SlideShare une entreprise Scribd logo

Drupal, les hackers, la sécurité & les (très) grands comptes

Skilld
Skilld

Les projets Drupal d'envergure s'intègrent toujours au sein d'un SI complexe avec de forts enjeux de sécurité. Pas une semaine sans un scandale d'intrusion, de piratage ou de problème de sécurité informatique, qui peuvent coûter des centaines de millions d'euros (cf. Sony). Comment vendre Drupal vis à vis des attentes et des craintes des grands comptes vis à vis de la sécurité ? Comment Drupal adresse les principaux risques identifiés OWASP ? Comment sécuriser une application Drupal au plus haut niveau ?

Internet
1  sur  58
Télécharger pour lire hors ligne
DRUPAL, LES HACKERS, LA SéCURITé & LES (TRèS) GRANDS COMPTES
jbguerraz@SKILLD:~$ whoami ● 13 ans d' IP – Vidéo : VOD & Live (Web, Mobiles & Télé) – Voix & Vidéo sur IP / Télécommunications – Applications clients/serveurs (Win/Mac/Linux/Mobiles) – Sites Web ● Dont 6 ans de Drupal ● Dir. Tech & Co-fondateur de Skilld
La sEcurité, hier, C'était ... 1ère icône : la défense gouvernementale made in US' <source label="Washington Post" href="http://wapo.st/1wvGybr" />
La sEcurité, hier, C'était ... 2ème icône Le standard sécurité du paiement par carte bancaire <source label="Washington Post" href="http://wapo.st/1wvGybr" />
La sEcurité, hier, C'était ... 3èMe icône : LA NOTRE ! :) <source label="Presse Citron" href="http://bit.ly/1tORbEo" />
La sEcurité, aujourd'hui, qu'est-ce ? ᄇ 2 milliards de dollars de dommages pour Sony Et ça continue ! <source label="CNN" href="http://cnnmon.ie/1yDYPFR" /> <source label="La Tribune" href="http://bit.ly/1xUd8Gq" />
La sEcurité, aujourd'hui, qu'est-ce ? 40 Millions de numéros de cartes de crédits 70 millions de données personnelles Et... 5 millions de dollars de DOMMAGES Pour target ! <source label="Silicon.fr" href="http://bit.ly/11mNeRu" />
La sEcurité, aujourd'hui, qu'est-ce ? 20 Millions de numéros de cartes de crédits 40 % de la population sud coréenne Et... 3 têtes qui s'offrent ! <source label="CNN" href="http://cnnmon.ie/1aob1nw" />
La sEcurité, aujourd'hui, qu'est-ce ? 4.6 million de comptes (numéros de téléphone compris!) 90 000 photos 9 000 vidéos <source label="The Verge" href="http://bit.ly/1gmPevh" />
La sEcurité, aujourd'hui, qu'est-ce ? 150 million de comptes (N° de cartes de crédits compris) Code source des produits Adobe « Adobe Acrobat, ColdFusion, ColdFusion Builder and other Adobe products » <source label="The Verge" href="http://bit.ly/1pXxJdX" />
La sEcurité, aujourd'hui, qu'est-ce ? Données personnelles de 4,5 million de PATIENTS (numéros de sécurité sociale) <source label="Reuters" href="http://reut.rs/1tkLkcN" />
La sEcurité, aujourd'hui, qu'est-ce ? Les plus grosses failles du monde ! PAR Volume PAR Sensibilité <source label="InformationIsBeautiful" href="http://bit.ly/19xscQO" />
La sEcurité, demain, ce sera ?
La sEcurité, demain, ce sera ? Bulletin de sécurité https://www.drupal.org/PSA-2014-003 <source label="BBC" href="http://bbc.in/1zm1N5N" />
La sEcurité, demain, ce sera ? Difficile ? <source label="Tor Onions" href="%00" />
La sEcurité, demain, ce sera ? Difficile, vraiment ? <source label="Mitnick Security" href="http://bit.ly/1oTMb5K" />
Préoccupations des Grands comptes ? $
Préoccupations des Grands comptes ? 4,8 M€ 3,89 M€ +20,5 % 2013 2014 Coût annuel du Cybercrime en France <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Préoccupations des Grands comptes ? Malware 18 16 14 12 10 8 6 4 2 Virus, Vers, Trojans Phishing & Social Attaque Web Code malicieux Enemi de l'intérieur Matériel volé (d)DoS Botnets 0 2013 2014 Répartition du coût du Cybercrime en France par type d'attaque <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Préoccupations des Grands comptes ? Répartition du coût du Cybercrime en France par type d'attaque Malware 18 16 14 12 10 8 6 4 2 Virus, Vers, Trojans Phishing & Social Attaque Web Code malicieux Enemi de l'intérieur Matériel volé (d)DoS Botnets 0 2013 2014 <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Préoccupations des Grands comptes ? Détection Restauration Containment Investigation Ex-post response Incident mngt 40 35 30 25 20 15 10 5 0 2013 2014 Répartition du coût du Cybercrime en France par source d'activités <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Préoccupations des Grands comptes ? Détection Restauration Containment Investigation Ex-post response Incident mngt 40 35 30 25 20 15 10 5 0 2013 2014 Répartition du coût du Cybercrime en France par source d'activités <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Préoccupations des Grands comptes ? Impact sur la clientèle / la marque ? Perte de clientèle (%) post-piratage par pays FR IT UK US JP DE AU ID BZ AB France : CHAMPIONS du monde ! 5 4,5 4 3,5 3 2,5 2 1,5 1 0,5 0 2013 2014 <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Comment vendre Drupal ? Drupal est utilisé par plus de 130 nations ! (sur 197) <source label="Acquia" href="http://bit.ly/1znS8bX" />
