DRUPAL, LES HACKERS, LA SéCURITé 
& LES (TRèS) GRANDS COMPTES
jbguerraz@SKILLD:~$ whoami 
● 13 ans d' IP 
– Vidéo : VOD & Live (Web, Mobiles & Télé) 
– Voix & Vidéo sur IP / Télécommun...
La sEcurité, hier, C'était ... 
1ère icône : 
la défense 
gouvernementale 
made in US' 
<source label="Washington Post" hr...
La sEcurité, hier, C'était ... 
2ème icône 
Le standard sécurité 
du paiement par carte 
bancaire 
<source label="Washingt...
La sEcurité, hier, C'était ... 
3èMe icône : 
LA NOTRE ! :) 
<source label="Presse Citron" href="http://bit.ly/1tORbEo" />
La sEcurité, aujourd'hui, qu'est-ce ? 
ᄇ 
2 milliards de dollars 
de dommages 
pour Sony 
Et ça continue ! 
<source label=...
La sEcurité, aujourd'hui, qu'est-ce ? 
40 Millions de 
numéros de cartes 
de crédits 
70 millions de 
données 
personnelle...
La sEcurité, aujourd'hui, qu'est-ce ? 
20 Millions de 
numéros de cartes 
de crédits 
40 % de la 
population sud 
coréenne...
La sEcurité, aujourd'hui, qu'est-ce ? 
4.6 million de 
comptes (numéros 
de téléphone 
compris!) 
90 000 photos 
9 000 vid...
La sEcurité, aujourd'hui, qu'est-ce ? 
150 million de 
comptes (N° de 
cartes de crédits 
compris) 
Code source des 
produ...
La sEcurité, aujourd'hui, qu'est-ce ? 
Données personnelles 
de 4,5 million de PATIENTS 
(numéros de sécurité sociale) 
<s...
La sEcurité, aujourd'hui, qu'est-ce ? 
Les plus grosses failles du monde ! 
PAR Volume PAR Sensibilité 
<source label="Inf...
La sEcurité, demain, ce sera ?
La sEcurité, demain, ce sera ? 
Bulletin de sécurité 
https://www.drupal.org/PSA-2014-003 
<source label="BBC" href="http:...
La sEcurité, demain, ce sera ? 
Difficile ? 
<source label="Tor Onions" href="%00" />
La sEcurité, demain, ce sera ? 
Difficile, vraiment ? 
<source label="Mitnick Security" href="http://bit.ly/1oTMb5K" />
Préoccupations des Grands comptes ? 
$
Préoccupations des Grands comptes ? 
4,8 M€ 
3,89 M€ 
+20,5 % 
2013 
2014 
Coût annuel du Cybercrime en France 
<source la...
Préoccupations des Grands comptes ? 
Malware 
18 
16 
14 
12 
10 
8 
6 
4 
2 
Virus, Vers, Trojans 
Phishing & Social 
Att...
Préoccupations des Grands comptes ? 
Répartition du coût du Cybercrime en 
France par type d'attaque 
Malware 
18 
16 
14 ...
Préoccupations des Grands comptes ? 
Détection Restauration Containment Investigation Ex-post response Incident mngt 
40 
...
Préoccupations des Grands comptes ? 
Détection Restauration Containment Investigation Ex-post response Incident mngt 
40 
...
Préoccupations des Grands comptes ? 
Impact sur la clientèle / la marque ? 
Perte de clientèle (%) post-piratage par pays ...
