Académique Documents
Professionnel Documents
Culture Documents
com
http://prox-ia.blogspot.com
Objectifs
prsenter la problmatique globale de la scurit applicative proposer des dfinitions et homogniser le vocabulaire du domaine. brosser le panorama des principales vulnrabilits prsenter des approches mthodologiques identifier les bonnes pratiques en conception analyser les solutions en environnement applicatif mettre en avant la complmentarit de la scurit dans une chane applicative aborder les tendances en termes dusage et de technologie.
http://prox-ia.blogspot.com
Aspects logistiques
une session de prsentation... une session dchange nhsitez pas poser des questions!
les horaires : 9h30 - 12h00 et 13h30 - 16h30 une pause en milieu dintervention, le matin et laprs-midi
pour me joindre : pbiton@prox-ia.com merci de bien vouloir mettre vos portables en mode vibreur
http://prox-ia.blogspot.com
Faisons connaissance
Dans larchitecture logicielle des serveurs Dans le dveloppement dapplications Web Dans lintgration des serveurs dans les environnements des clients
http://prox-ia.blogspot.com
Sommaire
Contexte de la scurit applicative Vocabulaire et rfrences techniques Typologie des vulnrabilits applicatives Rponses matrielles Rponses mthodologiques Choix dauthentification Conclusion
http://prox-ia.blogspot.com
http://prox-ia.blogspot.com
Tenter de scuriser un systme d'information revient essayer de se protger contre les risques lis l'informatique pouvant avoir un impact sur la scurit de celui-ci, ou des informations qu'il traite.
http://prox-ia.blogspot.com
Chiffres: 2010
Source: Symantec Global Internet Threat Report Trends for 2010 - Vol 16, Published April 2011 http://msisac.cisecurity.org/resources/reports/documents/SymantecInternetSecurityThreatReport2010.pdf
http://prox-ia.blogspot.com
Chiffres: 2010
Source: Symantec Global Internet Threat Report Trends for 2010 - Vol 16, Published April 2011 http://msisac.cisecurity.org/resources/reports/documents/SymantecInternetSecurityThreatReport2010.pdf
http://prox-ia.blogspot.com
Chiffres: 2010
Source: Symantec Global Internet Threat Report Trends for 2010 - Vol 16, Published April 2011 http://msisac.cisecurity.org/resources/reports/documents/SymantecInternetSecurityThreatReport2010.pdf
http://prox-ia.blogspot.com
Source: Symantec Global Internet Threat Report Trends for 2010 - Vol 16, Published April 2011 http://msisac.cisecurity.org/resources/reports/documents/SymantecInternetSecurityThreatReport2010.pdf
http://prox-ia.blogspot.com
Source: Symantec Global Internet Threat Report Trends for 2010 - Vol 16, Published April 2011 http://msisac.cisecurity.org/resources/reports/documents/SymantecInternetSecurityThreatReport2010.pdf
http://prox-ia.blogspot.com
Source: Symantec Global Internet Threat Report Trends for 2010 - Vol 16, Published April 2011 http://msisac.cisecurity.org/resources/reports/documents/SymantecInternetSecurityThreatReport2010.pdf
http://prox-ia.blogspot.com
Source: Symantec Report on Attack Kits and Malicious Websites - Published January 2011 http://www.symantec.com/content/en/us/enterprise/other_resources/bsymantec_report_on_attack_kits_and_malicious_websites_21169171_WP.en-us.pdf
http://prox-ia.blogspot.com
Source: Symantec Global Internet Threat Report Trends for 2010 - Vol 16, Published April 2011 http://msisac.cisecurity.org/resources/reports/documents/SymantecInternetSecurityThreatReport2010.pdf
http://prox-ia.blogspot.com
Source: Symantec Global Internet Threat Report Trends for 2010 - Vol 16, Published April 2011 http://msisac.cisecurity.org/resources/reports/documents/SymantecInternetSecurityThreatReport2010.pdf
http://prox-ia.blogspot.com
http://prox-ia.blogspot.com
http://prox-ia.blogspot.com
Source: Symantec Global Internet Threat Report Trends for 2010 - Vol 16, Published April 2011 http://msisac.cisecurity.org/resources/reports/documents/SymantecInternetSecurityThreatReport2010.pdf
http://prox-ia.blogspot.com
Source: Symantec Global Internet Threat Report Trends for 2010 - Vol 16, Published April 2011 http://msisac.cisecurity.org/resources/reports/documents/SymantecInternetSecurityThreatReport2010.pdf
http://prox-ia.blogspot.com
2.
