Le hacking: Une dimension
            _
parallè
parallèle qui peut briser
      univers.
votre univers.


Michel Cusin
Col...
Le hacking: Une dimension
parallè
parallèle qui peut briser
      univers.
votre univers.


Michel Cusin
Colloque québécoi...
Le hacking: Une dimension
parallè
parallèle qui peut briser
      univers.
votre univers.


Michel Cusin
Colloque québécoi...
Itinéraire du voyage…

• Évolution du Web 1.0 -> 2.0
  - AJAX, Javascripts, XSS…
  - Nouvelles possibilités (pour tout le ...
Itinéraire du voyage…

• Démonstration
 1) Scan d’un Intranet à partir d’Internet sans scanner…
 2) Vous serez mes complic...
Question :

Y a-t-il des policiers dans la salle ?




             © Bell Canada, 2008. Tous droits réservés
Itinéraire du voyage…

• Démonstrations
 1) Scan d’un Intranet à partir d’Internet sans scanner…
 2) Vous serez mes compli...
Audience visée

 Les gens d'informatique, de réseautique
 et de sécurité de l’information;

 Les policiers / enquêteurs;

...
Tout est Web de nos jours :

 Routeurs

 Coupes-feu

 Imprimantes

 Téléphones

 Caméras Web

 Services transactionnels

 ...
WEB 1.0     versus                                WEB 2.0




          © Bell Canada, 2008. Tous droits réservés
WEB 2.0 “Buzzwords”
 N’est pas un standard mais plutôt une série de
 principes d'utilisation de technologies existantes;

...
AJAX




       © Bell Canada, 2008. Tous droits réservés
AJAX

 AJAX : Asynchronous JavaScript And XML

 AJAX n'est pas une technologie en elle-même, mais un
 terme qui évoque l'u...
Sécurité AJAX


  Augmente les attaques

  Donne accès aux API directement

  Plus simple pour le “reverse engineer”

  Le...
Javascript : Une force maléfique ?

 Langage de programmation de script principalement
 utilisé pour les pages web interac...
Javascript : Avec…




           © Bell Canada, 2008. Tous droits réservés
Javascript : Sans…




           © Bell Canada, 2008. Tous droits réservés
XSS

Le Cross Site Scripting (XSS) est une attaque exploitant une
faiblesse d'un site web qui ne valide pas ses paramètres...
Exemple de XSS                           Site Web
                                     (très populaire)




Internaute
   ...
Exemple de XSS                           Site Web
                                     (très populaire)




Internaute
   ...
XSS

Le Cross Site Scripting (XSS) est une attaque exploitant une
faiblesse d'un site web qui ne valide pas ses paramètres...
XSS

En fait, tous les sites web sont potentiellement
vulnérables au XSS. Des failles XSS ont été trouvées
dans les pages ...
Info +

 Une firme de sécurité a identifié plus de 10 000 pages Web
 qui ont été piratées via des failles XSS par le même ...
www.xssed.com
 “Citibank's critical cross-site scripting vulnerabilities” - Août 2008


 “HSBC web sites are open to criti...
Démonstration

 L’attaque théorique: Scan d’un Intranet à partir
 d’Internet sans scanner…




              © Bell Canada...
Poste
        Windows




Poste
Linux



                                  IDS                    Coupe-feu   Routeur
    ...
Code PHP <iframe>




                            www.michelcusin.com




                                                ...
OK




                                            www.michelcusin.com
01110100
10101010
00101010




                    ...
ET maintenant la banque $$$...




      © Bell Canada, 2008. Tous droits réservés
Code HTML <iframe>




                            www.michelcusin.com




                                               ...
OK                                   Code HTML <iframe>




                                 www.michelcusin.com




     ...
OK




                                 www.michelcusin.com




                 1) Code HTML                             ...
OK




                                         www.michelcusin.com




                                                  ...
OK




                                 www.michelcusin.com




                                Serveur de dépôt de fichie...
Quelques pistes de solutions…

 Facteur humain;

 Valider toujours les paramètres en entrée et n'accepter que
 ce qui est ...
Conclusion




        © Bell Canada, 2008. Tous droits réservés
Merci !!!




