Un peu de sécurité dans ce monde de Kiwi

Laurie-Anne Bourdain
Laurie-Anne BourdainRisk & Compliance Process Manager à ING Bank Belgium
UN PEU DE SÉCURITÉ DANS CE MONDE DE KIWI Laurie-Anne Bourdain Kiwi Party 2014 1
LA SÉCURITÉ RÉPONDS AUX RISQUES Confidentialité Intégrité Disponi- bilité 2
QU’EST-CE QUE JE VOUS SERT? Gestion de Risque • Analyse • Réponse • Évaluation On the Web again • Les Menaces de l’Internet • Comment les Mitiger • Quelques bonnes pratiques Questions 3
LES BASES DE LA GESTION DE RISQUES 4
UN CYCLE SANS FIN Gestion de Risque Analyse RéponseÉvaluation 5
S.T.R.I.D.E. (PROGRÈS) • Se faire passer pour quelqu’un ou quelque chose que l’on n’est pas. • Peut être utilisé pour modifier des données, un DoS… Spoofing • Modifier quelque chose sans en avoir le droit. • Le « defacing » en est l’exemple le plus visible.Tampering • Rejet de Responsabilité. • Affirmer ne pas avoir fait quelque chose (vrai ou pas). • Sert généralement à camoufler un « spoofing » ou « tampering ». Repudiation • Accéder à et publier des informations (généralement sensibles ou confidentielles). • Le cas Snowden est un bon exemple. Information Disclosure • Attaque qui a pour but d’empêcher les utilisateurs légitimes d’utiliser un service. • En le crashant, le ralentissant ou en saturant sa mémoire. Denial of Service • (Se) donner plus d’accès à un système. • Peut permettre un « tampering » ou « information disclosure » Elevation of Privilege 6
IDENTIFIER SES RISQUES Tous les sites ne sont pas exposés aux mêmes risques, mais il y a de grandes tendances (voir OWASP Top 10). Les questions à se poser:  Qu’est-ce qui peut valoir le coup d’attaquer mon site?  Quelle est ma visibilité?  Est-ce que des concurrents (ou moi-même) ont subit des attaques?  Quelles sont mes périodes critiques (fin de mois/d’année, release d’un super produit, grande annonce…)? Ne pas négliger ce qui semble improbable. 7
LA RÉPONSE… N’EST PAS 42 Mitiger Eliminer Transférer Accepter Risque 8
NE PAS TROP EN FAIRE 0 10 20 30 40 50 60 0 20 40 60 80 100 Coût des risques Coût des mesures de mitigation de risques Équilibre 9
ÉVALUER LES RISQUES Pour évaluer les risques on utiliser généralement la formule suivante: PPA = PPI * FA Ou: PPA : Prévision de Perte Annuelle PPI : Prévision de Perte Isolée FA : Fréquence Annuelle 10
ÉVALUER LES RISQUES Impact Faible Moyen Grave Catastrophique Probabilité Élevé Moyenne Faible Très faible 11
ON THE WEB AGAIN 12
OWASP TOP 10 OWASP Top 10 2013 A1 Injection A2 Broken Authentication & Session Management A3 Cross-Site Scripting (XSS) A4 Insecure Direct Object References A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Missing Function Level Access Control A8 Cross-Site Request Forgery (CSRF) A9 Using Unknown Vulnerable Components A10 Unvalidated Redirects and Forwards 13 Plus d’info: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
LES UTILISATEURS  Identification, authentification et autorisation: Identifier: demander qui est l’utilisateur Authentifier: vérifier qui est l’utilisateur Autoriser: donner des accès à l’utilisateur L’authentification et les autorisations de l’utilisateur doivent être vérifiée pour chacune de ses actions. Les autorisations doivent être données selon les principes du « least privilege » et du « Need-to-Know »  Non-repudiation: Être capable d’identifier l’auteur des problèmes. Toutes les actions utilisateurs doivent être loguées. Ces logs doivent être protégés en écriture. 14
LES UTILISATEURS, BIS  Injections SQL: Vérifier le type de données si possible; Échapper les caractères spéciaux (mysqli_real_escape_string()); Utiliser des requêtes pré-formatées:  $stmt = $dbh->prepare("SELECT * FROM users WHERE USERNAME = ? AND PASSWORD = ?"); $stmt- >execute(array($username, $password));  La requête pré-formatée n’accepte que les données attendues et est plus rapide (quand il y a plusieurs requêtes identiques à exécuter). 15
LE DÉVELOPPEUR  Porte Dérobées (Backdoor) / Porte de Debug Porte Dérobée = Pas Bien Porte de Debug = Pas Bien en Production Les portes dérobées sont des moyens d’entrée non documentés, sans mot de passe et/ou contournant les mesures de sécurité d’une application. Les portes de debug sont la même chose, mais leur but est d’offrir, lors du développement, des accès facile pour tester les fonctionnalités d’une application. Elles doivent toujours être supprimées avant de déployer en production. L’utilisateur « admin » (mdp = admin) est une backdoor. 16
LE DÉVELOPPEUR, BIS  Version et Documentation Versionner son code permet de repartir sur une base saine lors de développements futurs. Éviter les développement à La RACHE©®™  Patcher Toujours utiliser les dernières versions de Biblio, API… Patchez également vos softwares et serveurs.  Testez, Testez, Testez ! 17
L’HÉBERGEMENT  Backup Vérifiez quelle est la politique de backup de votre hébergeur. Comparez la à vos besoins. Si nécessaire, faites les backups vous-même  Politique de destruction du matériel Savez-vous ce qu’il advient des disques qui ont hébergé vos données lorsqu’ils sont en fin de vie?  DoS Dans la plupart des cas, les attaques DoS seront gérées par votre hébergeur et son ISP.  Continuité Si la continuité est critique pour votre activité, prévoyez un plan de secours (autre hébergeur). 18
LES AUTRES  Il existe des attaques contre lesquelles, on ne peux rien faire. Sauf éduquer les utilisateurs et signaler les attaques en cours. Phishing Dangling Pointer (Lien moisi) 19
QUESTIONS ? 20
1 sur 20

