DRUPAL, LES HACKERS, LA SéCURITé
& LES (TRèS) GRANDS COMPTES
jbguerraz@SKILLD:~$ whoami
●
13 ans d' IP
– Vidéo : VOD & Live (Web, Mobiles & Télé)
– Voix & Vidéo sur IP / Télécommunica...
La sEcurité, hier, C'était ...
1ère icône :
la défense
gouvernementale
made in US'
<source label="Washington Post" href="h...
La sEcurité, hier, C'était ...
2ème icône
Le standard sécurité
du paiement par carte
bancaire
<source label="Washington Po...
La sEcurité, hier, C'était ...
3èMe icône :
LA NOTRE ! :)
<source label="Presse Citron" href="http://bit.ly/1tORbEo" />
La sEcurité, aujourd'hui, qu'est-ce ?
ᄇ
2 milliards de dollars
de dommages
pour Sony
Et ça continue !
<source label="La Tr...
La sEcurité, aujourd'hui, qu'est-ce ?
40 Millions de
numéros de cartes
de crédits
70 millions de
données
personnelles
Et.....
La sEcurité, aujourd'hui, qu'est-ce ?
20 Millions de
numéros de cartes
de crédits
40 % de la
population sud
coréenne
Et......
La sEcurité, aujourd'hui, qu'est-ce ?
4.6 million de
comptes (numéros
de téléphone
compris!)
90 000 photos
9 000 vidéos
<s...
La sEcurité, aujourd'hui, qu'est-ce ?
150 million de
comptes (N° de
cartes de crédits
compris)
Code source des
produits Ad...
La sEcurité, aujourd'hui, qu'est-ce ?
Données personnelles
de 4,5 million de PATIENTS
(numéros de sécurité sociale)
<sourc...
La sEcurité, aujourd'hui, qu'est-ce ?
PAR Volume PAR Sensibilité
Les plus grosses failles du monde !
<source label="Inform...
La sEcurité, demain, ce sera ?
La sEcurité, demain, ce sera ?
Bulletin de sécurité
https://www.drupal.org/PSA-2014-003
<source label="BBC" href="http://b...
La sEcurité, demain, ce sera ?
Difficile ?
<source label="Tor Onions" href="%00" />
La sEcurité, demain, ce sera ?
Difficile, vraiment ?
<source label="Mitnick Security" href="http://bit.ly/1oTMb5K" />
Préoccupations des Grands comptes ?
$
Préoccupations des Grands comptes ?
4,8 M€
3,89 M€
+20,5 %
2013
2014
Coût annuel du Cybercrime en France
<source label="Po...
Préoccupations des Grands comptes ?
Virus, Vers, Trojans
Malware
Attaque Web
Phishing & Social
Enemi de l'intérieur
Code m...
Préoccupations des Grands comptes ?
Répartition du coût du Cybercrime en
France par type d'attaque
Virus, Vers, Trojans
Ma...
Préoccupations des Grands comptes ?
Détection Restauration Containment Investigation Ex-post response Incident mngt
0
5
10...
Préoccupations des Grands comptes ?
Détection Restauration Containment Investigation Ex-post response Incident mngt
0
5
10...
Préoccupations des Grands comptes ?
Impact sur la clientèle / la marque ?
Perte de clientèle (%) post-piratage par pays
Fr...
Comment vendre Drupal ?
Drupal est utilisé par plus de 130 nations !
(sur 197)
<source label="Acquia" href="http://bit.ly/...
Comment vendre Drupal ?
Comment vendre Drupal ?
Comment vendre Drupal ?
Drupal security Team
Une équipe dédiée à la sécurité
, depuis 2005,
composée de 43 personnes
~50% ...
Comment vendre Drupal ?
Drupal security Team
Une capacité de communication et de mobilisation éprouvée
<source label="BBC"...
Comment vendre Drupal ?
La concurrence et la sécurité ?
Java :
● Adobe Experience
Manager (CQ5)
● HP Autonomy Teamsite
● J...
Comment vendre Drupal ?
La concurrence et la sécurité ?
Java :
● Adobe Experience
Manager (CQ5)
● HP Autonomy Teamsite
● J...
<source label="VentureBeat" href="http://bit.ly/1zMsh0y" />
<source label="La Tribune" href="http://bit.ly/113SdW4" />
Comment vendre Drupal ?
La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ?
La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ?
La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ?
La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ?
La concurrence et la sécurité ? - Adobe Experience Manager (Cq5)
1
Comment vendre Drupal ?
La concurrence et la sécurité ? - Adobe Experience Manager (Cq5)
Comment vendre Drupal ?
Dégager du budget pour renforcer la sécurité ?
OWASp, Kezako ?
Open Web Application Security Project
LA liste des 10 risques les plus CRITIQUES pour les
applications web...
OWASp, Kezako ?
● A1 – Injection
● A2 – Authentification & Sessions
● A3 – XSS
● A4 – références directes
● A5 – configura...
Drupal & Owasp : tu peux pas test !(euh...)
<source label="Drupal Security Report" href="http://bit.ly/1EIGBXI" />
Drupal & Owasp : tu peux pas test !(euh...)
XSS – la réponse Drupal ?
Trop c'est mieux que
pas assez !
~
Mettez en « parto...
Drupal & Owasp : tu peux pas test !(euh...)
Access bypass – la réponse Drupal ?
<?php
function monmodule_menu() {
$items['...
Drupal & Owasp : tu peux pas test !(euh...)
CSRF – la réponse Drupal ?
Les Jetons !
$csrf_token = drupal_get_token() ;
…
i...
Drupal & Owasp : tu peux pas test !(euh...)
SQL Injection – la réponse Drupal ?
PHP PDO « façon Drupal » : DBTNG
<?php
fun...
● Seckit
● Paranoia
● Google Authenticator Login
● Two Factors Authentication
● Encrypt
● Flood control
● Session limit
● ...
Recommandez Un ou deux chiens de garde !
Les WAF A la rescousse !
+
=
We have met the enemy !
We have met the enemy !
Google
DorkS
We have met the enemy !
GIThub
DorkS
Merci :-)
@jbguerraz
jbguerraz@skilld.fr
http://www.skilld.fr
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
Prochain SlideShare
Chargement dans…5
×

