Beruflich Dokumente
Kultur Dokumente
OrientéE Service
Hackfest
Communication
L autre visage de la sécurité
CC mac_filko (Flickr)
Allô
!
• Mon
expérience
en
sécurité/hacking?
• Mon
But
dans
la
présenta<on
– Comprendre
les
impacts
de
l insécurité
en
entreprise
et
au
gouvernement
– Expliquer
le
cycle
de
développement
sécuritaire
• Le
tout
techniquement
Nicolas-‐Loïc
For<n
CC missresincup (Flickr)
Commençons!
index.php
• Historique
• Mythes
• Les
aLaquants
• Architecture
et
sécurisa<on
• Confiance
transi<ve
• Techniques
&
cas
réels
• Exemples
Historique
Crypto moderne
CC ronkok (Flickr)
Anti-Virus
CC SlipStreamJC (Flickr)
Firewall
?
1997
ASP, JSP
1998
EJB, J2EE, DCOM
1999
SOAP, XML
2001
REST, SOAP
CC John McNab (Flickr)
Mythes
CC Mightyohm (Flickr)
Qui
sont-‐ils?
• Depuis
plus
de
10
ans
• 80%
des
aLaques
s exécutent
à
par<r
de
l intérieur
– Erreurs
humaines
– Employés
– Espionnage
industriel
(12
milliard*)
• 2millions
sécurité
VS
78
millions
de
perte
* http://www.lesaffaires.com/archives/generale/les-menaces-qui-pesent-sur-votre-entreprise/504041
Ça peut être
n importe qui!
CC kevindoodley (Flickr)
Risques
réels
Facilité
d exécuter
une
aLaque
• Ou<ls
gratuits
disponibles
• Facilité
des
nouvelles
technologies
• Aucun
système
n est
100%
sécuritaire
• La
sécurité
est
rarement
intégrée
dès
le
début
d un
projet
• Plusieurs
aLaques
sont
réalisables
en
mois
de
10
minutes...
(voir
exemples)
C?
Architecture
CC enfilm (Flickr)
CC ...-Wink-...l (Flickr)
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
bla
Qu est-‐ce
qu un
cadre
norma<f?
• Un
programmeur
ne
pense
pas
comme
un
analyste
en
sécurité
• L analyste
en
sécurité
peut
aider
le
programmeur
et,
par
la
suite,
effectuer
un
audit
de
sécurité
• Réduit
le
risque
d erreurs
de
base
One
day
Alice
came
to
a
fork
in
the
road
and
saw
a
Cheshire
cat
in
a
tree.
Which
road
do
I
take?
she
asked.
Where
do
you
want
to
go?
was
his
response.
I
don't
know,
Alice
answered.
Then,
said
the
cat,
it
doesn't
maLer.
—Lewis
Carroll
Les impacts CC spettacolopuro (Flickr)
Intégrité,
confiden<alité,
disponibilié
• Perte
d intégrité:
– Modifica<on
du
site
Web
(images
porno,
redirec<on,
hameçonnage,
etc.)
– Modifica<on
des
textes
(textes
diffamatoires,
insultes,
vulgarités)
– Modifica<on
des
données
(données
financières,
médicales,
etc.)
• Perte
confiden,alité:
– Documents
confiden<els
– Accès
aux
applica<ons
et
aux
données
• Perte
disponibilité:
Les
impacts
sur
les
données
de
mission
• Perte
d intégrité,
de
disponibilité
et
condifen<alité
• Perte
financières
• Perte
de
clients,
de
fournisseurs,
etc.
• Perte
de
confiance
• Dégrada<on
de
l image
publique
de
l entreprise
• ...
Gouvernance
CC ? (Flickr)
C?
C?
C?