Un peu de sécurité dans ce monde de Kiwi

Télécharger pour lire hors ligne
Présentations et discours publics

Présentation donnée pendant la Kiwi Party 2014 Rapide introduction des menaces pour les sites web.

Laurie-Anne Bourdain
Laurie-Anne BourdainRisk & Compliance Process Manager à ING Bank Belgium

Recommandé

La Quete du code source fiable et sécurisé - GSDAYS 2015 par
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015Sebastien Gioria
4.2K vues35 diapositives
Securing your API and mobile application - API Connection FR par
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
1.5K vues23 diapositives
Securite des Applications dans le Cloud par
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
953 vues18 diapositives
2013 03-01 automatiser les tests sécurité par
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
1.7K vues54 diapositives
Guide de securite php par
Guide de securite phpGuide de securite php
Guide de securite phpbelfkih
4.9K vues33 diapositives
20100114 Waf V0.7 par
20100114 Waf V0.720100114 Waf V0.7
20100114 Waf V0.7Sébastien GIORIA
1.8K vues42 diapositives

Contenu connexe

Tendances

OWASP Top10 2013 - Présentation aux RSSIA 2013 par
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013Sébastien GIORIA
1.8K vues86 diapositives
OWASP TOP 10 Proactive par
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 ProactiveAbdessamad TEMMAR
928 vues23 diapositives
Les menaces applicatives par
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
2.2K vues20 diapositives
Analyser la sécurité de son code source avec SonarSource par
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
3.9K vues23 diapositives
Pourquoi les antivirus ne sont pas vos amis par
Pourquoi les antivirus ne sont pas vos amisPourquoi les antivirus ne sont pas vos amis
Pourquoi les antivirus ne sont pas vos amisPrénom Nom de famille
228 vues2 diapositives
Geek handbook par
Geek handbookGeek handbook
Geek handbookSamuel Beaurepaire
125 vues7 diapositives

Tendances(11)