Comment vendre Drupal ? 
Drupal est utilisé par plus de 130 nations ! 
(sur 197) 
<source label="Acquia" href="http://bit....
Comment vendre Drupal ?
Comment vendre Drupal ?
Comment vendre Drupal ? 
Drupal security Team 
Une équipe dédiée à la sécurité 
, depuis 2005, 
composée de 43 personnes 
...
Comment vendre Drupal ? 
Drupal security Team 
Une capacité de communication et de mobilisation éprouvée 
<source label="B...
Comment vendre Drupal ? 
La concurrence et la sécurité ? 
Java : 
● Adobe Experience 
Manager (CQ5) 
● HP Autonomy Teamsit...
Comment vendre Drupal ? 
La concurrence et la sécurité ? 
Java : 
● Adobe Experience 
Manager (CQ5) 
● HP Autonomy Teamsit...
<source label="VentureBeat" href="http://bit.ly/1zMsh0y" /> 
<source label="La Tribune" href="http://bit.ly/113SdW4" />
Comment vendre Drupal ? 
La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ? 
La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ? 
La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ? 
La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ? 
La concurrence et la sécurité ? - Adobe Experience Manager (Cq5)
Comment vendre Drupal ? 
La concurrence et la sécurité ? - Adobe Experience Manager (Cq5) 
1
Comment vendre Drupal ? 
Dégager du budget pour renforcer la sécurité ?
OWASp, Kezako ? 
Open Web Application Security Project 
LA liste des 10 risques les plus CRITIQUES pour les 
applications ...
OWASp, Kezako ? 
● A1 – Injection 
● A2 – Authentification & Sessions 
● A3 – XSS 
● A4 – références directes 
● A5 – conf...
Drupal & Owasp : tu peux pas test ! 
(euh...) 
<source label="Drupal Security Report" href="http://bit.ly/1EIGBXI" />
Drupal & Owasp : tu peux pas test ! 
(euh...) 
XSS – la réponse Drupal ? 
Trop c'est mieux que 
pas assez ! 
~ 
Mettez en ...
Drupal & Owasp : tu peux pas test ! 
(euh...) 
Access bypass – la réponse Drupal ? 
<?php 
function monmodule_menu() { 
$i...
Drupal & Owasp : tu peux pas test ! 
(euh...) 
CSRF – la réponse Drupal ? 
Les Jetons ! 
Offert par la form API, sans effo...
Drupal & Owasp : tu peux pas test ! 
(euh...) 
SQL Injection – la réponse Drupal ? 
PHP PDO « façon Drupal » : DBTNG 
<?ph...
● Seckit 
● Paranoia 
● Google Authenticator Login 
● Two Factors Authentication 
● Encrypt 
● Flood control 
● Session li...
Recommandez Un ou deux chiens de garde ! 
+ 
= 
Les WAF A la rescousse !
We have met the enemy !
We have met the enemy ! 
Google 
DorkS
We have met the enemy ! 
GIThub 
DorkS
Merci :-) 
@jbguerraz 
jbguerraz@skilld.fr 
http://www.skilld.fr
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
Prochain SlideShare
Chargement dans…5
×