3.
4.
Dcouverte dune faille: un hacker dcouvre une faille de scurit Publication de lexploit: le risque augmente trs fortement avec la publication; les scripts kiddies entrent en action Correctif de lditeur: lditeur publie un correctif; la faille est dsormais connue de tous Application du correctif: lentreprise ragit et met jour lapplication vulnrable
Objectif: 0 day
Source: eEye Digital Security - http://research.eeye.com/html/alerts/zeroday/index.html
http://prox-ia.blogspot.com
1.
2.
3.
4.
http://prox-ia.blogspot.com
Lactualit du Cyber-crime
23 janvier 2011: Le compte Facebook de Nicolas Sarkozy est hack indiquant que le prsident ne se reprsentera pas en 2012
http://prox-ia.blogspot.com
Lactualit du Cyber-crime
28 janvier 2011: le FBI met 40 mandats de perquisition pour les participants une attaque DDOS contre les ennemis de Wikileaks
http://prox-ia.blogspot.com
Lactualit du Cyber-crime
26 janvier 2011: des hackeurs lancent des attaques DDOS contre les sites web officiels dEgypte
http://prox-ia.blogspot.com
Lactualit du Cyber-crime
http://prox-ia.blogspot.com
Lactualit du Cyber-crime
5 janvier 2011: le Scottish Court Service reconnait ne pas avoir pris les mesures ncessaires pour que des documents contenant des donnes confidentielles ne se retrouvent dans une centre de recyclage de Glasgow
http://prox-ia.blogspot.com
Demo I
USB Dumper
http://prox-ia.blogspot.com
Companies filter URLs, blocking access to particular sites for policy reasons. Office workers use anonymizing proxies in order to bypass company policies and perimeter defenses. This can obviously have an impact on security. Anonymizing proxies can themselves be infected with multiple pieces of malware.
Source: Microsoft, The Rational Rejection of Security Advice by Users http://research.microsoft.com/en-us/um/people/cormac/papers/2009/SoLongAndNoThanks.pdf Source: Sophos Security Threat Report July 2009 http://www.sophos.com/security/sophoslabs/anonymizing-proxies.html
Estonie
http://prox-ia.blogspot.com
Source: MISC n 40 Nov/Dec 2008 - http://www.miscmag.com Source: Sophos Security Threat Report 2011- http://www.sophos.com
Stuxnet
http://prox-ia.blogspot.com
Juillet 2009, la France se dote dune vraie agence gouvernementale de cyber-scurit. L'Agence nationale de la scurit des systmes d'information (ANSSI) a vocation protger les rseaux gouvernementaux et sensibiliser tous les publics aux menaces de l'Internet. La France prend dsormais les menaces informatiques trs au srieux
http://prox-ia.blogspot.com
Wanted: vulnerability!
On August 19th, 2008 iDefense Labs launched the new interactive VCP Contributor Portal. This portal allows our contributors to submit their vulnerabilities and then track the progress as we evaluate and process them, simplifying the overall process and allowing faster response. Please visit the VCP Portal at: https://labs.idefense.com/vcp/portal.
MICE
http://prox-ia.blogspot.com
Laptop
Antivirus Anti-spyware
Chiffrement
Contrle daccs
Scurit applicative
http://prox-ia.blogspot.com
Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore
Law #4: If you allow a bad guy to upload programs to your website, it's not your website any more Law #5: Weak passwords trump strong security Law #6: A computer is only as secure as the administrator is trustworthy Law #7: Encrypted data is only as secure as the decryption key Law #8: An out of date virus scanner is only marginally better than no virus scanner at all Law #9: Absolute anonymity isn't practical, in real life or on the Web Law #10: Technology is not a panacea
Source: Microsoft - http://technet.microsoft.com/en-us/library/cc722487.aspx
http://prox-ia.blogspot.com
Poste client
HTTP 80
Serveur dapplications:
Java EE .NET
http://prox-ia.blogspot.com
Client
Internet
Scurit de lorganisation
http://prox-ia.blogspot.com
http://prox-ia.blogspot.com
Mainframe
Serveurs applicatifs
Application client/serveur
Client lourd
Client riche
Serveurs HTTP
Serveurs applicatifs
http://prox-ia.blogspot.com
Dfinitions
Identification: Procdure dont le but est de reconnatre un utilisateur afin de lui accorder les droits correspondant son profil.
Authentification: Procdure dont le but est de vrifier de l'identit d'une personne pour contrler l'accs un systme d'information ou un logiciel.
