SlideShare une entreprise Scribd logo
1  sur  36
Télécharger pour lire hors ligne
BLUE ACACIA

                                                      BLUE ACACIA




            LA SECURITE SUR LE WEB
Best Practice en matière de sécurité de sites web




  AUTEURS :
  ALEXANDRE NEY, EMILIEN TREHET ET FRANCOIS SUTTER   25 RUE DE MAUBEUGE 75009 PARIS   T. 01 56 43 32 00   T. 01 56 43 32 00   WWW.BLUEACACIA.COM
Sommaire
                                                                                                                    BLUE ACACIA
1    Introduction                                                                                                 Slide   04

2    Leçon numéro 1 : Sensibiliser ses équipes                                                                    Slide   06


3    Leçon numéro 2 : Sécuriser les URL                                                                           Slide   08


4    Leçon numéro 3 : Protéger les formulaires génériques des attaques JavaScript                                 Slide   10


5    Leçon numéro 4 : Verrouiller les formulaires d’identification                                                Slide   16


6    Leçon numéro 5 : Contrôler son CMS                                                                           Slide   21


7    Leçon numéro 6 : Protéger ses bases de données                                                               Slide   24


8    Leçon numéro 7 : Sécuriser ses passerelles                                                                   Slide   26


9    Leçon numéro 8 : Protéger ses serveurs d’hébergement                                                         Slide   30

10   Leçon numéro 9 : Protéger son réseau local                                                                   Slide   33

11   Fin                                                                                                          Slide   37



              BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A                   3
Introduction
                                                                                                                                         BLUE ACACIA
Qui peut aborder ce sujet en toute sérénité ?

 MAIS …
Après 10 ans d’expérience dans le web, plusieurs centaines de projets développés, plus de 400 clients, presque une centaine de sites marchands,
Blue acacia a une certaine légitimité a répondre à cette vaste problématique. Par contre, c’est un thème risqué car il implique : une absence de
langue De façon générale, iI devient de plus en plus difficile de hacker. manipulations évoquées.
 1) de bois et surtout des cas concrets. J’attire votre attention sur le caractère illicite de certaines

 2) De façon plus particulière, nous capitalisons sur une meilleure expérience chaque année.
Blue acacia est concernée car notre structure est exposée …

 3) ALes systèmes proposés par les banques assurent une bonne sécuritéowa, vpn, …)
      la fois développeur et hébergeur / Répartition sur 2 sites distants / Profil technophiles (wifi, oma, pour la vente en ligne.
      Croissance organique (de 33 personnes en 2008 à 54 personnes actuellement),
      Un parc serveur important (40 machines dédiées) / Plus de 2.000 urls hébergées,
 4)    La loi protège nos clients et nous sommes couverts par une                                                RC (non obligatoire).
      Plusieurs millions d’internautes chaque mois / 20 millions d’e-mails routés en 2008,

 5) Les technologies sont de plus en plus performantes :
… et parce que WAF
               nos clients et les données sont sensibles :
               Langages (.Net)
      Honda (Division Moto / Division Equipement / Intranet des 220 concessions),
               Virtualisation
      Presque 100 sites marchands,




             BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A                                         4
BLUE ACACIA



                                                                                                    SCREENSHOT DE TENTATIVES
                                                                                                        DE HACKING SERIEUSES
                                                                                                         SUR UN DE NOS SITES
                                                                                                      INTERCEPTEES PAR LE WAF
                                                                                                               ET L’IDS

                                                                                                        1) Injection SQL

                                                                                                    2) Attaque cross scripting

                                                                                                          3) Brut force

                                                                                                              4) …




BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A                                    5
BLUE ACACIA

         BLUE ACACIA




  LECON NUMERO 1 :
Sensibiliser ses équipes
LECON NUMERO 1 / Sensibiliser ses équipes
                                                                                                                  BLUE ACACIA
Créer une hiérarchie dans les développeurs :

      Directeur technique

      Responsables de Pôles (.Net, Php, Flah,…)



Mettre en place des fiches de procédures :

      Chez Blue acacia nous avons une « Blue school » pour éduquer nos développeurs (Chaines de
      connexion ou d’identifications par exemple)



Imposer un socle commun :

      Framework (3.5 sur le .Net, Zend en Php,…)

      Méthode de développement (MVC)

      Logiciels et pratiques de développement (VSS pour le .Net et SVN pour le reste)




              BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A                 7
BLUE ACACIA

      BLUE ACACIA




LECON NUMERO 2 :
  Sécuriser les URL
LECON NUMERO 2 / Sécuriser les URL
                                                                                                                   BLUE ACACIA
Définir une liste de caractères interdits dans une url :
       <SCRIPT> / SELECT / FROM / …

Choisir du SSL pour les sites marchands :
       Démo vidéo sur le déploiement d’un SSL sur du .Net

Interdire la navigation anonyme
       Blocage du mode « Parcourir » sur les serveurs web.

Contrôle de provenance :
        Pour éviter le pishing ou le cross scripting, toutes les pages ayant une
 action directe vers la base de données embarquent dans leurs entêtes un
script anti hameçonnage « anti pishing ».
        Contrôle de l’url de provenance via une commande
« request.ServerVariables("HTTP_REFERRER_X") » pour vérifier que
l’internaute ne tente pas de lancer une page de traitement depuis une ip
locale et/ou différente de celle du serveur du site.

Prévoir un système de surveillance :
      Déclencher des alertes pour l’utilisateur et pour l’administrateur.
      Exemple :
      http://www.aeroclub-st-tropez.com/aeroclub_st_tropez.asp?langue=fr&rubrique=1&id=8 and true



               BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A                 9
BLUE ACACIA

                          BLUE ACACIA




                   LECON NUMERO 3 :
Protéger les formulaires génériques des attaques JavaScript
LECON NUMERO 3 / Démo d’attaque par injection JavaScript
                                                                                                                           BLUE ACACIA
Saisie dans un formulaire d’un script malveillant pour rendre indisponible une interface d’administration :

     <SCRIPT LANGUAGE="Javascript">for(i=0;i<3;i++){;alert("Admin indisponible");}</SCRIPT>
     &#60;&#83;&#67;&#82;&#73;&#80;&#84;&#32;&#76;&#65;&#78;&#71;&#85;&#65;&#71;&#69;&#61;&#34;&#74;&#97;&#118;&#97;&#115
     ;&#99;&#114;&#105;&#112;&#116;&#34;&#62;&#102;&#111;&#114;&#40;&#105;&#61;&#48;&#59;&#105;&#60;&#51;&#59;&#105;&#32;
     &#32;&#41;&#123;&#59;&#97;&#108;&#101;&#114;&#116;&#40;&#34;&#65;&#100;&#109;&#105;&#110;&#32;&#105;&#110;&#100;&#1
     05;&#115;&#112;&#111;&#110;&#105;&#98;&#108;&#101;&#34;&#41;&#59;&#125;&#60;&#47;&#83;&#67;&#82;&#73;&#80;&#84;&#62

     Url de démo :
     [URL DE FRONT OFFICE SUPPRIMEE : pour des raisons de confidentialité]
     [URL DE MIDDLE OFFICE SUPPRIMEE : pour des raisons de confidentialité]



Accès direct aux pages ayant des traitements avec la base de données :

     [URL SUPPRIMEE : pour des raisons de confidentialité]

     <SCRIPT>window.open("http://<%
     response.write(request.servervariables("SERVER_NAME")&request.servervariables("PATH_INFO")&"?"&request.servervariables("QUERY_STRI
     NG")) %>")</SCRIPT>




             BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A                       11
LECON NUMERO 3 / Mesures de protection à mettre en place
                                                                                                                                         BLUE ACACIA
Définir une taille maximum sur les champs input :

      Mettre une propriété de type « Maxlength » sur les champs des formulaires.
      Le contrôle de la taille des champs « input » permet d’éviter la saisie de code.


Mettre en place des scripts pour contrôler le format des saisies faites par l’internaute :

      Contrôle de saisie pour éviter le stockage de données erronées
      (exemple du contrôle du format des e-mails).


Mettre en place des règles de gestion pour contrôler la syntaxe des contenus envoyés aux bases de données :

      Tous les formulaires devraient embarquer un script permettant de contrôler le type de données envoyées dans la base de données.
      Contrôle de caractères interdits via une liste d’expressions surveillées (%, script, drop table, …) pour éviter l’injection SQL.
      Formatage des données via un script « server.htmlencode » pour désactiver dans la base d’éventuels scripts malveillants.


Mettre en place un moteur de surveillance :

            Stockage de l’adresse IP de la personne effectuant la manœuvre non autorisée,
            Envoi d’une alerte e-mail à l’administrateur du site et au responsable sécurité de Blue acacia,
            Affichage d’un avertissement sur le navigateur de l’internaute.


               BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A                                   12
LECON NUMERO 3 / Exemples de scripts
                                                                                                                                BLUE ACACIA




                                                             CONTRÔLE DES VARIABLES                       CONTRÔLE DU DOMAINE
                                                                                                            ET DU REFERRER DE
                                                            VOYAGEANT DANS LES URLS                             L’INTERNAUTE

                                                                    CONTRÔLE SUR LA PROVENANCE DES PAGES APPELLEES

                                                                                   POUR EVITER LE CROSS SCRIPTING
      BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A                                   13
LECON NUMERO 3 / Exemples de scripts
                                                                                                                                          BLUE ACACIA


                                                                                                            1) DEFINITION D’UNE LISTE
                                                                                                              DE CARACTERE INTERDITS
                                                                                                                (script, nvarchar, drop
                                                                                                                        table, …)

                                                                                                             2) CONTRÔLE SUR LEUR
                                                                                                                 SYNTAXE (ascii, base
                                                                                                              64, binaire, avec et sans
                                                                                                                     espace, …)




  3) ENCODAGE DES CARACTERES EN
          BASE DE DONNEES

  4) RECUPERATION DE L’ADRESSE IP
   (même masquée derrière un proxy)



        BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A                                           14
LECON NUMERO 3 / Démo une fois les protections mises en place
                                                                                                                 BLUE ACACIA
Attaque par manipulation de variable dans l’url :

      [URL SUPPRIMEE : pour des raisons de confidentialité]

 1) Redirection vers l’accueilde développement que nous avons mis en place sur les dix dernières années
      Tout cet arsenal
 est entrain de disparaître grâce aux nouveaux framework (surtout le .Net) qui embarquent
 désormais la grande majorité des protections sur mesure que nous avions développé !
Attaque par injection de Javascript dans le formulaire :

      [URL SUPPRIMEE : pour des raisons de confidentialité]
 2) Concernant ce point Microsoft est largement en avance sur les environnements concurrents.
      Données non injectées en base + alerte


 3) Astuce : l’attaque du smtp par détournement de fonctionnalité :
Attaque par tentative d’accéder à une page qui a traitement avec une base de données :
     Récolter les e-mails d’une dizaine d’internautes qui se plaignent de spam
    [URL SUPPRIMEE à pour des raisons de confidentialité]
     Les inscrire : une newsletter ne nécessitant aucun confirmation.

      Page non accessible + alerte




             BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A             15
BLUE ACACIA

                  BLUE ACACIA




           LECON NUMERO 4 :
Verrouiller les formulaires d’identification
LECON NUMERO 4 / Casser une identification par injection SQL
                                                                                                                                     BLUE ACACIA
Attaque par détournement du couple login/mot de passe sur un extranet client :

     Exemple de faille sur un site e-commerce [URL SUPPRIMEE : pour des raisons de confidentialité]

     Exemple de faille sur un site de compagnie aérienne [URL SUPPRIMEE : pour des raisons de confidentialité]



Attaque par détournement du couple login/mot de passe sur une interface d’administration :

     Exemple de faille sur l’admin d’un site e-commerce d’une grande marque de Luxe [URL SUPPRIMEE : pour des raisons de confidentialité]

     Exemple de faille sur l’admin d’un corporate d’un groupe leader dans l’Industrie [URL SUPPRIMEE : pour des raisons de confidentialité]



Exemples d’injection :

     ' or ''='

     ' OR 1=1'); //




                 BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A                             17
LECON NUMERO 4 / Verrouiller les formulaires d’identification
                                                                                                                 BLUE ACACIA
Complexifier l’accès aux pages de l’interface d’administration :

      Ne pas créer un répertoire « /admin/ » à la racine du site.

      Privilégier une url complexe, un alias ou une authentification forte.

      Insérer une balise <META NAME="robots" content="noindex, nofollow"> dans les pages.

      Fichier robots.txt avec une variable de type « Disallow: /admin/ » pour bloquer l’accès
      aux répertoires parents/enfants.



Désactiver les injections SQL :

      Définir un nombre de tentatives maximum.

      Proposer du reset de mot de passe plutôt que de l’envoi par mail.

      Stocker les adresse IP des personnes identifiées et prévoir un système
      de surveillance et d’alertes.


             BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A             18
LECON NUMERO 4 / Verrouiller les formulaires d’identification
                                                                                                                        BLUE ACACIA
Mettre en place des règles pour la génération de futurs comptes :

     Pwd simple : Login = mot de passe = adresse IP (triple concordance).

     Pwd complexe : Login = mot de passe (couple simple avec un minimum
     de caractères imposés).



Sécuriser les mots de passe :

     Une des meilleurs techniques consiste à adopter une fonction de hachage
     cryptographique (conçue par la National Security Agency).
     En 1995, la norme était le « SHA 1 » (Secure Hash Algorithm), cassée en 2005.
     Une nouvelle norme doit voir le jour en 2012.
     Chez Blue acacia nous utilisons du SHA 512 (proposé par le Framework .Net)
     combiné avec un 2nd hash sous forme de variable additionnelle (« SALT »).

     Créer un premier compte dans la base de données, dont les droits seront désactivés avec une alerte en cas de connexion.



            BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A                     19
LECON NUMERO 4 / Exemples de scripts
                                                                                                                                     BLUE ACACIA



                                                                                             1) VERIFICATION DU CONTENU DES CHAMPS

                                                                                     2) VERIFICATION DU COMPTE DE SECURITE (1ERE LIGNE
                                                                                               DE LA BASE DE DONNEES DESACTIVEE)

                                                                                           3) VERIFICATION DE LA CHAINE DE CONNEXION

                                                                                                 4) VERIFICATION DE LA CONCORDANCE
                                                                                                           AVEC L’ADRESSE IP

                                                                                         5) CREATION DE LA SESSION ET AFFECTATION DES
                                                                                                    DROITS CORRESPONDANTS

                                                                                       6) LES SYSTEMES DE CAPTCHA NE SERVENT A RIEN SI
                                                                                                 UNE COUCHE W.A.F. EST INSTALLEE.




      BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A                                        20
BLUE ACACIA

      BLUE ACACIA




LECON NUMERO 5 :
Contrôler son CMS
LECON NUMERO 5 / Failles des CMS
                                                                                                                                       BLUE ACACIA
Pourquoi sur FCK : parce qu’il existe en asp, en php, en .Net, en coldfusion ….

      Accéder à la médiathèque
      *DEBUT DE L’URL SUPPRIMEE POUR RAISON DE
      SECURITE]/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp

      Naviguer dans l’arborescence serveur
      *DEBUT DE L’URL SUPPRIMEE POUR RAISON DE
      SECURITE]/editor/filemanager/browser/default/browser.html?Type=../../&Connector=connectors/asp/connector.asp



Historique de quelques petites failles sur d’autres CMS :

      Obtenir le code source d’une page en asp
      http://www.monsite.com/null.htw?CiWebHitsFile=/default.asp%20&CiRestriction=none&CiHiliteType=Full
      http://www.votresite.com/votrepage.asp::$DATA / http://www.votresite.com/global.asa+.htr

      Devenir administrateur d’un site utilisant Joomla
      http://www.example.com/index.php?option=com_gmaps&task=viewmap&Itemid=57&mapId=-
      1/**/union/**/select/**/0,username,password,3,4,5,6,7,8/**/from/**/jos_users/*

      Devenir administrateur d’un site utilisant PHP 123
      http://server.com/category.php?cat=-1/**/UNION/**/ALL/**/SELECT/**/1,concat(username,0x3a,password),3,4,5/**/FROM/**/admin/*
              http://server.com/category.php?cat=-1/**/UNION/**/ALL/**/SELECT/**/1,concat(username,0x3a,password),3,4,5/**/FROM/**/users/

              BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A                                  22
LECON NUMERO 5 / Contrôler son CMS
                                                                                                                                      BLUE ACACIA




                                                                                                          1) AUDITER LE CODE DU CMS

                                                                                         2) METTRE DES SESSIONS SECURISES SUR TOUTES LES
                                                                                                          PAGES D’UN CMS

                                                                                                 3) VERIFIER QUE LE CMS N’OUTREPASSE
                                                                                                        PAS LES DROITS SERVEURS
                                                                                             (Navigation anonyme, arborescence libre, upload
                                                                                                               d’exécutables)




      BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A                                         23
BLUE ACACIA

           BLUE ACACIA




     LECON NUMERO 6 :
Protéger ses bases de données
LECON NUMERO 6 / Protéger ses bases de données
                                                                                                                 BLUE ACACIA
Protection des données :

      Crypter les données des champs importants (mot de passe, …).
                 1) A la différence de MySQL, SQL server ne peut pas être accédé depuis le port 80
      Avant nous utilisions des tables avec une variable client différente pournavigateur. puisse
                                                          avec un simple qu’un hacker ne
      pas utiliser une injection identique d’un site à l’autre. Nous avons abandonné cette pratique depuis
      que nos développeurs utilisent l’objet.
            2) Il faut une couche logicielle (SQL Server Management Studio) ou un connecteur Access.
      Activation de l’option « TDE » (Transparent data Encryption) : encryptage des données
                                                 Toute connexion laisse donc des traces.
      de type log (« .ldf »), dump et base de données (« .mdf ») au cas ou un utilisateur accède aux
      données sans passer par le logiciel de Microsoft.



Protection des accès :

      Serveur SQL uniquement accessible sur le LAN de Blue acacia.

      Vérification de l’emplacement de stockage des répertoires des dump.
      Un hébergeur très connu stocke ses dump MySQL sur un même répertoire intitulé /code&sql/
      Le répertoire est accessible en navigation anonyme et que la syntaxe du dump est identique.


             BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A             25
BLUE ACACIA

         BLUE ACACIA




  LECON NUMERO 7 :
Sécuriser ses passerelles
LECON NUMERO 7 / Démo d’attaque sur un site Flash et Php
                                                                                                                             BLUE ACACIA
Accès aux scripts et analyse des failles d’une passerelle de type AMFPHP :

     Récupération du code et des classes du Flash
     Recherche de la passerelle amfphp dans le code extrait
     Accès direct à la passerelle via le navigateur
     Premier test (accès direct au browser de la passerelle, qui n’a manifestement pas été sécurisée par les développeurs)



Accès aux scripts et analyse des failles :

     Récupération du code et des classes du Flash
     Accès aux newsletters envoyées
     Accès aux répertoire images
     Accès aux fichiers XML de chaque utilisateurs …
     Plus embêtant : accès à la liste des inscrits de la base (nom, login, e-mail, mot de passe, …)
     accès aux sessions (avec la possibilité de créer une session par exemple …)
     Accès au code source avec la possibilité d’ « overwrite files ».
     On peut par exemple, directement modifier le code source de la page PHP qui ouvre les sessions des utilisateurs inscrits et
      sauvegarder les modifications de la page php : ce qui ferait planter le système d’authentification.


            BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A                          27
LECON NUMERO 7 / Récupération d’un contenu protégé
                                                                                                                BLUE ACACIA
Le cas des sites portails délivrant des contenus payants : [NOM SUPPRIME POUR RAISON DE SECURITE]

     Taper « %temp% » dans l’invite de commandes
     Vider la mémoire cache
     Utiliser un logiciel permettant d’unlocker le cache du navigateur utilisé
     Lancer en ligne l’écoute d’un fichier
     Récupérer et copier le fichier « plugtmp.php »
     Renommer le fichier « plugtmp.php » en le fichier « mp3 »



Le site [NOM SUPPRIME POUR RAISON DE SECURITE] en v2

     Taper « %temp% » dans l’invite de commandes
     Vider la mémoire cache
     Utiliser un logiciel permettant d’unlocker le cache du navigateur utilisé
     Lancer en ligne l’écoute d’un fichier
     Récupérer et linker les 5 fichiers (Grâce au byte array, le Flash permet de lire le fichier)




            BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A             28
LECON NUMERO 7 / Mesures de protection à mettre en place
                                                                                                                                BLUE ACACIA




              1) CELA NE SERT PLUS A RIEN D’OBFUSQUER LE CODE DU SWF (EXEMPLE DE HP SCAN)

    2) IL VAUT MIEUX SE CONCENTRER SUR LA SECURITE DE LA PASSERELLE ELLE-MEME (COTE SERVEUR)

                       3) L’EQUIVALENT MICROSOFT (FLUORINE) EST BEAUCOUP MIEUX SECURISE

                                       4) NOUS SOMMES ENTRAIN DE TESTER LA SECURITE DE
                                     LA TECHNOLOGIE DE SMOOTH STREAMING DE MICROSOFT



Exemples de techniques :

     Vérifier que le fichier SWF passe bien par la page qui diffuse le Flash (le client passe bien par le serveur web).
     Utiliser de l’authentification sécurisée (le FMS récupère l’id de la session, la transmet au serveur qui vérifie son existence et donne
     en retour une nouvelle clé unique au FMS qui la diffuse à son tour au client).
     Générer éventuellement un fichier SWF côté serveur qui expire.

            BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A                             29
BLUE ACACIA

              BLUE ACACIA




        LECON NUMERO 8 :
Protéger ses serveurs d’hébergement
LECON NUMERO 8 / Protéger ses serveurs d’hébergement
                                                                                                                BLUE ACACIA
Firewall redondé (Solution Pfsense) :

     Machine redondée
     Blocage des ports
           Hébergement normal : blocage de tous les ports sauf le port 80 (web)
           Hébergement SSL : blocage de tous les ports sauf les ports 80 (web) et 443 (SSL)
           Messagerie : blocage de tous les ports sauf le smtp
     Blocage des paquets



IDS (Intrusion Détection System)



WAF (Web Application Firewall)

     Protection contre l’injection SQL
     Protection contre la manipulation des variables dans l’URL
     Protection contre le cross scripting



            BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A             31
LECON NUMERO 8 / Protéger ses serveurs d’hébergement
                                                                                                                                         BLUE ACACIA
Serveurs :

      Protection physique : Datacenter certifié sécurisé, Contrôle d’accès, Baie fermée par digicode.

      Protection disques dur (Raid) : Protection électrique, Double alimentation, Matériel auto protégé.

      Protection thermique.

      Paramétrage
           Bios protégé par mot de passe / Interdiction de boot sur cédérom et USB.
           Compte administrateur par défaut désactivé (surveillé par l’IDS).

      Réseau étanche
            Les serveurs (y compris les virtuels) sont isolés entre eux au cas où une machine soit infectée (Solution Cisco : PV Lan).



Services :

      Pool application.




             BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A                                     32
BLUE ACACIA

      BLUE ACACIA




LECON NUMERO 9 :
 Protéger son Lan
LECON NUMERO 9 / Protéger son LAN
                                                                                                                             BLUE ACACIA
Réseau :

     Internet
                   Firewall (Solution PFsense).
                   Filtrage des url (Solution Microsoft : Internet Security & Acceleration Server).
                   Antivirus (Solution Kaspersky).

     Wifi
                   Avant : SSID masqué par brouilleur.
                   Maintenant : réglage de la portée par orientation de la diffusion et de la puissance du signal.
                   Clé WPA 2.

     RJ45 : Seule chose autorisée : accès au web (Si client en visite : réseau web étanche à part).

     VPN (Solution Microsoft)
                 Groupe direction (3 associés et directeur technique) : accès permanent.
                 Autres profils : gestion des droits à la volée. Par défaut aucun accès VPN n’est autorisé sauf demande exceptionnelle.




            BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A                          34
LECON NUMERO 9 / Protéger son LAN
                                                                                                                 BLUE ACACIA

Utilisateurs :

     Utilisateurs gérés par des groupes (Solution Microsoft : Advanced Group Policy Management).
                 Organisation par services et métiers (direction, commercial, réseaux, …).
                 Gestion fine (cas particuliers).



Parc informatique :

     Déploiement centralisé et gestion des mises à jour des logiciels Microsoft (Solution Microsoft : Windows Server Update
     Services).
     Migration progressive vers Windows Seven.
                 Actuellement 31 postes sur les 61.
                 Migration totale avant la fin de l’année.
     Antivirus (Solution Kaspersky)
     Serveurs
                 Usage interne (Intranet, Comptabilité, …) : Mot de passe changé tous les mois (15 caractères complexes).
                 Usage mixte (Serveurs de développement, …) : DMZ.

            BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A              35
LECON NUMERO 9 / Protéger son LAN
                                                                                                               BLUE ACACIA

Parc informatique :

    Machines clients
              Disques cryptés avec un mot de passe (Solution Microsoft : Windows BitLocker).
              Désactivation du stockage de masse USB (interdiction des périphériques USB).
              Politique cédérom : Si cd d’installation : pas de pb car aucun droits / Si cd de contenu : autorisé.
              Mots de passe : Min 7 caractères (alpha/numériques/spéciaux) / Obligation de changer tous les mois.

    Méthode de travail
             VSS pour les sites .Net (Solution Microsoft : Visual SourceSafe).
             SVN pour les sites Flash et Php (Solution Subversion).
             FTP : non accessible de l’extérieur (sauf demande du client).

    Données backupées (Solution Microsoft : System Center Data Protection Manager 2007 SP1)
             Retour arrière possible sur 2 semaines.
             Copies externalisées sur LTO-4.



           BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A             36
BLUE ACACIA

                                                                     BLUE ACACIA




Merci
                                                                François Sutter - Directeur Associé
                                                                    fsutter@blueacacia.com

                                                                 Olivier Baillet - Directeur Associé
                                                                     obaillet@blueacacia.com

                                                                 Xavier Baillet - Directeur Associé
                                                                    xbaillet@blueacacia.com

                                                           Valérie Herbelot- Directrice du développement
                                                                    vherbelot@blueacacia.com

                                                            Sébastien Serra – Chargé de clientèle
        AUTEURS :                                                    sserra@blueacacia.com
        ALEXANDRE NEY, EMILIEN TREHET ET FRANCOIS SUTTER            25 RUE DE MAUBEUGE 75009 PARIS         T. 01 56 43 32 00   T. 01 56 43 32 00   WWW.BLUEACACIA.COM

Contenu connexe

Tendances

Vulnérabilité des sites web
Vulnérabilité des sites webVulnérabilité des sites web
Vulnérabilité des sites webSaid Sadik
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
 
Rapport application chat
Rapport application chatRapport application chat
Rapport application chatTbatou sanae
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Sécurisation des Web Services SOAP contre les attaques par injection par la m...
Sécurisation des Web Services SOAP contre les attaques par injection par la m...Sécurisation des Web Services SOAP contre les attaques par injection par la m...
Sécurisation des Web Services SOAP contre les attaques par injection par la m...Zakaria SMAHI
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
Pipeline Devops - Intégration continue : ansible, jenkins, docker, jmeter...
Pipeline Devops - Intégration continue : ansible, jenkins, docker, jmeter...Pipeline Devops - Intégration continue : ansible, jenkins, docker, jmeter...
Pipeline Devops - Intégration continue : ansible, jenkins, docker, jmeter...XavierPestel
 
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...Nawres Farhat
 
DHCP sous Ubuntu
DHCP sous Ubuntu DHCP sous Ubuntu
DHCP sous Ubuntu Souhaib El
 
Alphorm.com Support de la formation Vmware Esxi 6.0
Alphorm.com Support de la formation Vmware Esxi 6.0Alphorm.com Support de la formation Vmware Esxi 6.0
Alphorm.com Support de la formation Vmware Esxi 6.0Alphorm
 
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm
 
Rapport PFE Développent d'une application bancaire mobile
Rapport PFE Développent d'une application bancaire mobileRapport PFE Développent d'une application bancaire mobile
Rapport PFE Développent d'une application bancaire mobileNader Somrani
 
Installation Zimbra.pdf
Installation Zimbra.pdfInstallation Zimbra.pdf
Installation Zimbra.pdfssuser64f0591
 
Virtualisation
VirtualisationVirtualisation
VirtualisationTsubichi
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 

Tendances (20)

Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite web
 
Vulnérabilité des sites web
Vulnérabilité des sites webVulnérabilité des sites web
Vulnérabilité des sites web
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
 
Rapport application chat
Rapport application chatRapport application chat
Rapport application chat
 
Sécurité des Applications Web avec Json Web Token (JWT)
Sécurité des Applications Web avec Json Web Token (JWT)Sécurité des Applications Web avec Json Web Token (JWT)
Sécurité des Applications Web avec Json Web Token (JWT)
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Sécurisation des Web Services SOAP contre les attaques par injection par la m...
Sécurisation des Web Services SOAP contre les attaques par injection par la m...Sécurisation des Web Services SOAP contre les attaques par injection par la m...
Sécurisation des Web Services SOAP contre les attaques par injection par la m...
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuelles
 
Pipeline Devops - Intégration continue : ansible, jenkins, docker, jmeter...
Pipeline Devops - Intégration continue : ansible, jenkins, docker, jmeter...Pipeline Devops - Intégration continue : ansible, jenkins, docker, jmeter...
Pipeline Devops - Intégration continue : ansible, jenkins, docker, jmeter...
 
