La sécurité à tous les niveaux - JDLL

585 vues

Publié le

Conférence 'La sécurité à tous les niveaux' présentée au JDLL (Journées du Logiciel Libre) 2016 à Lyon par Christophe Villeneuve

Publié dans : Internet
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
585
Sur SlideShare
0
Issues des intégrations
0
Intégrations
68
Actions
Partages
0
Téléchargements
6
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

La sécurité à tous les niveaux - JDLL

  1. 1. JDLL -3 Avril 2016 La sécurité à tous les niveaux JDLL – 3 Avril 2016 Christophe Villeneuve @hellosct1
  2. 2. Qui ??? Christophe Villeneuve
  3. 3. JDLL -3 Avril 2016 Aujourd'hui... ● La sécurité : Moi même pas peur ● Les menaces ● Solution
  4. 4. JDLL -3 Avril 2016 Humour : La sécurité... Ca ne sert rien C'est de la vente forcée Ce n'est pas pour moi
  5. 5. JDLL -3 Avril 2016 Configurer votre navigateur ● Méthodes utilisées : A partir de la publicité – Adware, hijacking – Envoie de fichiers par le téléchargement ● Certains Services ● Réseaux sociaux ● Incrustations de 'tracking' dans les pages – Image invisible (1 px) – Tags (Js, flash, ActiveX, Java…) – Les cookies ● Provoquer la cassure des flux par les Add-ons On en reparle
  6. 6. Les menaces
  7. 7. JDLL -3 Avril 2016 OWASP ● OWASP : Open Web Application Security Project ● Communauté pour la sécurité des applications Webs ● Publications : TOP 10 / Cheat sheets / Owasp : secure Contrat ● Outils : Owasp Zed attack Proxy / ESAPI : API for / AppSensor :: a IDS / IPS ● Jeux : Owasp cornicoppia / Owasp Snake
  8. 8. JDLL -3 Avril 2016 ZAP (1/2) ● A destination des développeurs ● OWASP Zed Attack Proxy (ZAP) ● Open Source ● Tests de sécurité code pénal R323-1 et R323-5
  9. 9. JDLL -3 Avril 2016 ZAP (2/2) ● But : – Aider les utilisateurs à développer et appliquer des compétences de sécurité des applications – Construire une open source, et orientée vers la communauté plate-forme compétitive, – Fournir une plate-forme extensible pour les tests – Conçu pour être facile à utiliser – Elever la barre pour d'autres outils de sécurité
  10. 10. JDLL -3 Avril 2016 Zap : Utilisation (1/2)
  11. 11. JDLL -3 Avril 2016 Zap : Utilisation (2/2)
  12. 12. JDLL -3 Avril 2016 OWASP TOP 10
  13. 13. Les solutions
  14. 14. Antivirus ● Gratuit ● Payant
  15. 15. Navigateur Firefox ● Navigateur moderne ● Outil libre et gratuit ● Développement par la fondation Mozilla ● Forte communauté et de développeurs ● Existe pour tous les OS ● Populaire ● Respectueux des standards W3C ● Des milliers Extensions
  16. 16. JDLL -3 Avril 2016 Moteur de recherche (1/2) ● Différents les pays / Continents – Yahoo : Etats-Unis – Yandex : Russie – Baidu : Chine – Google : France… /! ● Choix des 'Distribution Linux' – Duck Duck Go
  17. 17. JDLL -3 Avril 2016 Moteur de recherche (2/2) ● Choix des Utilisateurs – Configuration : Préférences → recherche ● Autres – qwant
  18. 18. JDLL -3 Avril 2016 Do Not Track = DNT ● Disponible depuis 2011 - Amélioration en 2013 ● Est une entete HTTP ● Indique aux sites que l'on ne souhaite pas être pisté ● Configuration – Préférence → Vie privée
  19. 19. JDLL -3 Avril 2016 Navigation privée (1/2) ● Permet de naviguer sur Internet sans enregistrer aucune information ● Ne stocke pas – Les informations dans l'historique – Les pages et sites visités – Les mots de passes – La liste de vos téléchargements – Cookies ● Pas de Offline ● Utilisation → Menu : Navigation privée ● Configuration → Préférence → Vie privée
  20. 20. JDLL -3 Avril 2016 Navigation privée (2/2) Firefox 42 renforce : ● Les sessions ● Le pistage ● Réglages ● Contre outils analytiques, boutons des réseaux sociaux ou pub
  21. 21. JDLL -3 Avril 2016 Nettoyage (1/2) ● Quand on quitte le navigateur – Réglages de l'historique ● Configuration – Préférence → Vie privée
  22. 22. JDLL -3 Avril 2016 Nettoyage (2/2) ● Quand on quitte le navigateur – Réglages sur les cookies ● Configuration – Préférence → Vie privée
  23. 23. JDLL -3 Avril 2016 Extensions ? ● Modules = add-ons ● Modules complémentaires ● Améliore le navigateur (thème, collections, fonctionnalités…) ● Milliers d'extensions
  24. 24. JDLL -3 Avril 2016 No Script ● Addon : No Script ● Exécute les scripts Javascripts que sur les sites de confiances (ex : banque) ● Blocage en préventif ● Bloque les failles de sécurité sans perte de fonctionnalités https://addons.mozilla.org/fr/firefox/addon/noscript/
  25. 25. JDLL -3 Avril 2016 ● Crypte vos communications avec internet ● Rend illisibles les informations envoyés et reçus ● Différence avec HTTP et HTTPS ● Collaboration entre TOR Project et Electronic Frontier Foundation https://addons.mozilla.org/fr/firefox/addon/https-everywhere HTTPS Everywhere
  26. 26. JDLL -3 Avril 2016 HTTPS Everywhere : exemple
  27. 27. JDLL -3 Avril 2016 Messagerie ● Addon dans Firefox : Gmail S/Mime ● Va Sécuriser ● Va encrypter vos emails directement sur votre webmail ● Message Gmail
  28. 28. JDLL -3 Avril 2016 Anti Phishing ● Déf : Hameçonnage (obtenir des renseignements personnels) ● Vous renseigne si le site est fiable ● S'appuie sur un partage des utilisateurs à travers le monde https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
  29. 29. JDLL -3 Avril 2016 Spam ● Addon TrashMail.net ● Obtenir des adresses emails jetables ● Evite les spams ● A utiliser temporairement https://addons.mozilla.org/fr/firefox/addon/trashmailnet/
  30. 30. JDLL -3 Avril 2016 Génération de password ● Addon : safe password ● Générateur de mots de passe sécurisé ● Evite de chercher un mot de passe https://addons.mozilla.org/fr/firefox/addon/safe-password/
  31. 31. JDLL -3 Avril 2016 Mot de passe ● Addon Keefox ● Permet de gérer et sécuriser vos mots de passe ● Extension logiciel de Keepass https://addons.mozilla.org/fr/firefox/addon/keefox/
  32. 32. JDLL -3 Avril 2016
  33. 33. JDLL -3 Avril 2016 Navigation ● Projet TorButtom ● Va permettre de surfer anonymement avec Firefox ● Dispo : https://www.torproject.org/torbutton/
  34. 34. JDLL -3 Avril 2016 ● Tor Browser ● Change automatiquement IP ● Blocage de nœuds, publicités...
  35. 35. JDLL -3 Avril 2016 ANSSI ● = Agence nationale de la sécurité des systèmes d'information ● Source – http://www.ssi.gouv.fr/particulier/
  36. 36. Merci Questions Christophe Villeneuve @hellosct1

×