Drupal, les hackers, la sécurité & les (très) grands comptes

1 404 vues

Publié le

Les projets Drupal d'envergure s'intègrent toujours au sein d'un SI complexe avec de forts enjeux de sécurité. Pas une semaine sans un scandale d'intrusion, de piratage ou de problème de sécurité informatique, qui peuvent coûter des centaines de millions d'euros (cf. Sony).
Comment vendre Drupal vis à vis des attentes et des craintes des grands comptes vis à vis de la sécurité ?
Comment Drupal adresse les principaux risques identifiés OWASP ?
Comment sécuriser une application Drupal au plus haut niveau ?

Publié dans : Internet
0 commentaire
4 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 404
Sur SlideShare
0
Issues des intégrations
0
Intégrations
54
Actions
Partages
0
Téléchargements
30
Commentaires
0
J’aime
4
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Drupal, les hackers, la sécurité & les (très) grands comptes

  1. 1. DRUPAL, LES HACKERS, LA SéCURITé & LES (TRèS) GRANDS COMPTES
  2. 2. jbguerraz@SKILLD:~$ whoami ● 13 ans d' IP – Vidéo : VOD & Live (Web, Mobiles & Télé) – Voix & Vidéo sur IP / Télécommunications – Applications clients/serveurs (Win/Mac/Linux/Mobiles) – Sites Web ● Dont 6 ans de Drupal ● Dir. Tech & Co-fondateur de Skilld
  3. 3. La sEcurité, hier, C'était ... 1ère icône : la défense gouvernementale made in US' <source label="Washington Post" href="http://wapo.st/1wvGybr" />
  4. 4. La sEcurité, hier, C'était ... 2ème icône Le standard sécurité du paiement par carte bancaire <source label="Washington Post" href="http://wapo.st/1wvGybr" />
  5. 5. La sEcurité, hier, C'était ... 3èMe icône : LA NOTRE ! :) <source label="Presse Citron" href="http://bit.ly/1tORbEo" />
  6. 6. La sEcurité, aujourd'hui, qu'est-ce ? ᄇ 2 milliards de dollars de dommages pour Sony Et ça continue ! <source label="La Tribune" href="http://bit.ly/1xUd8Gq" /> <source label="CNN" href="http://cnnmon.ie/1yDYPFR" />
  7. 7. La sEcurité, aujourd'hui, qu'est-ce ? 40 Millions de numéros de cartes de crédits 70 millions de données personnelles Et... 5 millions de dollars de DOMMAGES Pour target ! <source label="Silicon.fr" href="http://bit.ly/11mNeRu" />
  8. 8. La sEcurité, aujourd'hui, qu'est-ce ? 20 Millions de numéros de cartes de crédits 40 % de la population sud coréenne Et... 3 têtes qui s'offrent ! <source label="CNN" href="http://cnnmon.ie/1aob1nw" />
  9. 9. La sEcurité, aujourd'hui, qu'est-ce ? 4.6 million de comptes (numéros de téléphone compris!) 90 000 photos 9 000 vidéos <source label="The Verge" href="http://bit.ly/1gmPevh" />
  10. 10. La sEcurité, aujourd'hui, qu'est-ce ? 150 million de comptes (N° de cartes de crédits compris) Code source des produits Adobe « Adobe Acrobat, ColdFusion, ColdFusion Builder and other Adobe products » <source label="The Verge" href="http://bit.ly/1pXxJdX" />
  11. 11. La sEcurité, aujourd'hui, qu'est-ce ? Données personnelles de 4,5 million de PATIENTS (numéros de sécurité sociale) <source label="Reuters" href="http://reut.rs/1tkLkcN" />
  12. 12. La sEcurité, aujourd'hui, qu'est-ce ? PAR Volume PAR Sensibilité Les plus grosses failles du monde ! <source label="InformationIsBeautiful" href="http://bit.ly/19xscQO" />