OWASP Top10 2013 - Présentation aux RSSIA 2013 par Sébastien GIORIA
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013
Sébastien GIORIA1.8K vues
OWASP TOP 10 Proactive par Abdessamad TEMMAR
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
Abdessamad TEMMAR928 vues
Les menaces applicatives par Bee_Ware
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
Bee_Ware2.2K vues
Analyser la sécurité de son code source avec SonarSource par Sébastien GIORIA
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
Sébastien GIORIA3.9K vues
Pourquoi les antivirus ne sont pas vos amis par Prénom Nom de famille
Pourquoi les antivirus ne sont pas vos amisPourquoi les antivirus ne sont pas vos amis
Pourquoi les antivirus ne sont pas vos amis
Prénom Nom de famille228 vues
Geek handbook par Samuel Beaurepaire
Geek handbookGeek handbook
Geek handbook
Samuel Beaurepaire125 vues
Les principales failles de sécurité des applications Web actuelles par Xavier Kress
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
Xavier Kress9.1K vues
SonarQube et la Sécurité par Sébastien GIORIA
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
Sébastien GIORIA3.1K vues
Maitriser le code PHP par Damien Seguy
Maitriser le code PHPMaitriser le code PHP
Maitriser le code PHP
Damien Seguy1.5K vues
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 par Patrick Leclerc
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Patrick Leclerc2.3K vues
Les 5 risques les plus critiques des applications Web selon l'OWASP par yaboukir
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
yaboukir9.8K vues

Similaire à Un peu de sécurité dans ce monde de Kiwi

2011 02-08-ms tech-days-sdl-sgi-v02 par
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
663 vues43 diapositives
Gestion d'incidents pour développeurs par
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeursHarvey Francois
2.2K vues32 diapositives
Atelier Technique RAPID7 ACSS 2018 par
Atelier Technique RAPID7 ACSS 2018Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018African Cyber Security Summit
286 vues38 diapositives
Avast 10 points clés de la sécurité informatique des pme par
Avast 10 points clés de la sécurité informatique des pmeAvast 10 points clés de la sécurité informatique des pme
Avast 10 points clés de la sécurité informatique des pmeAntivirusAvast
353 vues16 diapositives
Sand Blast Agent Anti Ransomware Presentation par
Sand Blast Agent Anti Ransomware PresentationSand Blast Agent Anti Ransomware Presentation
Sand Blast Agent Anti Ransomware PresentationAGILLY
55 vues31 diapositives
Réussir facilement sa migration antivirus par
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirusNRC
1.3K vues16 diapositives

Similaire à Un peu de sécurité dans ce monde de Kiwi(20)

