La sécurité des applications
Web
CEGID - Lyon
12 Juin 2009

Sébastien GIORIA (sebastien.gioria@owasp.org)
French Chapter L...
Qui suis-je ?
President du CLUSIR Poitou-Charentes, OWASP France Leader
&évangeliste
sebastien.gioria@owasp.org
12 ansd’ex...
Agenda
Mythes et réalités
L’OWASP
Les failles les plus courantes
Et après ?

© 2009 - S.Gioria & OWASP
Le constat actuel
 Le système d’information
s’ouvre :

Thank You

Google Trends Data for:
l Buffer overflow
l XSS

 Arch...
Quel est la meilleur moyen de déterminer si
votre applicatif a une faille de sécurité ?
1. Recevoir un mail du PDG ou d’un...
Faiblesse des applications Web
% Attaques

% Dépenses

10 %
Application Web
75 %
90 %
25 %

Eléments Réseaux

D’après une ...
Je suis protégé contre les attaques, j’ai un
firewall

© 2009 - S.Gioria & OWASP

7
Mon site Web est sécurisé puisque il est
protégé par SSL

© 2009 - S.Gioria & OWASP

8
Seuls des génies de l’informatique savent
exploiter les failles des applications Web
 Les outils sont de plus
en plus sim...
Une faille sur une application interne n’est
pas importante
De part l’importance du web actuellement, cela
peut être cata...
Agenda
Mythes et réalités
L’OWASP
Les failles les plus courantes
Et après ?

© 2009 - S.Gioria & OWASP
L’OWASP
(Open Web Application Security Project)
 Indépendant des fournisseurs et des gouvernements.
 Objectif principal ...
OWASPenFrance
Un Conseild’Administration (Association loi 1901) :
Président, évangéliste et relations publiques : Sébasti...
Les outils de l’OWASP

© 2009 - S.Gioria & OWASP

18
Les publications
 Toutes les publications sontdisponiblessur le site
de l’OWASP: http://www.owasp.org
 L’ensemble des do...
Agenda
Mythes et réalités
L’OWASP
Les failles les plus courantes
Et après ?

© 2009 - S.Gioria & OWASP
www.owasp.org/index.php?title=Top_10_2007

© 2009 - S.Gioria & OWASP

17
A5 - Attaque CSRF

(1) L’utilisateur se rend sur un forum annodin
(2) Une iframe embarquée sur le forum
demande au navigat...
A7 – Violation de Session ou
d’authentification

© 2009 - S.Gioria & OWASP
Agenda
Mythes et réalités
L’OWASP
Les failles les plus courantes
Et après ?

© 2009 - S.Gioria & OWASP
OWASP Enterprise Security API (ESAPI)
 Un framework de sécurité pour
les développeurs
 Permettre de créer une
applicatio...
Pas de recette Miracle
Mettre
en
place
un
cycle
de
développementsécurisé !
Auditer et Tester son code !
Vérifier le fon...
Prochain SlideShare
Chargement dans…5
×

Présentation Top10 CEGID Lyon

816 vues

Publié le

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
816
Sur SlideShare
0
Issues des intégrations
0
Intégrations
6
Actions
Partages
0
Téléchargements
18
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Présentation Top10 CEGID Lyon