  13. 13. La sEcurité, demain, ce sera ?
  14. 14. La sEcurité, demain, ce sera ? Bulletin de sécurité https://www.drupal.org/PSA-2014-003 <source label="BBC" href="http://bbc.in/1zm1N5N" />
  15. 15. La sEcurité, demain, ce sera ? Difficile ? <source label="Tor Onions" href="%00" />
  16. 16. La sEcurité, demain, ce sera ? Difficile, vraiment ? <source label="Mitnick Security" href="http://bit.ly/1oTMb5K" />
  17. 17. Préoccupations des Grands comptes ? $
  18. 18. Préoccupations des Grands comptes ? 4,8 M€ 3,89 M€ +20,5 % 2013 2014 Coût annuel du Cybercrime en France <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  19. 19. Préoccupations des Grands comptes ? Virus, Vers, Trojans Malware Attaque Web Phishing & Social Enemi de l'intérieur Code malicieux Matériel volé (d)DoS Botnets 0 2 4 6 8 10 12 14 16 18 2013 2014 Répartition du coût du Cybercrime en France par type d'attaque <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  20. 20. Préoccupations des Grands comptes ? Répartition du coût du Cybercrime en France par type d'attaque Virus, Vers, Trojans Malware Attaque Web Phishing & Social Enemi de l'intérieur Code malicieux Matériel volé (d)DoS Botnets 0 2 4 6 8 10 12 14 16 18 2013 2014 <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  21. 21. Préoccupations des Grands comptes ? Détection Restauration Containment Investigation Ex-post response Incident mngt 0 5 10 15 20 25 30 35 40 2013 2014 Répartition du coût du Cybercrime en France par source d'activités <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  22. 22. Préoccupations des Grands comptes ? Détection Restauration Containment Investigation Ex-post response Incident mngt 0 5 10 15 20 25 30 35 40 2013 2014 Répartition du coût du Cybercrime en France par source d'activités <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  23. 23. Préoccupations des Grands comptes ? Impact sur la clientèle / la marque ? Perte de clientèle (%) post-piratage par pays France : CHAMPIONS du monde ! FR IT UK US JP DE AU ID BZ AB 0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5 2013 2014 <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  24. 24. Comment vendre Drupal ? Drupal est utilisé par plus de 130 nations ! (sur 197) <source label="Acquia" href="http://bit.ly/1znS8bX" />
  25. 25. Comment vendre Drupal ?
  26. 26. Comment vendre Drupal ?
  27. 27. Comment vendre Drupal ? Drupal security Team Une équipe dédiée à la sécurité , depuis 2005, composée de 43 personnes ~50% de la taille des équipes concurrentes ?!
  28. 28. Comment vendre Drupal ? Drupal security Team Une capacité de communication et de mobilisation éprouvée <source label="BBC" href="http://bbc.in/1zm1N5N" />
  29. 29. Comment vendre Drupal ? La concurrence et la sécurité ? Java : ● Adobe Experience Manager (CQ5) ● HP Autonomy Teamsite ● Jive ● Lithium .Net : ● Sitecore ● SDL Tridion ● Ektron CMS
  30. 30. Comment vendre Drupal ? La concurrence et la sécurité ? Java : ● Adobe Experience Manager (CQ5) ● HP Autonomy Teamsite ● Jive ● Lithium .Net : ● Sitecore ● SDL Tridion ● Ektron CMS <source label="White Hat Sec" href="http://bit.ly/1EIFO98" />