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
 
Cours SNMP
Cours SNMPCours SNMP
Cours SNMP
 
DHCP sous Ubuntu
DHCP sous Ubuntu DHCP sous Ubuntu
DHCP sous Ubuntu
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 
Alphorm.com Support de la formation Vmware Esxi 6.0
Alphorm.com Support de la formation Vmware Esxi 6.0Alphorm.com Support de la formation Vmware Esxi 6.0
Alphorm.com Support de la formation Vmware Esxi 6.0
 
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentiel
 
Rapport PFE Développent d'une application bancaire mobile
Rapport PFE Développent d'une application bancaire mobileRapport PFE Développent d'une application bancaire mobile
Rapport PFE Développent d'une application bancaire mobile
 
Installation Zimbra.pdf
Installation Zimbra.pdfInstallation Zimbra.pdf
Installation Zimbra.pdf
 
Virtualisation
VirtualisationVirtualisation
Virtualisation
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 

En vedette

Internet et sécurité version 2014 01
Internet et sécurité version 2014 01Internet et sécurité version 2014 01
Internet et sécurité version 2014 01Profasser
 
Sécurité Web - Les bonnes pratiques pour Joomla
Sécurité Web - Les bonnes pratiques pour JoomlaSécurité Web - Les bonnes pratiques pour Joomla
Sécurité Web - Les bonnes pratiques pour JoomlaAtelier51
 
Accroître la sécurité de son site internet et de Joomla! plus spécifiquement
Accroître la sécurité de son site internet et de Joomla! plus spécifiquementAccroître la sécurité de son site internet et de Joomla! plus spécifiquement
Accroître la sécurité de son site internet et de Joomla! plus spécifiquementChristophe Avonture
 
Sécurité sur internet
Sécurité sur internetSécurité sur internet
Sécurité sur internetvchambon
 
Commerce électronique et services bancaires en ligne
Commerce électronique et services bancaires en ligneCommerce électronique et services bancaires en ligne
Commerce électronique et services bancaires en ligneCEFRIO
 
Sécurité des web services soap
Sécurité des web services soapSécurité des web services soap
Sécurité des web services soapZakaria SMAHI
 
Jeunes Internautes
Jeunes InternautesJeunes Internautes
Jeunes Internautesm4rylin
 
The 7 Pillars Of Ecommerce
The 7 Pillars Of EcommerceThe 7 Pillars Of Ecommerce
The 7 Pillars Of EcommerceFadi Shuman
 
exposé de E- commerce
exposé de E- commerceexposé de E- commerce
exposé de E- commerceAndery Ivan
 
Conference Powerpoint Presentations
Conference Powerpoint PresentationsConference Powerpoint Presentations
Conference Powerpoint Presentationsapdh1312
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domaines
JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domainesJCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domaines
JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domainesAfnic
 
Ma présentation PFE : Application Android & Site Web
Ma présentation PFE : Application Android & Site WebMa présentation PFE : Application Android & Site Web
Ma présentation PFE : Application Android & Site WebHarrathi Mohamed
 
Iscom Lyon display 2017 session 1
Iscom Lyon display 2017 session 1Iscom Lyon display 2017 session 1
Iscom Lyon display 2017 session 1D2b Consulting
 

En vedette (20)

Internet et sécurité version 2014 01
Internet et sécurité version 2014 01Internet et sécurité version 2014 01
Internet et sécurité version 2014 01
 
Sécurité Web - Les bonnes pratiques pour Joomla
Sécurité Web - Les bonnes pratiques pour JoomlaSécurité Web - Les bonnes pratiques pour Joomla
Sécurité Web - Les bonnes pratiques pour Joomla
 
Accroître la sécurité de son site internet et de Joomla! plus spécifiquement
Accroître la sécurité de son site internet et de Joomla! plus spécifiquementAccroître la sécurité de son site internet et de Joomla! plus spécifiquement
Accroître la sécurité de son site internet et de Joomla! plus spécifiquement
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite web
 
Sécurité sur internet
Sécurité sur internetSécurité sur internet
Sécurité sur internet
 
Cours Secu Web
Cours Secu WebCours Secu Web
Cours Secu Web
 
Ecommerce
EcommerceEcommerce
Ecommerce
 
It project
It projectIt project
It project
 
Commerce électronique et services bancaires en ligne
Commerce électronique et services bancaires en ligneCommerce électronique et services bancaires en ligne
Commerce électronique et services bancaires en ligne
 
Sécurité des web services soap
Sécurité des web services soapSécurité des web services soap
Sécurité des web services soap
 
Jeunes Internautes
Jeunes InternautesJeunes Internautes
Jeunes Internautes
 
The 7 Pillars Of Ecommerce
The 7 Pillars Of EcommerceThe 7 Pillars Of Ecommerce
The 7 Pillars Of Ecommerce
 
exposé de E- commerce
exposé de E- commerceexposé de E- commerce
exposé de E- commerce
 
Conference Powerpoint Presentations
Conference Powerpoint PresentationsConference Powerpoint Presentations
Conference Powerpoint Presentations
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
E commerce
E commerceE commerce
E commerce
 
JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domaines
JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domainesJCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domaines
JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domaines
 
Ma présentation PFE : Application Android & Site Web
Ma présentation PFE : Application Android & Site WebMa présentation PFE : Application Android & Site Web
Ma présentation PFE : Application Android & Site Web
 
Ppt for national conference
Ppt for national conferencePpt for national conference
Ppt for national conference
 
Iscom Lyon display 2017 session 1
Iscom Lyon display 2017 session 1Iscom Lyon display 2017 session 1
Iscom Lyon display 2017 session 1
 

Similaire à La sécurité sur le web

Owasp top 10 2010 Resist toulouse
Owasp top 10   2010  Resist toulouseOwasp top 10   2010  Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
Tuto atelier securisation_site_web
Tuto atelier securisation_site_webTuto atelier securisation_site_web
Tuto atelier securisation_site_websahar dridi
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french) Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french) Sergio Loureiro
 
Solutions linux ec2 surveillance
Solutions linux ec2 surveillanceSolutions linux ec2 surveillance
Solutions linux ec2 surveillanceSergio Loureiro
 
Filtrage WEB: SQUID ET SQUIDGARD
Filtrage WEB: SQUID ET SQUIDGARDFiltrage WEB: SQUID ET SQUIDGARD
Filtrage WEB: SQUID ET SQUIDGARDMohamet Lamine DIOP
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Witekio
 
Pourquoi choisir les technologies Microsoft
Pourquoi choisir les technologies MicrosoftPourquoi choisir les technologies Microsoft
Pourquoi choisir les technologies MicrosoftSofteam agency
 
Dcuci formation-cisco-data-center-unified-computing-implementation
Dcuci formation-cisco-data-center-unified-computing-implementationDcuci formation-cisco-data-center-unified-computing-implementation
Dcuci formation-cisco-data-center-unified-computing-implementationCERTyou Formation
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
Swsa formation-securiser-le-web-avec-cisco-web-security-appliance
Swsa formation-securiser-le-web-avec-cisco-web-security-applianceSwsa formation-securiser-le-web-avec-cisco-web-security-appliance
Swsa formation-securiser-le-web-avec-cisco-web-security-applianceCERTyou Formation
 
Vmco formation-vue-d-ensemble-de-la-solution-vmware-vcloud-director
Vmco formation-vue-d-ensemble-de-la-solution-vmware-vcloud-directorVmco formation-vue-d-ensemble-de-la-solution-vmware-vcloud-director
Vmco formation-vue-d-ensemble-de-la-solution-vmware-vcloud-directorCERTyou Formation
 
Inf4420 final a05-solutions
Inf4420 final a05-solutionsInf4420 final a05-solutions
Inf4420 final a05-solutionsmouad11
 

Similaire à La sécurité sur le web (20)

La Sécurité Sur Le Web
La Sécurité Sur Le WebLa Sécurité Sur Le Web
La Sécurité Sur Le Web
 
Owasp top 10 2010 Resist toulouse
Owasp top 10   2010  Resist toulouseOwasp top 10   2010  Resist toulouse
Owasp top 10 2010 Resist toulouse
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
Tuto atelier securisation_site_web
Tuto atelier securisation_site_webTuto atelier securisation_site_web
Tuto atelier securisation_site_web
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french) Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french)
 
Solutions linux ec2 surveillance
Solutions linux ec2 surveillanceSolutions linux ec2 surveillance
Solutions linux ec2 surveillance
 
Filtrage WEB: SQUID ET SQUIDGARD
Filtrage WEB: SQUID ET SQUIDGARDFiltrage WEB: SQUID ET SQUIDGARD
Filtrage WEB: SQUID ET SQUIDGARD
 
Snort
SnortSnort
Snort
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
 
Pourquoi choisir les technologies Microsoft
Pourquoi choisir les technologies MicrosoftPourquoi choisir les technologies Microsoft
Pourquoi choisir les technologies Microsoft
 