Drupal, les hackers, la sécurité & les (très) grands comptes

581 vues

Publié le

Les projets Drupal d'envergure s'intègrent toujours au sein d'un SI complexe avec de forts enjeux de sécurité. Pas une semaine sans un scandale d'intrusion, de piratage ou de problème de sécurité informatique, qui peuvent coûter des centaines de millions d'euros (cf. Sony).
Comment vendre Drupal vis à vis des attentes et des craintes des grands comptes vis à vis de la sécurité ?
Comment Drupal adresse les principaux risques identifiés OWASP ?
Comment sécuriser une application Drupal au plus haut niveau ?

Publié dans : Internet
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
581
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5
Actions
Partages
0
Téléchargements
11
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Drupal, les hackers, la sécurité & les (très) grands comptes

  1. 1. DRUPAL, LES HACKERS, LA SéCURITé & LES (TRèS) GRANDS COMPTES
  2. 2. jbguerraz@SKILLD:~$ whoami ● 13 ans d' IP – Vidéo : VOD & Live (Web, Mobiles & Télé) – Voix & Vidéo sur IP / Télécommunications – Applications clients/serveurs (Win/Mac/Linux/Mobiles) – Sites Web ● Dont 6 ans de Drupal ● Dir. Tech & Co-fondateur de Skilld
  3. 3. La sEcurité, hier, C'était ... 1ère icône : la défense gouvernementale made in US' <source label="Washington Post" href="http://wapo.st/1wvGybr" />
  4. 4. La sEcurité, hier, C'était ... 2ème icône Le standard sécurité du paiement par carte bancaire <source label="Washington Post" href="http://wapo.st/1wvGybr" />
  5. 5. La sEcurité, hier, C'était ... 3èMe icône : LA NOTRE ! :) <source label="Presse Citron" href="http://bit.ly/1tORbEo" />
  6. 6. La sEcurité, aujourd'hui, qu'est-ce ? ᄇ 2 milliards de dollars de dommages pour Sony Et ça continue ! <source label="CNN" href="http://cnnmon.ie/1yDYPFR" /> <source label="La Tribune" href="http://bit.ly/1xUd8Gq" />
  7. 7. La sEcurité, aujourd'hui, qu'est-ce ? 40 Millions de numéros de cartes de crédits 70 millions de données personnelles Et... 5 millions de dollars de DOMMAGES Pour target ! <source label="Silicon.fr" href="http://bit.ly/11mNeRu" />
  8. 8. La sEcurité, aujourd'hui, qu'est-ce ? 20 Millions de numéros de cartes de crédits 40 % de la population sud coréenne Et... 3 têtes qui s'offrent ! <source label="CNN" href="http://cnnmon.ie/1aob1nw" />
  9. 9. La sEcurité, aujourd'hui, qu'est-ce ? 4.6 million de comptes (numéros de téléphone compris!) 90 000 photos 9 000 vidéos <source label="The Verge" href="http://bit.ly/1gmPevh" />
  10. 10. La sEcurité, aujourd'hui, qu'est-ce ? 150 million de comptes (N° de cartes de crédits compris) Code source des produits Adobe « Adobe Acrobat, ColdFusion, ColdFusion Builder and other Adobe products » <source label="The Verge" href="http://bit.ly/1pXxJdX" />
  11. 11. La sEcurité, aujourd'hui, qu'est-ce ? Données personnelles de 4,5 million de PATIENTS (numéros de sécurité sociale) <source label="Reuters" href="http://reut.rs/1tkLkcN" />
  12. 12. La sEcurité, aujourd'hui, qu'est-ce ? Les plus grosses failles du monde ! PAR Volume PAR Sensibilité <source label="InformationIsBeautiful" href="http://bit.ly/19xscQO" />
  13. 13. La sEcurité, demain, ce sera ?
  14. 14. La sEcurité, demain, ce sera ? Bulletin de sécurité https://www.drupal.org/PSA-2014-003 <source label="BBC" href="http://bbc.in/1zm1N5N" />
  15. 15. La sEcurité, demain, ce sera ? Difficile ? <source label="Tor Onions" href="%00" />
  16. 16. La sEcurité, demain, ce sera ? Difficile, vraiment ? <source label="Mitnick Security" href="http://bit.ly/1oTMb5K" />
  17. 17. Préoccupations des Grands comptes ? $
  18. 18. Préoccupations des Grands comptes ? 4,8 M€ 3,89 M€ +20,5 % 2013 2014 Coût annuel du Cybercrime en France <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  19. 19. Préoccupations des Grands comptes ? Malware 18 16 14 12 10 8 6 4 2 Virus, Vers, Trojans Phishing & Social Attaque Web Code malicieux Enemi de l'intérieur Matériel volé (d)DoS Botnets 0 2013 2014 Répartition du coût du Cybercrime en France par type d'attaque <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  20. 20. Préoccupations des Grands comptes ? Répartition du coût du Cybercrime en France par type d'attaque Malware 18 16 14 12 10 8 6 4 2 Virus, Vers, Trojans Phishing & Social Attaque Web Code malicieux Enemi de l'intérieur Matériel volé (d)DoS Botnets 0 2013 2014 <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  21. 21. Préoccupations des Grands comptes ? Détection Restauration Containment Investigation Ex-post response Incident mngt 40 35 30 25 20 15 10 5 0 2013 2014 Répartition du coût du Cybercrime en France par source d'activités <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  22. 