  31. 31. <source label="VentureBeat" href="http://bit.ly/1zMsh0y" /> <source label="La Tribune" href="http://bit.ly/113SdW4" />
  32. 32. Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
  33. 33. Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
  34. 34. Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
  35. 35. Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
  36. 36. Comment vendre Drupal ? La concurrence et la sécurité ? - Adobe Experience Manager (Cq5)
  37. 37. 1 Comment vendre Drupal ? La concurrence et la sécurité ? - Adobe Experience Manager (Cq5)
  38. 38. Comment vendre Drupal ? Dégager du budget pour renforcer la sécurité ?
  39. 39. OWASp, Kezako ? Open Web Application Security Project LA liste des 10 risques les plus CRITIQUES pour les applications web (mise a jour chaque année !) aussi, un ensemble : ● D'outils ● De méthodes ● De conseils ● ... & Une communauté !
  40. 40. OWASp, Kezako ? ● A1 – Injection ● A2 – Authentification & Sessions ● A3 – XSS ● A4 – références directes ● A5 – configurations ● A6 – Exposition de données sensibles ● A7 – Contrôle d'accès ● A8 – CSRF ● A9 – Dépendances ● A10 - Redirections
  41. 41. Drupal & Owasp : tu peux pas test !(euh...) <source label="Drupal Security Report" href="http://bit.ly/1EIGBXI" />
  42. 42. Drupal & Owasp : tu peux pas test !(euh...) XSS – la réponse Drupal ? Trop c'est mieux que pas assez ! ~ Mettez en « partout » ;) ~ P.S : t('utilisez les @placeholders pour vos chaînes traductibles');
  43. 43. Drupal & Owasp : tu peux pas test !(euh...) Access bypass – la réponse Drupal ? <?php function monmodule_menu() { $items['admin/monmodule/configuration'] = array( 'title' => 'Configuration de MonModule', 'page callback' => 'drupal_get_form', 'page arguments' => array('monmodule_config_form'), 'access arguments' => array('administer monmodule'), ); return $items; }?> <?php function monmodule_faitletrucquivabien() { … if(user_access('lapermissionquivabien')) { //Ok, faisons donc le truc qui va bien } … }?>
  44. 44. Drupal & Owasp : tu peux pas test !(euh...) CSRF – la réponse Drupal ? Les Jetons ! $csrf_token = drupal_get_token() ; … if(drupal_valid_token($csrf_token) ){ //Ok, let's do it ! } … Offert par la form API, sans effort supplémentaire ! ET au besoin, pour le get :
  45. 45. Drupal & Owasp : tu peux pas test !(euh...) SQL Injection – la réponse Drupal ? PHP PDO « façon Drupal » : DBTNG <?php function monmodule_faitletrucquivabien() { … $arguments = array(':name' => $name, ':uid' => $uid); db_select('dbtng_example') ->fields('dbtng_example') ->where('uid = :uid AND name = :name', $arguments) ->execute(); … }?>
  46. 46. ● Seckit ● Paranoia ● Google Authenticator Login ● Two Factors Authentication ● Encrypt ● Flood control ● Session limit ● Auto log out ● Secure login / secure pages (bien que... HTTPS uniquement !) ● Md5 check MODULES
  47. 47. Recommandez Un ou deux chiens de garde ! Les WAF A la rescousse ! + =
  48. 48. We have met the enemy !
  49. 49. We have met the enemy ! Google DorkS
  50. 50. We have met the enemy ! GIThub DorkS
  51. 51. Merci :-) @jbguerraz jbguerraz@skilld.fr http://www.skilld.fr

×