Doctrine
CC Army.mil (Flickr)
Cycle
de
développement
sécuritaire
Analyse
Introduction de la sécurité dans le projet dès le départ
Rédaction à partir du guide vert/dmr incluant les éléments de sécurité
Conception
Architecture et développement
Formation et sensibilisation Cadre normatif de développement sécuritaire
Réduction de certains risques de base
Vérification Implantation
Revalidation de toutes les mesures de sécurité Implantation et validation
Tests de sécurité de la sécurité
Maintenance
Validation des éléments de sécurité
Valider chaque correctif et nouveau module
Défense en profondeur
Applications
Serveurs
Données
Stratégie de zonage
CC Julep67 (Flickr)
C?
classification données
CC libraryman (Flickr)
Droit d accès minimum
CC ? (Flickr)
Confiance transitive
CC Tojosan (Flickr)
Train
CC Al_HikesAZ (Flickr)
Types d attaques
CC (Flickr)
SQL
Injec<on
XSS
vs
CSRF
• XSS:
Cross
Site
Scrip<ng
Requiert
que
l aLaquant
injecte
du
code
dans
une
page
• CSRF:
Cross
Site
Request
Forgery
Prend
en
compte
que
le
site
web
fait
confiance
aux
u<lisateurs
Owasp
Top
10
• A1:
Injec<on
• A2:
Cross-‐Site
Scrip<ng
(XSS)
• A3:
Broken
Authen<ca<on
and
Session
Management
• A4:
Insecure
Direct
Object
References
• A5:
Cross-‐Site
Request
Forgery
(CSRF)
• A6:
Security
Misconfigura<on
• A7:
Insecure
Cryptographic
Storage
• A8:
Failure
to
Restrict
URL
Access
• A9:
Insufficient
Transport
Layer
Protec<on
• A10:
Unvalidated
Redirects
and
Forwards
Tekniks
Tekniks
CC (Flickr)
Mais
où
est
le
bug?
• Cookie
• Variable
Get
(vic<m.com/script.php?
var=valeur)
• Formulaire
(POST)
• Ajax
(XMLHLpRequest)
• ...
Fonc<ons
sensibles
• System(),
Passthru(),...
• mysql_query()
• TOUS
les
intrants!
• Upload
• Canaux
de
communica<on
(socket,
fichier,s
site
web,...)
Informa<on
disclosure
• Qu est-‐ce
que
c est?
– Directory
lis<ng
– Code
source
– Config
par
défaut
– Extension
(.bak,
.old,
~bak,
~old,
...)
• Faible
risque
Mais!
Accumula<on=risque++
ROBOTS.txt
User-agent: *!
Disallow: /admin/!
Disallow: /App_Browsers/!
Disallow: /App_GlobalResources/!
Disallow: /App_Themes/!
Disallow: /bin/!
Disallow: /Controls/!
Disallow: /includes/!
Disallow: /jscripts/!
Disallow: /My Project/!
Disallow: /Templates/!
Disallow: /vbscripts/!
Disallow: /phpMyAdmin/!
Disallow: /intranet/!
Protec<on
Robots.txt
Disallow: /search/si/*!
Disallow: /search/av/*!
Disallow: /search/ad/*!
Disallow: /search/re/*!
Disallow: /search/pr/*!
Guess
the
UserName
Bak
file
Google
Hacking
• GOTO
Google.com
• site:qc.ca
• inurl:admin
• site:facebook.com...
Default
Config
• /admin
• /ges<on
• /manual
• /cgi-‐bin
• user:
admin
password:
admin
• install.php,
cleandb.php,
etc.
Possibilités
de...:
CC borman818 (Flickr)
Coût
du
développement
sans
sécurité
avec
l arrivée
d une
faille...
Budget
:
le
juste
milieu
Sécurité
vs
Type
de
donnée
Tout ce qui a un début
a une fin...
Patrick
R.
Mathieu
patrick@hackfest.ca
CC mac_filko (Flickr)
Nicolas-‐Loïc
For<n
nicolasloic.for<n@hackfest.ca