.symantec.com/content/en/us/enterprise/white_papers/bsymc_intelligence_qtrly_apr_to_jun_WP.en-us.pdf

Tendances : les mcanismes de propagation

Tendances : les smartphones

Cycle de vie des vulnrabilits (black hat)

Cycle de vie des vulnrabilits (white hat)

Source: NakedSecurity - http://nakedsecurity.sophos.com/

Source: NakedSecurity - http://nakedsecurity.sophos.com/

Source: NakedSecurity - http://nakedsecurity.sophos.com/

20 janvier 2011: les joueurs de World of Warcraft victimes du phishing

Source: NakedSecurity - http://nakedsecurity.sophos.com/

Source: NakedSecurity - http://nakedsecurity.sophos.com/

USB Autorun PDF malicieux

Cyber-crime trend: user resistance to web security

Cyber-crime sponsoris par les tats

Cyber-scurit: les organisations

Source: ITespresso - http://www.itespresso.fr/la-france-se-dote-dune-vraie-agencegouvernementale-de-cyber-securite-30404.html

iDefense is a Verisign company

Les lments de scurit

IPS IDS SSO

Les 1O lois immuables sur la scurit

Une application WEB cest

Serveur HTTP Apache IIS

Extensions applicatives Extension HTTP

Sources de donnes MySQL Firebird Oracle MSSQL

Server-Side Scripting: ASP

Les applications distribues sur le web sont incontournables

Les axes de scurisation dune application Web

Architecture technique applicative

Scurit des OS Scurit du rseau

Source: Philippe ENSARGUET - Silicomp

Constat sur la scurit

Depuis plus de 10 ans, on trouve de nombreuses nouvelles technologies dimplmentation

Source: Philippe ENSARGUET - Silicomp

Des applications monolithiques vers les applications distribues

Application composants Client lourd

Application dentreprise Client lger

Serveurs de Serveurs Client lourd composants de bases applicatifs de donnes

Client lger Serveurs HTTP

Serveurs de bases de donnes

Application WEB Client lger

Application dentreprise Client riche

Serveurs de bases de donnes

Client lger Serveurs HTTP

Serveurs de bases de donnes

Serveurs de bases de donnes

Source: Philippe ENSARGUET - Silicomp

De plus en plus dexigences en scurit