2011 02-08-ms tech-days-sdl-sgi-v02 par Sébastien GIORIA
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
Sébastien GIORIA663 vues
Gestion d'incidents pour développeurs par Harvey Francois
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeurs
Harvey Francois2.2K vues
Atelier Technique RAPID7 ACSS 2018 par African Cyber Security Summit
Atelier Technique RAPID7 ACSS 2018Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018
African Cyber Security Summit286 vues
Avast 10 points clés de la sécurité informatique des pme par AntivirusAvast
Avast 10 points clés de la sécurité informatique des pmeAvast 10 points clés de la sécurité informatique des pme
Avast 10 points clés de la sécurité informatique des pme
AntivirusAvast353 vues
Sand Blast Agent Anti Ransomware Presentation par AGILLY
Sand Blast Agent Anti Ransomware PresentationSand Blast Agent Anti Ransomware Presentation
Sand Blast Agent Anti Ransomware Presentation
AGILLY55 vues
Réussir facilement sa migration antivirus par NRC
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
NRC1.3K vues
OWASP Mobile Top10 - Les 10 risques sur les mobiles par Sébastien GIORIA
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
Sébastien GIORIA3.5K vues
Sécurisation d'un site internet par waggaland
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
waggaland600 vues
Drupal, les hackers, la sécurité & les (très) grands comptes par Skilld
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
Skilld888 vues
Durcissement de code - Sécurité Applicative Web par Cyrille Grandval
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
Cyrille Grandval2.8K vues
Conseils de survie pour hiérarchiser les cybermenaces par Open Source Experience
Conseils de survie pour hiérarchiser les cybermenacesConseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenaces
Open Source Experience60 vues
Petit-déjeuner "Cultiver l'art du code de qualité... Afin de livrer plus vite... par OCTO Technology
Petit-déjeuner "Cultiver l'art du code de qualité... Afin de livrer plus vite...Petit-déjeuner "Cultiver l'art du code de qualité... Afin de livrer plus vite...
Petit-déjeuner "Cultiver l'art du code de qualité... Afin de livrer plus vite...
OCTO Technology1.1K vues
Management des risques IT, levier de gouvernance de la sécurité des SI par PECB
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SI
PECB 1.3K vues
ABTest : un outil indispensable pour être « data-driven » ? par Laurent VION par La Cuisine du Web
ABTest : un outil indispensable pour être « data-driven » ? par Laurent VIONABTest : un outil indispensable pour être « data-driven » ? par Laurent VION
ABTest : un outil indispensable pour être « data-driven » ? par Laurent VION
La Cuisine du Web140 vues
2012 03-02-sdl-sgi-v03 par Sébastien GIORIA
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
Sébastien GIORIA1.1K vues
EBIOS Risk Manager par Comsoce
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
Comsoce3.6K vues
Présentation Méthode EBIOS Risk Manager par Comsoce
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
Comsoce4.8K vues
Sécurité informatique - Etat des menaces par Maxime ALAY-EDDINE
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
Maxime ALAY-EDDINE3.7K vues
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"... par ASIP Santé
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
ASIP Santé3.4K vues
Conférence: L'assurance qualité au-delà de la qualité logicielle par geosaa
Conférence: L'assurance qualité au-delà de la qualité logicielleConférence: L'assurance qualité au-delà de la qualité logicielle
Conférence: L'assurance qualité au-delà de la qualité logicielle
geosaa1.3K vues