© Bell Canada, 2008. Tous droits réservés
© Bell Canada, 2008. Tous droits réservés
Prochain SlideShare
Chargement dans…5
×

Présentation menaces web2.0_cqsi_2008

1 395 vues

Publié le

Publié dans : Technologie, Business
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 395
Sur SlideShare
0
Issues des intégrations
0
Intégrations
639
Actions
Partages
0
Téléchargements
18
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Présentation menaces web2.0_cqsi_2008

  1. 1. Le hacking: Une dimension _ parallè parallèle qui peut briser univers. votre univers. Michel Cusin Colloque québécois de la sécurité de l’information 29 septembre 2008 © Bell Canada, 2008. Tous droits réservés
  2. 2. Le hacking: Une dimension parallè parallèle qui peut briser univers. votre univers. Michel Cusin Colloque québécois de la sécurité de l’information 29 septembre 2008 © Bell Canada, 2008. Tous droits réservés
  3. 3. Le hacking: Une dimension parallè parallèle qui peut briser univers. votre univers. Michel Cusin Colloque québécois de la sécurité de l’information 29 septembre 2008 © Bell Canada, 2008. Tous droits réservés
  4. 4. Itinéraire du voyage… • Évolution du Web 1.0 -> 2.0 - AJAX, Javascripts, XSS… - Nouvelles possibilités (pour tout le monde, bons ou méchants…) - Menaces plus sournoises, invisibles, volatiles… © Bell Canada, 2008. Tous droits réservés
  5. 5. Itinéraire du voyage… • Démonstration 1) Scan d’un Intranet à partir d’Internet sans scanner… 2) Vous serez mes complice$ dans l’attaque d’une banque … ! © Bell Canada, 2008. Tous droits réservés
  6. 6. Question : Y a-t-il des policiers dans la salle ? © Bell Canada, 2008. Tous droits réservés
  7. 7. Itinéraire du voyage… • Démonstrations 1) Scan d’un Intranet à partir d’Internet sans scanner… 2) Vous serez mes complice$ dans l’attaque d’une banque … ! Nous arriverons à destination malgré la présence de: - Logiciel antivirus et de postes de travail à jours; - Serveur Proxy; - Sonde de détection d’intrusion (IDS); - Coupe-feu. - N’utilisent pas de vulnérabilité dû à un système qui ne serait pas à jour au niveau des anti-virus et des rustines. - Seulement du Javascript et PHP via du HTTP sont utilisés. • Quelques solutions… © Bell Canada, 2008. Tous droits réservés
  8. 8. Audience visée Les gens d'informatique, de réseautique et de sécurité de l’information; Les policiers / enquêteurs; Ceux qui utilisent un ordinateur = Tout le monde; Les Psy…! © Bell Canada, 2008. Tous droits réservés
  9. 9. Tout est Web de nos jours : Routeurs Coupes-feu Imprimantes Téléphones Caméras Web Services transactionnels Etc. © Bell Canada, 2008. Tous droits réservés
  10. 10. WEB 1.0 versus WEB 2.0 © Bell Canada, 2008. Tous droits réservés
  11. 11. WEB 2.0 “Buzzwords” N’est pas un standard mais plutôt une série de principes d'utilisation de technologies existantes; N'est pas un « big bang » mais une succession de « small bang »; Révolution dans l'utilisation des technologies et non une révolution des technologies elles-mêmes; Fait appel à des technologies classiques qui sont désormais mûres et mieux maîtrisées (HTTP, (X)HTML, CSS, XML, ...) suivant une combinaison connue sous le nom d'Ajax; © Bell Canada, 2008. Tous droits réservés
  12. 12. AJAX © Bell Canada, 2008. Tous droits réservés
  13. 13. AJAX AJAX : Asynchronous JavaScript And XML AJAX n'est pas une technologie en elle-même, mais un terme qui évoque l'utilisation conjointe d'un ensemble de technologies libres couramment utilisées sur le Web : HTML (ou XHTML) pour la structure sémantique des informations CSS pour la présentation des informations DOM et JavaScript pour afficher et interagir dynamiquement avec l'information présentée XML… La tour de Babelle… plusieurs langages dans le même script !!! © Bell Canada, 2008. Tous droits réservés
  14. 14. Sécurité AJAX Augmente les attaques Donne accès aux API directement Plus simple pour le “reverse engineer” Les attaques de demain passeront par ces nouvelles technologies. © Bell Canada, 2008. Tous droits réservés
  15. 15. Javascript : Une force maléfique ? Langage de programmation de script principalement utilisé pour les pages web interactives. Ces scripts sont indépendants des systèmes d’exploitation et des fureteurs. Pouvons-nous vivre sur Internet avec javascript désactivé sur nos fureteurs ? © Bell Canada, 2008. Tous droits réservés