Dcuci formation-cisco-data-center-unified-computing-implementation
Dcuci formation-cisco-data-center-unified-computing-implementationDcuci formation-cisco-data-center-unified-computing-implementation
Dcuci formation-cisco-data-center-unified-computing-implementation
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
Swsa formation-securiser-le-web-avec-cisco-web-security-appliance
Swsa formation-securiser-le-web-avec-cisco-web-security-applianceSwsa formation-securiser-le-web-avec-cisco-web-security-appliance
Swsa formation-securiser-le-web-avec-cisco-web-security-appliance
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdf
 
Vmco formation-vue-d-ensemble-de-la-solution-vmware-vcloud-director
Vmco formation-vue-d-ensemble-de-la-solution-vmware-vcloud-directorVmco formation-vue-d-ensemble-de-la-solution-vmware-vcloud-director
Vmco formation-vue-d-ensemble-de-la-solution-vmware-vcloud-director
 
Inf4420 final a05-solutions
Inf4420 final a05-solutionsInf4420 final a05-solutions
Inf4420 final a05-solutions
 
Mon CV Detaillé
Mon CV Detaillé Mon CV Detaillé
Mon CV Detaillé
 

Plus de Softeam agency

Formation FI(A) : La navigation (Mise à Jour 30/10/2022)
Formation FI(A) : La navigation (Mise à Jour 30/10/2022)Formation FI(A) : La navigation (Mise à Jour 30/10/2022)
Formation FI(A) : La navigation (Mise à Jour 30/10/2022)Softeam agency
 
Formation FI(A) : Les règles d'emport carburant et le Part-NCO (MAJ 30/10/2022)
Formation FI(A) : Les règles d'emport carburant et le Part-NCO (MAJ 30/10/2022)Formation FI(A) : Les règles d'emport carburant et le Part-NCO (MAJ 30/10/2022)
Formation FI(A) : Les règles d'emport carburant et le Part-NCO (MAJ 30/10/2022)Softeam agency
 
Variante EFIS Glass Cockpit : Formation Garmin G1000
Variante EFIS Glass Cockpit : Formation Garmin G1000 Variante EFIS Glass Cockpit : Formation Garmin G1000
Variante EFIS Glass Cockpit : Formation Garmin G1000 Softeam agency
 
Cours PPL(A) : La radio et la circulation
Cours PPL(A) : La radio et la circulationCours PPL(A) : La radio et la circulation
Cours PPL(A) : La radio et la circulationSofteam agency
 
Cours PPL(A) : Les instruments et le groupe motopropulseur
Cours PPL(A) : Les instruments et le groupe motopropulseurCours PPL(A) : Les instruments et le groupe motopropulseur
Cours PPL(A) : Les instruments et le groupe motopropulseurSofteam agency
 
Cours PPL(A) : Connaissances générales, comment vole l'avion ?
Cours PPL(A) : Connaissances générales, comment vole l'avion ?Cours PPL(A) : Connaissances générales, comment vole l'avion ?
Cours PPL(A) : Connaissances générales, comment vole l'avion ?Softeam agency
 
Cours PPL(A) : Le vol en VFR de nuit
Cours PPL(A) : Le vol en VFR de nuitCours PPL(A) : Le vol en VFR de nuit
Cours PPL(A) : Le vol en VFR de nuitSofteam agency
 
Formation FI(A) : Les facteurs humains en VFR de nuit (Exposé AéroPyrénées)
Formation FI(A) : Les facteurs humains en VFR de nuit (Exposé AéroPyrénées)Formation FI(A) : Les facteurs humains en VFR de nuit (Exposé AéroPyrénées)
Formation FI(A) : Les facteurs humains en VFR de nuit (Exposé AéroPyrénées)Softeam agency
 
Formation FI(A) : La navigation (Briefing long AéroPyrénées)
Formation FI(A) : La navigation (Briefing long AéroPyrénées)Formation FI(A) : La navigation (Briefing long AéroPyrénées)
Formation FI(A) : La navigation (Briefing long AéroPyrénées)Softeam agency
 
Formation FI(A) : Le vol moteur réduit (Briefing long AéroPyrénées)
Formation FI(A) : Le vol moteur réduit (Briefing long AéroPyrénées)Formation FI(A) : Le vol moteur réduit (Briefing long AéroPyrénées)
Formation FI(A) : Le vol moteur réduit (Briefing long AéroPyrénées)Softeam agency
 
Formation FI(A) : Approches et atterrissages adaptés (Briefing long AéroPyrén...
Formation FI(A) : Approches et atterrissages adaptés (Briefing long AéroPyrén...Formation FI(A) : Approches et atterrissages adaptés (Briefing long AéroPyrén...
Formation FI(A) : Approches et atterrissages adaptés (Briefing long AéroPyrén...Softeam agency
 
Formation FI(A) : Le lâché (Briefing long AéroPyrénées)
Formation FI(A) : Le lâché (Briefing long AéroPyrénées)Formation FI(A) : Le lâché (Briefing long AéroPyrénées)
Formation FI(A) : Le lâché (Briefing long AéroPyrénées)Softeam agency
 
Formation FI(A) : Décollages et montées adaptées (Briefing long AéroPyrénées)
Formation FI(A) : Décollages et montées adaptées (Briefing long AéroPyrénées)Formation FI(A) : Décollages et montées adaptées (Briefing long AéroPyrénées)
Formation FI(A) : Décollages et montées adaptées (Briefing long AéroPyrénées)Softeam agency
 
Formation FI(A) : Les virages à grandes inclinaisons (Briefing long AéroPyrén...
Formation FI(A) : Les virages à grandes inclinaisons (Briefing long AéroPyrén...Formation FI(A) : Les virages à grandes inclinaisons (Briefing long AéroPyrén...
Formation FI(A) : Les virages à grandes inclinaisons (Briefing long AéroPyrén...Softeam agency
 
Formation FI(A) : L'atterrissage (Briefing long AéroPyrénées)
Formation FI(A) : L'atterrissage (Briefing long AéroPyrénées)Formation FI(A) : L'atterrissage (Briefing long AéroPyrénées)
Formation FI(A) : L'atterrissage (Briefing long AéroPyrénées)Softeam agency
 
Formation FI(A) : Approche à 1.3 Vs et API (Briefing long AéroPyrénées)
Formation FI(A) : Approche à 1.3 Vs et API (Briefing long AéroPyrénées)Formation FI(A) : Approche à 1.3 Vs et API (Briefing long AéroPyrénées)
Formation FI(A) : Approche à 1.3 Vs et API (Briefing long AéroPyrénées)Softeam agency
 
Formation FI(A) : Virages en palier, montée et descente. Symétrie du vol. (Br...
Formation FI(A) : Virages en palier, montée et descente. Symétrie du vol. (Br...Formation FI(A) : Virages en palier, montée et descente. Symétrie du vol. (Br...
Formation FI(A) : Virages en palier, montée et descente. Symétrie du vol. (Br...Softeam agency
 
Formation FI(A) : Assiette Trajectoire - Assiette Vitesse (Briefing long Aéro...
Formation FI(A) : Assiette Trajectoire - Assiette Vitesse (Briefing long Aéro...Formation FI(A) : Assiette Trajectoire - Assiette Vitesse (Briefing long Aéro...
Formation FI(A) : Assiette Trajectoire - Assiette Vitesse (Briefing long Aéro...Softeam agency
 
Formation FI(A) : Alignement et décollage (Briefing long AéroPyrénées)
Formation FI(A) : Alignement et décollage (Briefing long AéroPyrénées)Formation FI(A) : Alignement et décollage (Briefing long AéroPyrénées)
Formation FI(A) : Alignement et décollage (Briefing long AéroPyrénées)Softeam agency
 
Formation FI(A) : Les règles d'emport carburant et le Part-NCO (Exposé AéroPy...
Formation FI(A) : Les règles d'emport carburant et le Part-NCO (Exposé AéroPy...Formation FI(A) : Les règles d'emport carburant et le Part-NCO (Exposé AéroPy...
Formation FI(A) : Les règles d'emport carburant et le Part-NCO (Exposé AéroPy...Softeam agency
 

Plus de Softeam agency (20)

Formation FI(A) : La navigation (Mise à Jour 30/10/2022)
Formation FI(A) : La navigation (Mise à Jour 30/10/2022)Formation FI(A) : La navigation (Mise à Jour 30/10/2022)
Formation FI(A) : La navigation (Mise à Jour 30/10/2022)
 
Formation FI(A) : Les règles d'emport carburant et le Part-NCO (MAJ 30/10/2022)
Formation FI(A) : Les règles d'emport carburant et le Part-NCO (MAJ 30/10/2022)Formation FI(A) : Les règles d'emport carburant et le Part-NCO (MAJ 30/10/2022)
Formation FI(A) : Les règles d'emport carburant et le Part-NCO (MAJ 30/10/2022)
 
Variante EFIS Glass Cockpit : Formation Garmin G1000
Variante EFIS Glass Cockpit : Formation Garmin G1000 Variante EFIS Glass Cockpit : Formation Garmin G1000
Variante EFIS Glass Cockpit : Formation Garmin G1000
 
Cours PPL(A) : La radio et la circulation
Cours PPL(A) : La radio et la circulationCours PPL(A) : La radio et la circulation
Cours PPL(A) : La radio et la circulation
 
Cours PPL(A) : Les instruments et le groupe motopropulseur
Cours PPL(A) : Les instruments et le groupe motopropulseurCours PPL(A) : Les instruments et le groupe motopropulseur
Cours PPL(A) : Les instruments et le groupe motopropulseur
 
Cours PPL(A) : Connaissances générales, comment vole l'avion ?
Cours PPL(A) : Connaissances générales, comment vole l'avion ?Cours PPL(A) : Connaissances générales, comment vole l'avion ?
Cours PPL(A) : Connaissances générales, comment vole l'avion ?
 
