Sécurité

OrientéE Service
 
Hackfest
Communication
L autre visage de la sécurité

Hackfest Communication, 2011

Creative Commons Attribution-NonCommercial-ShareAlike 2.5 Canada License
Qui sommes-nous?
Patrick  Mathieu  

CC mac_filko (Flickr)
 Allô  !  
•  Mon  expérience  en  sécurité/hacking?  
•  Mon  But  dans  la  présenta<on  
–  Comprendre  les  impacts  de  l insécurité  en  
entreprise  et  au  gouvernement  
–  Expliquer  le  cycle  de  développement  sécuritaire  
•  Le  tout  techniquement  
Nicolas-­‐Loïc  For<n  

CC shaun wong (Flickr)

 Hello  !  
•  Mon  expérience  en  sécurité/hacking?  
•  Buts  de  la  présenta<on  
–  Comprendre  le  fonc<onnement  de  la  sécurité  
d entreprise  appliqué  au  Web  
–  Expliquer  les  éléments  de  sécurité  haut  niveau  
Confrontation

CC missresincup (Flickr)
Commençons!
 index.php

•  Historique  
•  Mythes  
•  Les  aLaquants  
•  Architecture  et  sécurisa<on  
•  Confiance  transi<ve  
•  Techniques  &  cas  réels  
•  Exemples  
Historique
Crypto moderne

CC mab @ flickr (Flickr)

Crypto
IDS

CC ronkok (Flickr)
Anti-Virus

CC SlipStreamJC (Flickr)
 Firewall

Page AAAA MM JJ | CONFIDENTIEL

 SSL

SSL CC Darwin Bell (Flickr)

 Dev
Infra

1883
Principe de crypto

1975
Crypto symétrique moderne

1976
Crypto asymétrique

1986
IDS

1987
Antivirus

1988
Firewall 1G (packet filter)

1990
Firewall 2G (stateful)

1991
Firewall 3G (application level)

1994
SSL

1995
CGI, Perl

?

1997
ASP, JSP

1998
EJB, J2EE, DCOM

1999
SOAP, XML

2001
REST, SOAP

CC John McNab (Flickr)
Mythes

CC Lee Nachtigal (Flickr)

 Les  mythes  de  la  sécurité  
•  Voici  le  principal  élément  à  comprendre  et  à  
retenir:  
–  Il  n y  a  pas  de  boîte  magique...  
CC ? (Flickr)
 Nous  ne  sommes  pas  aLaqués  
•  If  we  were  under  aLack  we  will  know  
•  Sadly  
–  Most  aLack  s<ll  informa<on    
–  And  it  is  not  something  the  aLacker  want  you  to  
know  
 Chiffrement  des  données  
•  l u<lisa<on  du  hLpS  (SSL)  
•  Ne  change  rien!  
–  Qu un  site  Web  soit  chiffré  ou  non,  notre  
navigateur  Web  télécharge  toutes  les  
informa<ons.  
 Le  firewall  
•  Ne  nous  protège  pas   réellement  des  
aLaques  
•  Un  u<lisateur  peut  tout  de  même  visiter  et  
télécharger  des  données  depuis  un  site  
malicieux  
 Sécuriser  l élément  à  risque  

•  Souvent,  on  sécurise  seulement  l endroit  

considéré  comme  à  risque  
•  Toutefois,  en  verrouillant  la  porte  de  notre  
maison,  on  n empêche  pas  quelqu un  
d entrer  par  la  fenêtre...  Fail  
–  En  informa<que,  c est  le  même  principe  
 Nous  journalisons!  
•  Nous  journalisa<on,  donc  nous  voyons  les  
aLaques!  
•  Super!  
–  Mais  est-­‐ce  que  vous  regarder  les  log?  
–  Si  oui,  êtes-­‐vous  réellement  capable  de  tous  les  
analyser  et  de  bien  les  traiter?  
 IDS  
•  Nous  aLraprons  les  aLaques  via  notre  IDS  
•  Super!  
–  Mais  la  plupart  des  compagnies  qui  en  on  un,  il  est  
soit  mal  configuré  ou  non  u<lisé.  
Page AAAA MM JJ | CONFIDENTIEL
À l attaque!

CC Mightyohm (Flickr)
 Qui  sont-­‐ils?  
•  Depuis  plus  de  10  ans  
•  80%  des  aLaques  s exécutent  à  par<r  de  l intérieur  
–  Erreurs  humaines  
–  Employés  
–  Espionnage  industriel  (12  milliard*)  
•  2millions  sécurité  VS  78  millions  de  perte  

* http://www.lesaffaires.com/archives/generale/les-menaces-qui-pesent-sur-votre-entreprise/504041
Ça peut être
n importe qui!