  16. 16. Javascript : Avec… © Bell Canada, 2008. Tous droits réservés
  17. 17. Javascript : Sans… © Bell Canada, 2008. Tous droits réservés
  18. 18. XSS Le Cross Site Scripting (XSS) est une attaque exploitant une faiblesse d'un site web qui ne valide pas ses paramètres en entrée. Un malfaiteur envoie du code non voulu à l'application, celle-ci envoie ensuite ce code à un autre utilisateur. Voici un exemple… © Bell Canada, 2008. Tous droits réservés
  19. 19. Exemple de XSS Site Web (très populaire) Internaute Site Web (vulnérable au XSS) © Bell Canada, 2008. Tous droits réservés
  20. 20. Exemple de XSS Site Web (très populaire) Internaute Site Web (vulnérable au XSS) © Bell Canada, 2008. Tous droits réservés
  21. 21. XSS Le Cross Site Scripting (XSS) est une attaque exploitant une faiblesse d'un site web qui ne valide pas ses paramètres en entrée. Un malfaiteur envoie du code non voulu à l'application, celle-ci envoie ensuite ce code à un autre utilisateur. Afficher du contenu subversif Rediriger l'utilisateur vers un autre site Voler l'information du client accessible par le site Web Télécharger un fichier à l’insu de l’internaute © Bell Canada, 2008. Tous droits réservés
  22. 22. XSS En fait, tous les sites web sont potentiellement vulnérables au XSS. Des failles XSS ont été trouvées dans les pages d'erreurs de serveurs Web (Apache Tomcat). Le balayage personnel fait par un ami a trouvé en une soirée via google 234 sites vulnérables au XSS. Selon Gartner, 70 % des sites transactionnels sont vulnérables à un XSS. © Bell Canada, 2008. Tous droits réservés
  23. 23. Info + Une firme de sécurité a identifié plus de 10 000 pages Web qui ont été piratées via des failles XSS par le même groupe de pirates informatiques. - www.itnews.com.au (mars 2008) Nous entendons souvent des avertissements de ne pas aller sur les sites auquels vous ne faites pas confiance : C’est une excellente idée, mais aujourd’hui même les sites auquels vous avez confiance peuvent être compromis sans que vous le sachiez. © Bell Canada, 2008. Tous droits réservés
  24. 24. www.xssed.com “Citibank's critical cross-site scripting vulnerabilities” - Août 2008 “HSBC web sites are open to critical XSS attacks” - Juin 2008 “Verisign, McAfee and Symantec sites can be used for phishing due to XSS” - Juin 2008 “New XSS flaws within eBay sites” - Mai 2008 “Facebook vulnerable to XSS. Over 70 million users are at risk.” - Mai 2008 © Bell Canada, 2008. Tous droits réservés
  25. 25. Démonstration L’attaque théorique: Scan d’un Intranet à partir d’Internet sans scanner… © Bell Canada, 2008. Tous droits réservés
  26. 26. Poste Windows Poste Linux IDS Coupe-feu Routeur Proxy Poste Macintosh Réseau Corporatif © Bell Canada, 2008. Tous droits réservés
  27. 27. Code PHP <iframe> www.michelcusin.com Hacker © Bell Canada, 2008. Tous droits réservés
  28. 28. OK www.michelcusin.com 01110100 10101010 00101010 Hacker © Bell Canada, 2008. Tous droits réservés
  29. 29. ET maintenant la banque $$$... © Bell Canada, 2008. Tous droits réservés
  30. 30. Code HTML <iframe> www.michelcusin.com Hacker © Bell Canada, 2008. Tous droits réservés
  31. 31. OK Code HTML <iframe> www.michelcusin.com © Bell Canada, 2008. Tous droits réservés
  32. 32. OK www.michelcusin.com 1) Code HTML 2) Javascript Serveur de dépôt de fichiers Proxy Anonyme © Bell Canada, 2008. Tous droits réservés
  33. 33. OK www.michelcusin.com 2) Javascript Serveur de dépôt de fichiers Proxy Anonyme Serveur Web Victime du scan © Bell Canada, 2008. Tous droits réservés
  34. 34. OK www.michelcusin.com Serveur de dépôt de fichiers Proxy Anonyme © Bell Canada, 2008. Tous droits réservés
  35. 35. Quelques pistes de solutions… Facteur humain; Valider toujours les paramètres en entrée et n'accepter que ce qui est explicitement autorisé; Auditer les applications Web à l'interne et à l'externe; Porter attention à la réutilisation de composantes qui n'ont pas été développées avec la sécurité en tête ou encore qui ont été téléchargées du net; Pares-feu: les mettre à jour, certaines techniques aideront à éviter ce genre d’attaque; Bloquer le traffic vers le RBN (russian business network). © Bell Canada, 2008. Tous droits réservés
  36. 36. Conclusion © Bell Canada, 2008. Tous droits réservés
  37. 37. Merci !!! © Bell Canada, 2008. Tous droits réservés
  38. 38. © Bell Canada, 2008. Tous droits réservés

×