Cours PPL(A) : Le vol en VFR de nuit
Cours PPL(A) : Le vol en VFR de nuitCours PPL(A) : Le vol en VFR de nuit
Cours PPL(A) : Le vol en VFR de nuit
 
Formation FI(A) : Les facteurs humains en VFR de nuit (Exposé AéroPyrénées)
Formation FI(A) : Les facteurs humains en VFR de nuit (Exposé AéroPyrénées)Formation FI(A) : Les facteurs humains en VFR de nuit (Exposé AéroPyrénées)
Formation FI(A) : Les facteurs humains en VFR de nuit (Exposé AéroPyrénées)
 
Formation FI(A) : La navigation (Briefing long AéroPyrénées)
Formation FI(A) : La navigation (Briefing long AéroPyrénées)Formation FI(A) : La navigation (Briefing long AéroPyrénées)
Formation FI(A) : La navigation (Briefing long AéroPyrénées)
 
Formation FI(A) : Le vol moteur réduit (Briefing long AéroPyrénées)
Formation FI(A) : Le vol moteur réduit (Briefing long AéroPyrénées)Formation FI(A) : Le vol moteur réduit (Briefing long AéroPyrénées)
Formation FI(A) : Le vol moteur réduit (Briefing long AéroPyrénées)
 
Formation FI(A) : Approches et atterrissages adaptés (Briefing long AéroPyrén...
Formation FI(A) : Approches et atterrissages adaptés (Briefing long AéroPyrén...Formation FI(A) : Approches et atterrissages adaptés (Briefing long AéroPyrén...
Formation FI(A) : Approches et atterrissages adaptés (Briefing long AéroPyrén...
 
Formation FI(A) : Le lâché (Briefing long AéroPyrénées)
Formation FI(A) : Le lâché (Briefing long AéroPyrénées)Formation FI(A) : Le lâché (Briefing long AéroPyrénées)
Formation FI(A) : Le lâché (Briefing long AéroPyrénées)
 
Formation FI(A) : Décollages et montées adaptées (Briefing long AéroPyrénées)
Formation FI(A) : Décollages et montées adaptées (Briefing long AéroPyrénées)Formation FI(A) : Décollages et montées adaptées (Briefing long AéroPyrénées)
Formation FI(A) : Décollages et montées adaptées (Briefing long AéroPyrénées)
 
Formation FI(A) : Les virages à grandes inclinaisons (Briefing long AéroPyrén...
Formation FI(A) : Les virages à grandes inclinaisons (Briefing long AéroPyrén...Formation FI(A) : Les virages à grandes inclinaisons (Briefing long AéroPyrén...
Formation FI(A) : Les virages à grandes inclinaisons (Briefing long AéroPyrén...
 
Formation FI(A) : L'atterrissage (Briefing long AéroPyrénées)
Formation FI(A) : L'atterrissage (Briefing long AéroPyrénées)Formation FI(A) : L'atterrissage (Briefing long AéroPyrénées)
Formation FI(A) : L'atterrissage (Briefing long AéroPyrénées)
 
Formation FI(A) : Approche à 1.3 Vs et API (Briefing long AéroPyrénées)
Formation FI(A) : Approche à 1.3 Vs et API (Briefing long AéroPyrénées)Formation FI(A) : Approche à 1.3 Vs et API (Briefing long AéroPyrénées)
Formation FI(A) : Approche à 1.3 Vs et API (Briefing long AéroPyrénées)
 
Formation FI(A) : Virages en palier, montée et descente. Symétrie du vol. (Br...
Formation FI(A) : Virages en palier, montée et descente. Symétrie du vol. (Br...Formation FI(A) : Virages en palier, montée et descente. Symétrie du vol. (Br...
Formation FI(A) : Virages en palier, montée et descente. Symétrie du vol. (Br...
 
Formation FI(A) : Assiette Trajectoire - Assiette Vitesse (Briefing long Aéro...
Formation FI(A) : Assiette Trajectoire - Assiette Vitesse (Briefing long Aéro...Formation FI(A) : Assiette Trajectoire - Assiette Vitesse (Briefing long Aéro...
Formation FI(A) : Assiette Trajectoire - Assiette Vitesse (Briefing long Aéro...
 
Formation FI(A) : Alignement et décollage (Briefing long AéroPyrénées)
Formation FI(A) : Alignement et décollage (Briefing long AéroPyrénées)Formation FI(A) : Alignement et décollage (Briefing long AéroPyrénées)
Formation FI(A) : Alignement et décollage (Briefing long AéroPyrénées)
 
Formation FI(A) : Les règles d'emport carburant et le Part-NCO (Exposé AéroPy...
Formation FI(A) : Les règles d'emport carburant et le Part-NCO (Exposé AéroPy...Formation FI(A) : Les règles d'emport carburant et le Part-NCO (Exposé AéroPy...
Formation FI(A) : Les règles d'emport carburant et le Part-NCO (Exposé AéroPy...
 