CC kevindoodley (Flickr)
Risques  réels  
                            Facilité  d exécuter                
une  aLaque  
•  Ou<ls  gratuits  disponibles  
•  Facilité  des  nouvelles  technologies  
•  Aucun  système  n est  100%  sécuritaire  
•  La  sécurité  est  rarement  intégrée  dès  le  début  
d un  projet  
•  Plusieurs  aLaques  sont  réalisables  en  mois  de  
10  minutes...    (voir  exemples)  
C?
Architecture

CC enfilm (Flickr)
CC ...-Wink-...l (Flickr)
bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  
bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  
bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  
bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  
bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  
bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  
bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  
bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  
bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  bla  
 Qu est-­‐ce  qu un  cadre  norma<f?  
•  Un  programmeur  ne  pense  pas  comme  un  
analyste  en  sécurité  
•  L analyste  en  sécurité  peut  aider  le  
programmeur  et,  par  la  suite,  effectuer  un  
audit  de  sécurité  
•  Réduit  le  risque  d erreurs  de  base  
One  day  Alice  came  to  a  fork  in  the  road  and  
saw  a  Cheshire  cat  in  a  tree.  Which  road  do  I  
take?  she  asked.  Where  do  you  want  to  go?  was  
his  response.  I  don't  know,  Alice  answered.  
Then,  said  the  cat,  it  doesn't  maLer.  
—Lewis  Carroll  
Les impacts CC spettacolopuro (Flickr)
 Intégrité,    
confiden<alité,  
disponibilié  
•  Perte  d intégrité:  
–  Modifica<on  du  site  Web  (images  porno,  redirec<on,  
hameçonnage,  etc.)  
–  Modifica<on  des  textes  (textes  diffamatoires,  insultes,  
vulgarités)  
–  Modifica<on  des  données  (données  financières,  médicales,  etc.)  
•  Perte  confiden,alité:  
–  Documents  confiden<els  
–  Accès  aux  applica<ons  et  aux  données  
•  Perte  disponibilité:  
                          Les  impacts  sur  les  
données  de  mission  
•  Perte  d intégrité,  de  disponibilité  et  condifen<alité  
•  Perte  financières  
•  Perte  de  clients,  de  fournisseurs,  etc.  
•  Perte  de  confiance  
•  Dégrada<on  de  l image  publique  de  l entreprise  
•  ...  
Gouvernance

CC ? (Flickr)
C?
C?
C?
Doctrine

CC Army.mil (Flickr)
 Cycle  de  développement  
sécuritaire  
Analyse
Introduction de la sécurité dans le projet dès le départ
Rédaction à partir du guide vert/dmr incluant les éléments de sécurité

Conception
Architecture et développement
Formation et sensibilisation Cadre normatif de développement sécuritaire
Réduction de certains risques de base

Vérification Implantation
Revalidation de toutes les mesures de sécurité Implantation et validation
Tests de sécurité de la sécurité

Maintenance
Validation des éléments de sécurité
Valider chaque correctif et nouveau module
Défense en profondeur

CC Steve B Chamberlain (Flickr)

 3  <ers  

Applications

Serveurs

Données
Stratégie de zonage

CC Julep67 (Flickr)
C?
classification données

CC libraryman (Flickr)
Droit d accès minimum

CC Sebastian Niedlich (Grabthar) (Flickr)

Vérification

CC ? (Flickr)
Confiance transitive

CC Tojosan (Flickr)
Train

CC Al_HikesAZ (Flickr)
Types d attaques

CC (Flickr)
SQL  Injec<on  
 XSS  vs  CSRF  
•  XSS:  Cross  Site  Scrip<ng  
Requiert  que  l aLaquant  injecte  du  code  dans  
une  page  
•  CSRF:  Cross  Site  Request  Forgery  
Prend  en  compte  que  le  site  web  fait  
confiance  aux  u<lisateurs  
 Owasp  Top  10  
•  A1:  Injec<on  
•  A2:  Cross-­‐Site  Scrip<ng  (XSS)  
•  A3:  Broken  Authen<ca<on  and  Session  Management  
•  A4:  Insecure  Direct  Object  References  
•  A5:  Cross-­‐Site  Request  Forgery  (CSRF)  
•  A6:  Security  Misconfigura<on  
•  A7:  Insecure  Cryptographic  Storage  
•  A8:  Failure  to  Restrict  URL  Access  
•  A9:  Insufficient  Transport  Layer  Protec<on  
•  A10:  Unvalidated  Redirects  and  Forwards  
 Tekniks