22. Préoccupations des Grands comptes ? Détection Restauration Containment Investigation Ex-post response Incident mngt 40 35 30 25 20 15 10 5 0 2013 2014 Répartition du coût du Cybercrime en France par source d'activités <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  23. 23. Préoccupations des Grands comptes ? Impact sur la clientèle / la marque ? Perte de clientèle (%) post-piratage par pays FR IT UK US JP DE AU ID BZ AB France : CHAMPIONS du monde ! 5 4,5 4 3,5 3 2,5 2 1,5 1 0,5 0 2013 2014 <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  24. 24. Comment vendre Drupal ? Drupal est utilisé par plus de 130 nations ! (sur 197) <source label="Acquia" href="http://bit.ly/1znS8bX" />
  25. 25. Comment vendre Drupal ?
  26. 26. Comment vendre Drupal ?
  27. 27. Comment vendre Drupal ? Drupal security Team Une équipe dédiée à la sécurité , depuis 2005, composée de 43 personnes ~50% de la taille des équipes concurrentes ?!
  28. 28. Comment vendre Drupal ? Drupal security Team Une capacité de communication et de mobilisation éprouvée <source label="BBC" href="http://bbc.in/1zm1N5N" />
  29. 29. Comment vendre Drupal ? La concurrence et la sécurité ? Java : ● Adobe Experience Manager (CQ5) ● HP Autonomy Teamsite ● Jive ● Lithium .Net : ● Sitecore ● SDL Tridion ● Ektron CMS
  30. 30. Comment vendre Drupal ? La concurrence et la sécurité ? Java : ● Adobe Experience Manager (CQ5) ● HP Autonomy Teamsite ● Jive ● Lithium .Net : ● Sitecore ● SDL Tridion ● Ektron CMS <source label="White Hat Sec" href="http://bit.ly/1EIFO98" />
  31. 31. <source label="VentureBeat" href="http://bit.ly/1zMsh0y" /> <source label="La Tribune" href="http://bit.ly/113SdW4" />
  32. 32. Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
  33. 33. Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
  34. 34. Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
  35. 35. Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
  36. 36. Comment vendre Drupal ? La concurrence et la sécurité ? - Adobe Experience Manager (Cq5)
  37. 37. Comment vendre Drupal ? La concurrence et la sécurité ? - Adobe Experience Manager (Cq5) 1
  38. 38. Comment vendre Drupal ? Dégager du budget pour renforcer la sécurité ?
  39. 39. OWASp, Kezako ? Open Web Application Security Project LA liste des 10 risques les plus CRITIQUES pour les applications web (mise a jour chaque année !) aussi, un ensemble : ● D'outils ● De méthodes ● De conseils ● ... & Une communauté !
  40. 40. OWASp, Kezako ? ● A1 – Injection ● A2 – Authentification & Sessions ● A3 – XSS ● A4 – références directes ● A5 – configurations ● A6 – Exposition de données sensibles ● A7 – Contrôle d'accès ● A8 – CSRF ● A9 – Dépendances ● A10 - Redirections
  41. 41. Drupal & Owasp : tu peux pas test ! (euh...) <source label="Drupal Security Report" href="http://bit.ly/1EIGBXI" />
  42. 42. Drupal & Owasp : tu peux pas test ! (euh...) XSS – la réponse Drupal ? Trop c'est mieux que pas assez ! ~ Mettez en « partout » ;) ~ P.S : t('utilisez les @placeholders pour vos chaînes traductibles');
  43. 43. Drupal & Owasp : tu peux pas test ! (euh...) Access bypass – la réponse Drupal ? <?php function monmodule_menu() { $items['admin/monmodule/configuration'] = array( 'title' => 'Configuration de MonModule', 'page callback' => 'drupal_get_form', 'page arguments' => array('monmodule_config_form'), 'access arguments' => array('administer monmodule'), ); return $items; }?> <?php function monmodule_faitletrucquivabien() { … if(user_access('lapermissionquivabien')) { //Ok, faisons donc le truc qui va bien } … }?>
  44. 44. Drupal & Owasp : tu peux pas test ! (euh...) CSRF – la réponse Drupal ? Les Jetons ! Offert par la form API, sans effort $csrf_token = drupal_get_token() ; … if(drupal_valid_token($csrf_token) ){ //Ok, let's do it ! } … supplémentaire ! ET au besoin, pour le get :
  45. 45. Drupal & Owasp : tu peux pas test ! (euh...) SQL Injection – la réponse Drupal ? PHP PDO « façon Drupal » : DBTNG <?php function monmodule_faitletrucquivabien() { … $arguments = array(':name' => $name, ':uid' => $uid); db_select('dbtng_example') ->fields('dbtng_example') ->where('uid = :uid AND name = :name', $arguments) ->execute(); … }?>
  46. 46. ● Seckit ● Paranoia ● Google Authenticator Login ● Two Factors Authentication ● Encrypt ● Flood control ● Session limit ● Auto log out ● Secure login / secure pages (bien que... HTTPS uniquement !) ● Md5 check MODULES
  47. 47. Recommandez Un ou deux chiens de garde ! + = Les WAF A la rescousse !
  48. 48. We have met the enemy !
  49. 49. We have met the enemy ! Google DorkS
  50. 50. We have met the enemy ! GIThub DorkS
  51. 51. Merci :-) @jbguerraz jbguerraz@skilld.fr http://www.skilld.fr

×