Contrle daccs: Procdure dont le but est de limiter laccs des ressources (matrielles ou logicielles) protges
Habilitation: Procdure dont le but est de limiter lexcution ou lutilisation de ressources (fonctionnelles ou donnes) protges
Imputabilit: Procdure, qui part du principe que tout utilisateur du systme doit tre identifi, dans le but de tracer les violations ou accs lgitimes dans un contexte de responsabilit.
Source: Philippe ENSARGUET - Silicomp
http://prox-ia.blogspot.com
SSO
http://prox-ia.blogspot.com
Ne plus grer les utilisateurs dans les applications Identit / profil / rle Dpendance trop forte / ractivit et prennit des donnes Se prparer ne plus grer [totalement] des oprations de scurit Identification + authentification Contrle daccs
Access Controls
http://prox-ia.blogspot.com
Un peu de vocabulaire
Identifier les menaces qui psent sur les biens sensibles dun systme dinformation, Trouver et mettre en place des parades permettant de les contrer, Evaluer la qualit et lefficacit de ces parades (concept de scurit proactive)
Bien sensible ?
Information ou ressource protger par les contre-mesures techniques et/ou non techniques d'un systme.
http://prox-ia.blogspot.com
http://prox-ia.blogspot.com
(Source: ITSEC).
"Violation potentielle de la scurit" (Source: ISO 7498-2). La ralisation effective d'une menace exploite une vulnrabilit
Attaque ?
Tentative relle de porter atteinte la confidentialit, l'intgrit, la disponibilit d'un systme. Concrtisation d'une menace intentionnelle exploitant une vulnrabilit.
Intrusion ?
Prise de contrle partielle ou totale d'un systme distant.
Source: Philippe ENSARGUET - Silicomp
http://prox-ia.blogspot.com
Vulnrabilit 1 Menace 1 Vulnrabilit 3
En rsum
Menace 2
Vulnrabilit 2
Smantiquement, tre vulnrable se dfinit par le fait d'tre sensible vis-vis de quelque chose ou quelqu'un. Une attaque matrialise une vulnrabilit. Les vulnrabilits ne mettent pas mal le systme d'information, seules les attaques ont des impacts rels.
CIA
http://prox-ia.blogspot.com
Un peu de vocabulaire
Objectifs de scurit ?
Exigences qui se dfinissent par rapport aux biens que l'on souhaite protger et en fonction des menaces qui leur sont applicables. Ils s'expriment en terme de :
Prvention contre laccs ou la divulgation de linformation un utilisateur, une entit ou un processus non autoris
http://prox-ia.blogspot.com
Cest un moyen qui permet de sectoriser physiquement ou logiquement une infrastructure technique. Il constitue une des principales mesures de scurit active. Le cloisonnement rseau est gnralement accompagn de mesures de filtrage sur les flux.
Vision duale : cloisonnement intra domaine et inter domaine lments de cloisonnement rseau: Firewall, VPN, Routeur filtrant, VLAN
http://prox-ia.blogspot.com
Objectif: Assurer une rupture de la continuit du protocole dans le strict but disoler une fonction critique de tout accs externe direct.
Source: Philippe ENSARGUET - Silicomp
http://prox-ia.blogspot.com
et en rsum
Il nautorise que les flux rseaux strictement ncessaires Cloisonnement applicatif (reverse proxy): Il interdit tout accs direct aux services sensibles en utilisant un service mandataire et matrise le contenu des flux autoriss.
Source: Philippe ENSARGUET - Silicomp
http://prox-ia.blogspot.com
Cest lune des familles de modles qui simpose comme rfrence pour la modlisation des droits dans lentreprise Dcouplage entre les droits et les utilisateurs du systme Affectation des droits des fonctions / rles dans lentreprise et non plus directement des personnes. RBAC repose sur les notions essentielles de : Utilisateur: une personne ou un agent automatis Rle : activit ou mtier qui dfinit un niveau dautorit Permission : approbation dun mode daccs une ressource
http://prox-ia.blogspot.com
Niveaux 5,6,7
Les attaques applicatives Attaquer les systmes dexploitation, Attaquer les applications (serveurs Web, messagerie, base de donnes,)
Les attaques protocolaires Exploiter les failles IP, ICMP, TCP, UDP, DNS,
Les attaques physiques Attaquer les failles des rseaux LAN (Ethernet, Wifi,)
http://prox-ia.blogspot.com
http://prox-ia.blogspot.com
http://prox-ia.blogspot.com
Demo II
Accs au mail dune personne en utilisant le social engineering