La sécurité sur le web

  • 1. BLUE ACACIA BLUE ACACIA LA SECURITE SUR LE WEB Best Practice en matière de sécurité de sites web AUTEURS : ALEXANDRE NEY, EMILIEN TREHET ET FRANCOIS SUTTER 25 RUE DE MAUBEUGE 75009 PARIS T. 01 56 43 32 00 T. 01 56 43 32 00 WWW.BLUEACACIA.COM
  • 2. Sommaire BLUE ACACIA 1 Introduction Slide 04 2 Leçon numéro 1 : Sensibiliser ses équipes Slide 06 3 Leçon numéro 2 : Sécuriser les URL Slide 08 4 Leçon numéro 3 : Protéger les formulaires génériques des attaques JavaScript Slide 10 5 Leçon numéro 4 : Verrouiller les formulaires d’identification Slide 16 6 Leçon numéro 5 : Contrôler son CMS Slide 21 7 Leçon numéro 6 : Protéger ses bases de données Slide 24 8 Leçon numéro 7 : Sécuriser ses passerelles Slide 26 9 Leçon numéro 8 : Protéger ses serveurs d’hébergement Slide 30 10 Leçon numéro 9 : Protéger son réseau local Slide 33 11 Fin Slide 37 BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 3
  • 3. Introduction BLUE ACACIA Qui peut aborder ce sujet en toute sérénité ? MAIS … Après 10 ans d’expérience dans le web, plusieurs centaines de projets développés, plus de 400 clients, presque une centaine de sites marchands, Blue acacia a une certaine légitimité a répondre à cette vaste problématique. Par contre, c’est un thème risqué car il implique : une absence de langue De façon générale, iI devient de plus en plus difficile de hacker. manipulations évoquées. 1) de bois et surtout des cas concrets. J’attire votre attention sur le caractère illicite de certaines 2) De façon plus particulière, nous capitalisons sur une meilleure expérience chaque année. Blue acacia est concernée car notre structure est exposée … 3) ALes systèmes proposés par les banques assurent une bonne sécuritéowa, vpn, …) la fois développeur et hébergeur / Répartition sur 2 sites distants / Profil technophiles (wifi, oma, pour la vente en ligne. Croissance organique (de 33 personnes en 2008 à 54 personnes actuellement), Un parc serveur important (40 machines dédiées) / Plus de 2.000 urls hébergées, 4) La loi protège nos clients et nous sommes couverts par une RC (non obligatoire). Plusieurs millions d’internautes chaque mois / 20 millions d’e-mails routés en 2008, 5) Les technologies sont de plus en plus performantes : … et parce que WAF nos clients et les données sont sensibles : Langages (.Net) Honda (Division Moto / Division Equipement / Intranet des 220 concessions), Virtualisation Presque 100 sites marchands, BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 4
  • 4. BLUE ACACIA SCREENSHOT DE TENTATIVES DE HACKING SERIEUSES SUR UN DE NOS SITES INTERCEPTEES PAR LE WAF ET L’IDS 1) Injection SQL 2) Attaque cross scripting 3) Brut force 4) … BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 5
  • 5. BLUE ACACIA BLUE ACACIA LECON NUMERO 1 : Sensibiliser ses équipes
  • 6. LECON NUMERO 1 / Sensibiliser ses équipes BLUE ACACIA Créer une hiérarchie dans les développeurs : Directeur technique Responsables de Pôles (.Net, Php, Flah,…) Mettre en place des fiches de procédures : Chez Blue acacia nous avons une « Blue school » pour éduquer nos développeurs (Chaines de connexion ou d’identifications par exemple) Imposer un socle commun : Framework (3.5 sur le .Net, Zend en Php,…) Méthode de développement (MVC) Logiciels et pratiques de développement (VSS pour le .Net et SVN pour le reste) BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 7
  • 7. BLUE ACACIA BLUE ACACIA LECON NUMERO 2 : Sécuriser les URL
  • 8. LECON NUMERO 2 / Sécuriser les URL BLUE ACACIA Définir une liste de caractères interdits dans une url : <SCRIPT> / SELECT / FROM / … Choisir du SSL pour les sites marchands : Démo vidéo sur le déploiement d’un SSL sur du .Net Interdire la navigation anonyme Blocage du mode « Parcourir » sur les serveurs web. Contrôle de provenance : Pour éviter le pishing ou le cross scripting, toutes les pages ayant une action directe vers la base de données embarquent dans leurs entêtes un script anti hameçonnage « anti pishing ». Contrôle de l’url de provenance via une commande « request.ServerVariables("HTTP_REFERRER_X") » pour vérifier que l’internaute ne tente pas de lancer une page de traitement depuis une ip locale et/ou différente de celle du serveur du site. Prévoir un système de surveillance : Déclencher des alertes pour l’utilisateur et pour l’administrateur. Exemple : http://www.aeroclub-st-tropez.com/aeroclub_st_tropez.asp?langue=fr&rubrique=1&id=8 and true BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 9
  • 9. BLUE ACACIA BLUE ACACIA LECON NUMERO 3 : Protéger les formulaires génériques des attaques JavaScript
  • 10. LECON NUMERO 3 / Démo d’attaque par injection JavaScript BLUE ACACIA Saisie dans un formulaire d’un script malveillant pour rendre indisponible une interface d’administration : <SCRIPT LANGUAGE="Javascript">for(i=0;i<3;i++){;alert("Admin indisponible");}</SCRIPT> &#60;&#83;&#67;&#82;&#73;&#80;&#84;&#32;&#76;&#65;&#78;&#71;&#85;&#65;&#71;&#69;&#61;&#34;&#74;&#97;&#118;&#97;&#115 ;&#99;&#114;&#105;&#112;&#116;&#34;&#62;&#102;&#111;&#114;&#40;&#105;&#61;&#48;&#59;&#105;&#60;&#51;&#59;&#105;&#32; &#32;&#41;&#123;&#59;&#97;&#108;&#101;&#114;&#116;&#40;&#34;&#65;&#100;&#109;&#105;&#110;&#32;&#105;&#110;&#100;&#1 05;&#115;&#112;&#111;&#110;&#105;&#98;&#108;&#101;&#34;&#41;&#59;&#125;&#60;&#47;&#83;&#67;&#82;&#73;&#80;&#84;&#62 Url de démo : [URL DE FRONT OFFICE SUPPRIMEE : pour des raisons de confidentialité] [URL DE MIDDLE OFFICE SUPPRIMEE : pour des raisons de confidentialité] Accès direct aux pages ayant des traitements avec la base de données : [URL SUPPRIMEE : pour des raisons de confidentialité] <SCRIPT>window.open("http://<% response.write(request.servervariables("SERVER_NAME")&request.servervariables("PATH_INFO")&"?"&request.servervariables("QUERY_STRI NG")) %>")</SCRIPT> BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 11
  • 11. LECON NUMERO 3 / Mesures de protection à mettre en place BLUE ACACIA Définir une taille maximum sur les champs input : Mettre une propriété de type « Maxlength » sur les champs des formulaires. Le contrôle de la taille des champs « input » permet d’éviter la saisie de code. Mettre en place des scripts pour contrôler le format des saisies faites par l’internaute : Contrôle de saisie pour éviter le stockage de données erronées (exemple du contrôle du format des e-mails). Mettre en place des règles de gestion pour contrôler la syntaxe des contenus envoyés aux bases de données : Tous les formulaires devraient embarquer un script permettant de contrôler le type de données envoyées dans la base de données. Contrôle de caractères interdits via une liste d’expressions surveillées (%, script, drop table, …) pour éviter l’injection SQL. Formatage des données via un script « server.htmlencode » pour désactiver dans la base d’éventuels scripts malveillants. Mettre en place un moteur de surveillance : Stockage de l’adresse IP de la personne effectuant la manœuvre non autorisée, Envoi d’une alerte e-mail à l’administrateur du site et au responsable sécurité de Blue acacia, Affichage d’un avertissement sur le navigateur de l’internaute. BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 12
  • 12. LECON NUMERO 3 / Exemples de scripts BLUE ACACIA CONTRÔLE DES VARIABLES CONTRÔLE DU DOMAINE ET DU REFERRER DE VOYAGEANT DANS LES URLS L’INTERNAUTE CONTRÔLE SUR LA PROVENANCE DES PAGES APPELLEES POUR EVITER LE CROSS SCRIPTING BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 13
  • 13. LECON NUMERO 3 / Exemples de scripts BLUE ACACIA 1) DEFINITION D’UNE LISTE DE CARACTERE INTERDITS (script, nvarchar, drop table, …) 2) CONTRÔLE SUR LEUR SYNTAXE (ascii, base 64, binaire, avec et sans espace, …) 3) ENCODAGE DES CARACTERES EN BASE DE DONNEES 4) RECUPERATION DE L’ADRESSE IP (même masquée derrière un proxy) BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 14
  • 14. LECON NUMERO 3 / Démo une fois les protections mises en place BLUE ACACIA Attaque par manipulation de variable dans l’url : [URL SUPPRIMEE : pour des raisons de confidentialité] 1) Redirection vers l’accueilde développement que nous avons mis en place sur les dix dernières années Tout cet arsenal est entrain de disparaître grâce aux nouveaux framework (surtout le .Net) qui embarquent désormais la grande majorité des protections sur mesure que nous avions développé ! Attaque par injection de Javascript dans le formulaire : [URL SUPPRIMEE : pour des raisons de confidentialité] 2) Concernant ce point Microsoft est largement en avance sur les environnements concurrents. Données non injectées en base + alerte 3) Astuce : l’attaque du smtp par détournement de fonctionnalité : Attaque par tentative d’accéder à une page qui a traitement avec une base de données : Récolter les e-mails d’une dizaine d’internautes qui se plaignent de spam [URL SUPPRIMEE à pour des raisons de confidentialité] Les inscrire : une newsletter ne nécessitant aucun confirmation. Page non accessible + alerte BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 15
  • 15. BLUE ACACIA BLUE ACACIA LECON NUMERO 4 : Verrouiller les formulaires d’identification
  • 16. LECON NUMERO 4 / Casser une identification par injection SQL BLUE ACACIA Attaque par détournement du couple login/mot de passe sur un extranet client : Exemple de faille sur un site e-commerce [URL SUPPRIMEE : pour des raisons de confidentialité] Exemple de faille sur un site de compagnie aérienne [URL SUPPRIMEE : pour des raisons de confidentialité] Attaque par détournement du couple login/mot de passe sur une interface d’administration : Exemple de faille sur l’admin d’un site e-commerce d’une grande marque de Luxe [URL SUPPRIMEE : pour des raisons de confidentialité] Exemple de faille sur l’admin d’un corporate d’un groupe leader dans l’Industrie [URL SUPPRIMEE : pour des raisons de confidentialité] Exemples d’injection : ' or ''=' ' OR 1=1'); // BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 17
  • 17. LECON NUMERO 4 / Verrouiller les formulaires d’identification BLUE ACACIA Complexifier l’accès aux pages de l’interface d’administration : Ne pas créer un répertoire « /admin/ » à la racine du site. Privilégier une url complexe, un alias ou une authentification forte. Insérer une balise <META NAME="robots" content="noindex, nofollow"> dans les pages. Fichier robots.txt avec une variable de type « Disallow: /admin/ » pour bloquer l’accès aux répertoires parents/enfants. Désactiver les injections SQL : Définir un nombre de tentatives maximum. Proposer du reset de mot de passe plutôt que de l’envoi par mail. Stocker les adresse IP des personnes identifiées et prévoir un système de surveillance et d’alertes. BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 18
  • 18. LECON NUMERO 4 / Verrouiller les formulaires d’identification BLUE ACACIA Mettre en place des règles pour la génération de futurs comptes : Pwd simple : Login = mot de passe = adresse IP (triple concordance). Pwd complexe : Login = mot de passe (couple simple avec un minimum de caractères imposés). Sécuriser les mots de passe : Une des meilleurs techniques consiste à adopter une fonction de hachage cryptographique (conçue par la National Security Agency). En 1995, la norme était le « SHA 1 » (Secure Hash Algorithm), cassée en 2005. Une nouvelle norme doit voir le jour en 2012. Chez Blue acacia nous utilisons du SHA 512 (proposé par le Framework .Net) combiné avec un 2nd hash sous forme de variable additionnelle (« SALT »). Créer un premier compte dans la base de données, dont les droits seront désactivés avec une alerte en cas de connexion. BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 19