Tekniks
CC (Flickr)
 Mais  où  est  le  bug?  
•  Cookie  
•  Variable  Get  (vic<m.com/script.php?
var=valeur)  
•  Formulaire  (POST)  
•  Ajax  (XMLHLpRequest)  
•  ...  
 Fonc<ons  sensibles  
•  System(),  Passthru(),...  
•  mysql_query()  
•  TOUS  les  intrants!  
•  Upload  
•  Canaux  de  communica<on  (socket,  fichier,s  
site  web,...)  
 Informa<on  disclosure  
•  Qu est-­‐ce  que  c est?  
–  Directory  lis<ng  
–  Code  source  
–  Config  par  défaut  
–  Extension  (.bak,  .old,  ~bak,  ~old,  ...)  
•  Faible  risque  
Mais!  Accumula<on=risque++  
 ROBOTS.txt  

User-agent: *!
Disallow: /admin/!
Disallow: /App_Browsers/!
Disallow: /App_GlobalResources/!
Disallow: /App_Themes/!
Disallow: /bin/!
Disallow: /Controls/!
Disallow: /includes/!
Disallow: /jscripts/!
Disallow: /My Project/!
Disallow: /Templates/!
Disallow: /vbscripts/!
Disallow: /phpMyAdmin/!
Disallow: /intranet/!
 Protec<on  Robots.txt  
Disallow: /search/si/*!
Disallow: /search/av/*!
Disallow: /search/ad/*!
Disallow: /search/re/*!
Disallow: /search/pr/*!
Guess  the  UserName  
Bak  file  
 Google  Hacking  

•  GOTO  Google.com  
•  site:qc.ca  
•  inurl:admin  
•  site:facebook.com...  
 Default  Config  
•  /admin  
•  /ges<on  
•  /manual  
•  /cgi-­‐bin  
•  user:  admin  password:  admin  
•  install.php,  cleandb.php,  etc.  
 Possibilités  de...:  

•  Usurpa<on  d iden<té  numérique  

•  Usurpa<on  d iden<té  physique  
•  Contrôle  à  distance  
•  Exécu<on  à  distance  
•  Vol  de  données  de  mission  
•  ...    
Exemples
À  ne  pas  faire  ni  essayer!  

CC Photomish Dan (Flickr)

 SQLi  Error  

Risque: Lecture/exécution de la base de données, information sur les serveurs

Impact: Vol et modification de données publiques et confidentielles, attaque serveur
 SQLi  Union  

Risque: Lecture/exécution de la base de données

Impact: Vol et modification de données publiques et confidentielles
 SQL  ...  gouv!  

Risque: Lecture/exécution de la base de données, information du serveur

Impact: Vol et modification de données publiques et confidentielles, attaques serveur
 XSS  

Risque: Contrôle/exécution à distance, vol de données

Impact: Perte de confiance des utilisateurs, pertes financières
 Admin,  Yes  I  am  

Risque: Lecture, modification, ajout, suppresion de données

Impact: Perte de confiance, pertes financières, atteinte à l image, etc.
 Wrong...  Parameters  

Risque: Lecture informations confidentielles

Impact: Vol de données confidentielles, perte de confiance
 Oracle  error  

Risque: Lecture informations confidentielles

Impact: Vol de données confidentielles, perte de confiance
 Wrong...  type  
(debug  mode)  

Risque: Lecture informations confidentielles

Impact: Vol de données confidentielles, perte de confiance
 Remote  inclusion  

Risque: Lecture informations confidentielles, contrôle total

Impact: Pertes...!
 Password du serveur...!

Risque: Contrôle et accès complet

Impact: Pertes...!
 Sec<on  admin  

Risque: Information du système

Impact: Vecteur d attaque
 Pas  trop  mal...  

Risque: Information du système

Impact: Vecteur d attaque
Budget

CC borman818 (Flickr)
Coût  du  développement  sans  
sécurité  avec  l arrivée  d une  
faille...  
            Budget  :  le  juste  milieu  
                            Sécurité  vs  Type  de  donnée  
Tout ce qui a un début
a une fin...
  
 
Patrick  R.  Mathieu  
patrick@hackfest.ca  

CC mac_filko (Flickr)
  
 
Nicolas-­‐Loïc  For<n  
nicolasloic.for<n@hackfest.ca  

CC shaun wong (Flickr)