Un peu de sécurité dans ce monde de Kiwi

  • 1. UN PEU DE SÉCURITÉ DANS CE MONDE DE KIWI Laurie-Anne Bourdain Kiwi Party 2014 1
  • 2. LA SÉCURITÉ RÉPONDS AUX RISQUES Confidentialité Intégrité Disponi- bilité 2
  • 3. QU’EST-CE QUE JE VOUS SERT? Gestion de Risque • Analyse • Réponse • Évaluation On the Web again • Les Menaces de l’Internet • Comment les Mitiger • Quelques bonnes pratiques Questions 3
  • 4. LES BASES DE LA GESTION DE RISQUES 4
  • 5. UN CYCLE SANS FIN Gestion de Risque Analyse RéponseÉvaluation 5
  • 6. S.T.R.I.D.E. (PROGRÈS) • Se faire passer pour quelqu’un ou quelque chose que l’on n’est pas. • Peut être utilisé pour modifier des données, un DoS… Spoofing • Modifier quelque chose sans en avoir le droit. • Le « defacing » en est l’exemple le plus visible.Tampering • Rejet de Responsabilité. • Affirmer ne pas avoir fait quelque chose (vrai ou pas). • Sert généralement à camoufler un « spoofing » ou « tampering ». Repudiation • Accéder à et publier des informations (généralement sensibles ou confidentielles). • Le cas Snowden est un bon exemple. Information Disclosure • Attaque qui a pour but d’empêcher les utilisateurs légitimes d’utiliser un service. • En le crashant, le ralentissant ou en saturant sa mémoire. Denial of Service • (Se) donner plus d’accès à un système. • Peut permettre un « tampering » ou « information disclosure » Elevation of Privilege 6
  • 7. IDENTIFIER SES RISQUES Tous les sites ne sont pas exposés aux mêmes risques, mais il y a de grandes tendances (voir OWASP Top 10). Les questions à se poser:  Qu’est-ce qui peut valoir le coup d’attaquer mon site?  Quelle est ma visibilité?  Est-ce que des concurrents (ou moi-même) ont subit des attaques?  Quelles sont mes périodes critiques (fin de mois/d’année, release d’un super produit, grande annonce…)? Ne pas négliger ce qui semble improbable. 7
  • 8. LA RÉPONSE… N’EST PAS 42 Mitiger Eliminer Transférer Accepter Risque 8
  • 9. NE PAS TROP EN FAIRE 0 10 20 30 40 50 60 0 20 40 60 80 100 Coût des risques Coût des mesures de mitigation de risques Équilibre 9
  • 10. ÉVALUER LES RISQUES Pour évaluer les risques on utiliser généralement la formule suivante: PPA = PPI * FA Ou: PPA : Prévision de Perte Annuelle PPI : Prévision de Perte Isolée FA : Fréquence Annuelle 10
  • 11. ÉVALUER LES RISQUES Impact Faible Moyen Grave Catastrophique Probabilité Élevé Moyenne Faible Très faible 11
  • 12. ON THE WEB AGAIN 12
  • 13. OWASP TOP 10 OWASP Top 10 2013 A1 Injection A2 Broken Authentication & Session Management A3 Cross-Site Scripting (XSS) A4 Insecure Direct Object References A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Missing Function Level Access Control A8 Cross-Site Request Forgery (CSRF) A9 Using Unknown Vulnerable Components A10 Unvalidated Redirects and Forwards 13 Plus d’info: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
  • 14. LES UTILISATEURS  Identification, authentification et autorisation: Identifier: demander qui est l’utilisateur Authentifier: vérifier qui est l’utilisateur Autoriser: donner des accès à l’utilisateur L’authentification et les autorisations de l’utilisateur doivent être vérifiée pour chacune de ses actions. Les autorisations doivent être données selon les principes du « least privilege » et du « Need-to-Know »  Non-repudiation: Être capable d’identifier l’auteur des problèmes. Toutes les actions utilisateurs doivent être loguées. Ces logs doivent être protégés en écriture. 14
  • 15. LES UTILISATEURS, BIS  Injections SQL: Vérifier le type de données si possible; Échapper les caractères spéciaux (mysqli_real_escape_string()); Utiliser des requêtes pré-formatées:  $stmt = $dbh->prepare("SELECT * FROM users WHERE USERNAME = ? AND PASSWORD = ?"); $stmt- >execute(array($username, $password));  La requête pré-formatée n’accepte que les données attendues et est plus rapide (quand il y a plusieurs requêtes identiques à exécuter). 15
  • 16. LE DÉVELOPPEUR  Porte Dérobées (Backdoor) / Porte de Debug Porte Dérobée = Pas Bien Porte de Debug = Pas Bien en Production Les portes dérobées sont des moyens d’entrée non documentés, sans mot de passe et/ou contournant les mesures de sécurité d’une application. Les portes de debug sont la même chose, mais leur but est d’offrir, lors du développement, des accès facile pour tester les fonctionnalités d’une application. Elles doivent toujours être supprimées avant de déployer en production. L’utilisateur « admin » (mdp = admin) est une backdoor. 16
  • 17. LE DÉVELOPPEUR, BIS  Version et Documentation Versionner son code permet de repartir sur une base saine lors de développements futurs. Éviter les développement à La RACHE©®™  Patcher Toujours utiliser les dernières versions de Biblio, API… Patchez également vos softwares et serveurs.  Testez, Testez, Testez ! 17
  • 18. L’HÉBERGEMENT  Backup Vérifiez quelle est la politique de backup de votre hébergeur. Comparez la à vos besoins. Si nécessaire, faites les backups vous-même  Politique de destruction du matériel Savez-vous ce qu’il advient des disques qui ont hébergé vos données lorsqu’ils sont en fin de vie?  DoS Dans la plupart des cas, les attaques DoS seront gérées par votre hébergeur et son ISP.  Continuité Si la continuité est critique pour votre activité, prévoyez un plan de secours (autre hébergeur). 18
  • 19. LES AUTRES  Il existe des attaques contre lesquelles, on ne peux rien faire. Sauf éduquer les utilisateurs et signaler les attaques en cours. Phishing Dangling Pointer (Lien moisi) 19