  1. 1. La sécurité des applications Web CEGID - Lyon 12 Juin 2009 Sébastien GIORIA (sebastien.gioria@owasp.org) French Chapter Leader Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation http://www.owasp.org
  2. 2. Qui suis-je ? President du CLUSIR Poitou-Charentes, OWASP France Leader &évangeliste sebastien.gioria@owasp.org 12 ansd’expérience en Sécurité des Systèmesd’Information  Différentspostes de manager SSI dans la banque, l’assurance et les télécoms  Expertise Technique  Gestion du risque, Architectures fonctionnelles, Audits  Consulting et Formation en Réseaux et Sécurité  PenTesting, Digital Forensics  Domaines de prédilection :  Web 4.2 : WebServices, Interfaces Riches (Flex, Air, Silverlight, …), Insécurité du Web. 
  3. 3. Agenda Mythes et réalités L’OWASP Les failles les plus courantes Et après ? © 2009 - S.Gioria & OWASP
  4. 4. Le constat actuel  Le système d’information s’ouvre : Thank You Google Trends Data for: l Buffer overflow l XSS  Architectures orientées services (SAAS, WebServices, ...)  Intégration de partenaires  « Multi-play/multi-canal » : Internet, Téléphone, Mail, Vidéo, …  La sécurité aujourd’hui  Niveau  Niveau  Niveau  Niveau 1 2 3 4 : Le cable : VLAN : Liste de contrôle d’accès à 7 : Firewall, Proxy, IDS, IPS  L’Insécurité aujourd’hui  Niveau 8 : L’humain, l’utilisateur © 2009 - S.Gioria & OWASP
  5. 5. Quel est la meilleur moyen de déterminer si votre applicatif a une faille de sécurité ? 1. Recevoir un mail du PDG ou d’un client a propos d’un bug ? 2. Recevoir un avis de sécurité du CERT ? 3. Vérifier lors de la phase de pré-production la sécurité 4. L’ignorance permet de bien dormir 5. 42, c’est la réponse universelle. © 2009 - S.Gioria & OWASP
  6. 6. Faiblesse des applications Web % Attaques % Dépenses 10 % Application Web 75 % 90 % 25 % Eléments Réseaux D’après une étude du GARTNER 75% des attaques ciblent le niveau Applicatif 33% des applications web sont vulnérables © 2009 - S.Gioria & OWASP
  7. 7. Je suis protégé contre les attaques, j’ai un firewall © 2009 - S.Gioria & OWASP 7
  8. 8. Mon site Web est sécurisé puisque il est protégé par SSL © 2009 - S.Gioria & OWASP 8
  9. 9. Seuls des génies de l’informatique savent exploiter les failles des applications Web  Les outils sont de plus en plus simples d’emploi  Une simple recherche sur google, permet de télécharger un logiciel permettant la récupération de bases de données.  L’attaque d’un serveur web Français coute de 120$ à 1000$ dans le marché souterrain. © 2009 - S.Gioria & OWASP 9
  10. 10. Une faille sur une application interne n’est pas importante De part l’importance du web actuellement, cela peut être catastrophique. Nombre de navigateurs permettant la création d’onglets : Ils partagent tous la même politique de sécurité Ils peuvent fonctionner indépendamment de l’utilisateur (utilisation d’AJAX) La faille de clickjacking permet de générer des requêtes à l’insu de l’utilisateur Le pirate se trouve alors dans le réseau local…. © 2009 - S.Gioria & OWASP 10
  11. 11. Agenda Mythes et réalités L’OWASP Les failles les plus courantes Et après ? © 2009 - S.Gioria & OWASP
  12. 12. L’OWASP (Open Web Application Security Project)  Indépendant des fournisseurs et des gouvernements.  Objectif principal : produire des outils, documents et standards dédiés à la sécurité des applicative.  Touts les documents, standards, outils sont fournis sur la base du modèle open-source.  Organisation :  Réunion d’experts indépendants en sécurité informatique  Communauté mondiale (plus de 100 chapitres) réunie en une fondation américaine pour supporter son action. L’adhésion est gratuite et ouverte a tous  En France : une Association.  Le point d’entrée est le wiki http://www.owasp.org ©© 2009 S.Gioria && OWASP 2009 - - S.Gioria &
  13. 13. OWASPenFrance Un Conseild’Administration (Association loi 1901) : Président, évangéliste et relations publiques : Sébastien Gioria Consultant indépendant en sécurité des systèmesd’informations. Président du CLUSIR Poitou-Charentes Vice-Président et responsable du projet de Traduction : Ludovic Petit. Expert Sécurité chez SFR Secrétaire et Responsable des aspects Juridiques: Estelle Aimé. Avocate Un Bureau :  Le Conseild’Administration  RomainGaucher : Ex-chercheur au NIST, consultant chez Cigital  Mathieu Estrade : DéveloppeurApache. Projets : Sensibilisation/ Formations : Interventions : Top 10 : traduit. Assurance (Java/PHP) Infosecurity Guides : en cours. Sociétéd’EDI (JAVA) OSSIR Questionnaire a destination des RSSI : en cours. OpérateurTéléphonie mobile (PHP/WebServices) Microsoft TechDays Groupe de travail de la sécurité applicative du CLUSIF Ministère de l’intérieur – SGDN Conférencesdans des écoles PCI-Global CERT-IST Ministère de la santé © 2009 - S.Gioria & OWASP
  14. 14. Les outils de l’OWASP © 2009 - S.Gioria & OWASP 18
  15. 15. Les publications  Toutes les publications sontdisponiblessur le site de l’OWASP: http://www.owasp.org  L’ensemble des documents estrégi par la licence GFDL (GNU Free Documentation License)  Les publications majeures :  Le TOP 10 des vulnérabilitésapplicatives  Le Guide de l’auditeur/du testeur  Le Code Review Guide  Le guide de conception d’applications Web sécurisées  La FAQ de l’insécurité des Applications Web. © 2009 - S.Gioria & OWASP
  16. 16. Agenda Mythes et réalités L’OWASP Les failles les plus courantes Et après ? © 2009 - S.Gioria & OWASP
  17. 17. www.owasp.org/index.php?title=Top_10_2007 © 2009 - S.Gioria & OWASP 17
  18. 18. A5 - Attaque CSRF (1) L’utilisateur se rend sur un forum annodin (2) Une iframe embarquée sur le forum demande au navigateur d'exécuter une requete sur un autre serveur (3) Le mot de passe est changé © 2009 - S.Gioria & OWASP
  19. 19. A7 – Violation de Session ou d’authentification © 2009 - S.Gioria & OWASP
  20. 20. Agenda Mythes et réalités L’OWASP Les failles les plus courantes Et après ? © 2009 - S.Gioria & OWASP
  21. 21. OWASP Enterprise Security API (ESAPI)  Un framework de sécurité pour les développeurs  Permettre de créer une application Web Sécurisée  Classes Java et .NET  Disponible sur le site de l’OWASP © 2009 - S.Gioria & OWASP
  22. 22. Pas de recette Miracle Mettre en place un cycle de développementsécurisé ! Auditer et Tester son code ! Vérifier le fonctionnement de son Application ! La sécurité est d’abord et avant tout affaire de bon sens, le maillon faible restant… l’Humain © 2009 - S.Gioria & OWASP

×