  • 19. LECON NUMERO 4 / Exemples de scripts BLUE ACACIA 1) VERIFICATION DU CONTENU DES CHAMPS 2) VERIFICATION DU COMPTE DE SECURITE (1ERE LIGNE DE LA BASE DE DONNEES DESACTIVEE) 3) VERIFICATION DE LA CHAINE DE CONNEXION 4) VERIFICATION DE LA CONCORDANCE AVEC L’ADRESSE IP 5) CREATION DE LA SESSION ET AFFECTATION DES DROITS CORRESPONDANTS 6) LES SYSTEMES DE CAPTCHA NE SERVENT A RIEN SI UNE COUCHE W.A.F. EST INSTALLEE. BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 20
  • 20. BLUE ACACIA BLUE ACACIA LECON NUMERO 5 : Contrôler son CMS
  • 21. LECON NUMERO 5 / Failles des CMS BLUE ACACIA Pourquoi sur FCK : parce qu’il existe en asp, en php, en .Net, en coldfusion …. Accéder à la médiathèque *DEBUT DE L’URL SUPPRIMEE POUR RAISON DE SECURITE]/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp Naviguer dans l’arborescence serveur *DEBUT DE L’URL SUPPRIMEE POUR RAISON DE SECURITE]/editor/filemanager/browser/default/browser.html?Type=../../&Connector=connectors/asp/connector.asp Historique de quelques petites failles sur d’autres CMS : Obtenir le code source d’une page en asp http://www.monsite.com/null.htw?CiWebHitsFile=/default.asp%20&CiRestriction=none&CiHiliteType=Full http://www.votresite.com/votrepage.asp::$DATA / http://www.votresite.com/global.asa+.htr Devenir administrateur d’un site utilisant Joomla http://www.example.com/index.php?option=com_gmaps&task=viewmap&Itemid=57&mapId=- 1/**/union/**/select/**/0,username,password,3,4,5,6,7,8/**/from/**/jos_users/* Devenir administrateur d’un site utilisant PHP 123 http://server.com/category.php?cat=-1/**/UNION/**/ALL/**/SELECT/**/1,concat(username,0x3a,password),3,4,5/**/FROM/**/admin/* http://server.com/category.php?cat=-1/**/UNION/**/ALL/**/SELECT/**/1,concat(username,0x3a,password),3,4,5/**/FROM/**/users/ BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 22
  • 22. LECON NUMERO 5 / Contrôler son CMS BLUE ACACIA 1) AUDITER LE CODE DU CMS 2) METTRE DES SESSIONS SECURISES SUR TOUTES LES PAGES D’UN CMS 3) VERIFIER QUE LE CMS N’OUTREPASSE PAS LES DROITS SERVEURS (Navigation anonyme, arborescence libre, upload d’exécutables) BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 23
  • 23. BLUE ACACIA BLUE ACACIA LECON NUMERO 6 : Protéger ses bases de données
  • 24. LECON NUMERO 6 / Protéger ses bases de données BLUE ACACIA Protection des données : Crypter les données des champs importants (mot de passe, …). 1) A la différence de MySQL, SQL server ne peut pas être accédé depuis le port 80 Avant nous utilisions des tables avec une variable client différente pournavigateur. puisse avec un simple qu’un hacker ne pas utiliser une injection identique d’un site à l’autre. Nous avons abandonné cette pratique depuis que nos développeurs utilisent l’objet. 2) Il faut une couche logicielle (SQL Server Management Studio) ou un connecteur Access. Activation de l’option « TDE » (Transparent data Encryption) : encryptage des données Toute connexion laisse donc des traces. de type log (« .ldf »), dump et base de données (« .mdf ») au cas ou un utilisateur accède aux données sans passer par le logiciel de Microsoft. Protection des accès : Serveur SQL uniquement accessible sur le LAN de Blue acacia. Vérification de l’emplacement de stockage des répertoires des dump. Un hébergeur très connu stocke ses dump MySQL sur un même répertoire intitulé /code&sql/ Le répertoire est accessible en navigation anonyme et que la syntaxe du dump est identique. BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 25
  • 25. BLUE ACACIA BLUE ACACIA LECON NUMERO 7 : Sécuriser ses passerelles
  • 26. LECON NUMERO 7 / Démo d’attaque sur un site Flash et Php BLUE ACACIA Accès aux scripts et analyse des failles d’une passerelle de type AMFPHP : Récupération du code et des classes du Flash Recherche de la passerelle amfphp dans le code extrait Accès direct à la passerelle via le navigateur Premier test (accès direct au browser de la passerelle, qui n’a manifestement pas été sécurisée par les développeurs) Accès aux scripts et analyse des failles : Récupération du code et des classes du Flash Accès aux newsletters envoyées Accès aux répertoire images Accès aux fichiers XML de chaque utilisateurs … Plus embêtant : accès à la liste des inscrits de la base (nom, login, e-mail, mot de passe, …) accès aux sessions (avec la possibilité de créer une session par exemple …) Accès au code source avec la possibilité d’ « overwrite files ». On peut par exemple, directement modifier le code source de la page PHP qui ouvre les sessions des utilisateurs inscrits et sauvegarder les modifications de la page php : ce qui ferait planter le système d’authentification. BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 27
  • 27. LECON NUMERO 7 / Récupération d’un contenu protégé BLUE ACACIA Le cas des sites portails délivrant des contenus payants : [NOM SUPPRIME POUR RAISON DE SECURITE] Taper « %temp% » dans l’invite de commandes Vider la mémoire cache Utiliser un logiciel permettant d’unlocker le cache du navigateur utilisé Lancer en ligne l’écoute d’un fichier Récupérer et copier le fichier « plugtmp.php » Renommer le fichier « plugtmp.php » en le fichier « mp3 » Le site [NOM SUPPRIME POUR RAISON DE SECURITE] en v2 Taper « %temp% » dans l’invite de commandes Vider la mémoire cache Utiliser un logiciel permettant d’unlocker le cache du navigateur utilisé Lancer en ligne l’écoute d’un fichier Récupérer et linker les 5 fichiers (Grâce au byte array, le Flash permet de lire le fichier) BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 28
  • 28. LECON NUMERO 7 / Mesures de protection à mettre en place BLUE ACACIA 1) CELA NE SERT PLUS A RIEN D’OBFUSQUER LE CODE DU SWF (EXEMPLE DE HP SCAN) 2) IL VAUT MIEUX SE CONCENTRER SUR LA SECURITE DE LA PASSERELLE ELLE-MEME (COTE SERVEUR) 3) L’EQUIVALENT MICROSOFT (FLUORINE) EST BEAUCOUP MIEUX SECURISE 4) NOUS SOMMES ENTRAIN DE TESTER LA SECURITE DE LA TECHNOLOGIE DE SMOOTH STREAMING DE MICROSOFT Exemples de techniques : Vérifier que le fichier SWF passe bien par la page qui diffuse le Flash (le client passe bien par le serveur web). Utiliser de l’authentification sécurisée (le FMS récupère l’id de la session, la transmet au serveur qui vérifie son existence et donne en retour une nouvelle clé unique au FMS qui la diffuse à son tour au client). Générer éventuellement un fichier SWF côté serveur qui expire. BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 29
  • 29. BLUE ACACIA BLUE ACACIA LECON NUMERO 8 : Protéger ses serveurs d’hébergement
  • 30. LECON NUMERO 8 / Protéger ses serveurs d’hébergement BLUE ACACIA Firewall redondé (Solution Pfsense) : Machine redondée Blocage des ports Hébergement normal : blocage de tous les ports sauf le port 80 (web) Hébergement SSL : blocage de tous les ports sauf les ports 80 (web) et 443 (SSL) Messagerie : blocage de tous les ports sauf le smtp Blocage des paquets IDS (Intrusion Détection System) WAF (Web Application Firewall) Protection contre l’injection SQL Protection contre la manipulation des variables dans l’URL Protection contre le cross scripting BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 31
  • 31. LECON NUMERO 8 / Protéger ses serveurs d’hébergement BLUE ACACIA Serveurs : Protection physique : Datacenter certifié sécurisé, Contrôle d’accès, Baie fermée par digicode. Protection disques dur (Raid) : Protection électrique, Double alimentation, Matériel auto protégé. Protection thermique. Paramétrage Bios protégé par mot de passe / Interdiction de boot sur cédérom et USB. Compte administrateur par défaut désactivé (surveillé par l’IDS). Réseau étanche Les serveurs (y compris les virtuels) sont isolés entre eux au cas où une machine soit infectée (Solution Cisco : PV Lan). Services : Pool application. BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 32
  • 32. BLUE ACACIA BLUE ACACIA LECON NUMERO 9 : Protéger son Lan
  • 33. LECON NUMERO 9 / Protéger son LAN BLUE ACACIA Réseau : Internet Firewall (Solution PFsense). Filtrage des url (Solution Microsoft : Internet Security & Acceleration Server). Antivirus (Solution Kaspersky). Wifi Avant : SSID masqué par brouilleur. Maintenant : réglage de la portée par orientation de la diffusion et de la puissance du signal. Clé WPA 2. RJ45 : Seule chose autorisée : accès au web (Si client en visite : réseau web étanche à part). VPN (Solution Microsoft) Groupe direction (3 associés et directeur technique) : accès permanent. Autres profils : gestion des droits à la volée. Par défaut aucun accès VPN n’est autorisé sauf demande exceptionnelle. BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 34
  • 34. LECON NUMERO 9 / Protéger son LAN BLUE ACACIA Utilisateurs : Utilisateurs gérés par des groupes (Solution Microsoft : Advanced Group Policy Management). Organisation par services et métiers (direction, commercial, réseaux, …). Gestion fine (cas particuliers). Parc informatique : Déploiement centralisé et gestion des mises à jour des logiciels Microsoft (Solution Microsoft : Windows Server Update Services). Migration progressive vers Windows Seven. Actuellement 31 postes sur les 61. Migration totale avant la fin de l’année. Antivirus (Solution Kaspersky) Serveurs Usage interne (Intranet, Comptabilité, …) : Mot de passe changé tous les mois (15 caractères complexes). Usage mixte (Serveurs de développement, …) : DMZ. BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 35
  • 35. LECON NUMERO 9 / Protéger son LAN BLUE ACACIA Parc informatique : Machines clients Disques cryptés avec un mot de passe (Solution Microsoft : Windows BitLocker). Désactivation du stockage de masse USB (interdiction des périphériques USB). Politique cédérom : Si cd d’installation : pas de pb car aucun droits / Si cd de contenu : autorisé. Mots de passe : Min 7 caractères (alpha/numériques/spéciaux) / Obligation de changer tous les mois. Méthode de travail VSS pour les sites .Net (Solution Microsoft : Visual SourceSafe). SVN pour les sites Flash et Php (Solution Subversion). FTP : non accessible de l’extérieur (sauf demande du client). Données backupées (Solution Microsoft : System Center Data Protection Manager 2007 SP1) Retour arrière possible sur 2 semaines. Copies externalisées sur LTO-4. BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 36
  • 36. BLUE ACACIA BLUE ACACIA Merci François Sutter - Directeur Associé fsutter@blueacacia.com Olivier Baillet - Directeur Associé obaillet@blueacacia.com Xavier Baillet - Directeur Associé xbaillet@blueacacia.com Valérie Herbelot- Directrice du développement vherbelot@blueacacia.com Sébastien Serra – Chargé de clientèle AUTEURS : sserra@blueacacia.com ALEXANDRE NEY, EMILIEN TREHET ET FRANCOIS SUTTER 25 RUE DE MAUBEUGE 75009 PARIS T. 01 56 43 32 00 T. 01 56 43 32 00 WWW.BLUEACACIA.COM