Comment vendre Drupal ?
Comment vendre Drupal ?
Comment vendre Drupal ? Drupal security Team Une équipe dédiée à la sécurité , depuis 2005, composée de 43 personnes ~50% de la taille des équipes concurrentes ?!
Comment vendre Drupal ? Drupal security Team Une capacité de communication et de mobilisation éprouvée <source label="BBC" href="http://bbc.in/1zm1N5N" />
Comment vendre Drupal ? La concurrence et la sécurité ? Java : ● Adobe Experience Manager (CQ5) ● HP Autonomy Teamsite ● Jive ● Lithium .Net : ● Sitecore ● SDL Tridion ● Ektron CMS
Comment vendre Drupal ? La concurrence et la sécurité ? Java : ● Adobe Experience Manager (CQ5) ● HP Autonomy Teamsite ● Jive ● Lithium .Net : ● Sitecore ● SDL Tridion ● Ektron CMS <source label="White Hat Sec" href="http://bit.ly/1EIFO98" />
<source label="VentureBeat" href="http://bit.ly/1zMsh0y" /> <source label="La Tribune" href="http://bit.ly/113SdW4" />
Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ? La concurrence et la sécurité ? - Adobe Experience Manager (Cq5)
Comment vendre Drupal ? La concurrence et la sécurité ? - Adobe Experience Manager (Cq5) 1
Comment vendre Drupal ? Dégager du budget pour renforcer la sécurité ?
OWASp, Kezako ? Open Web Application Security Project LA liste des 10 risques les plus CRITIQUES pour les applications web (mise a jour chaque année !) aussi, un ensemble : ● D'outils ● De méthodes ● De conseils ● ... & Une communauté !
OWASp, Kezako ? ● A1 – Injection ● A2 – Authentification & Sessions ● A3 – XSS ● A4 – références directes ● A5 – configurations ● A6 – Exposition de données sensibles ● A7 – Contrôle d'accès ● A8 – CSRF ● A9 – Dépendances ● A10 - Redirections
Drupal & Owasp : tu peux pas test ! (euh...) <source label="Drupal Security Report" href="http://bit.ly/1EIGBXI" />
Drupal & Owasp : tu peux pas test ! (euh...) XSS – la réponse Drupal ? Trop c'est mieux que pas assez ! ~ Mettez en « partout » ;) ~ P.S : t('utilisez les @placeholders pour vos chaînes traductibles');
Drupal & Owasp : tu peux pas test ! (euh...) Access bypass – la réponse Drupal ? <?php function monmodule_menu() { $items['admin/monmodule/configuration'] = array( 'title' => 'Configuration de MonModule', 'page callback' => 'drupal_get_form', 'page arguments' => array('monmodule_config_form'), 'access arguments' => array('administer monmodule'), ); return $items; }?> <?php function monmodule_faitletrucquivabien() { … if(user_access('lapermissionquivabien')) { //Ok, faisons donc le truc qui va bien } … }?>
Drupal & Owasp : tu peux pas test ! (euh...) CSRF – la réponse Drupal ? Les Jetons ! Offert par la form API, sans effort $csrf_token = drupal_get_token() ; … if(drupal_valid_token($csrf_token) ){ //Ok, let's do it ! } … supplémentaire ! ET au besoin, pour le get :
Drupal & Owasp : tu peux pas test ! (euh...) SQL Injection – la réponse Drupal ? PHP PDO « façon Drupal » : DBTNG <?php function monmodule_faitletrucquivabien() { … $arguments = array(':name' => $name, ':uid' => $uid); db_select('dbtng_example') ->fields('dbtng_example') ->where('uid = :uid AND name = :name', $arguments) ->execute(); … }?>
● Seckit ● Paranoia ● Google Authenticator Login ● Two Factors Authentication ● Encrypt ● Flood control ● Session limit ● Auto log out ● Secure login / secure pages (bien que... HTTPS uniquement !) ● Md5 check MODULES
Recommandez Un ou deux chiens de garde ! + = Les WAF A la rescousse !
We have met the enemy !
We have met the enemy ! Google DorkS
We have met the enemy ! GIThub DorkS
Merci :-) @jbguerraz jbguerraz@skilld.fr http://www.skilld.fr

Recommandé

Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesJean-Baptiste Guerraz
 
Présentation du Labcom - 2013
Présentation du Labcom - 2013Présentation du Labcom - 2013
Présentation du Labcom - 2013Adrien Rosier
 
Intercolegiados natacion 2014
Intercolegiados natacion 2014Intercolegiados natacion 2014
Intercolegiados natacion 2014Pvd Rionegro Digiital
 
Unidad 1 5y6
Unidad 1 5y6Unidad 1 5y6
Unidad 1 5y6Rona Rock
 
Presentación ACHcom Junio 2013
Presentación ACHcom Junio 2013Presentación ACHcom Junio 2013
Presentación ACHcom Junio 2013ACH-COM
 
Autoestima
AutoestimaAutoestima
AutoestimaDANIELA ROBLES
 
Quienes somos
Quienes somosQuienes somos
Quienes somosequipofernandocarvajal
 
Cuestionario 3
Cuestionario 3Cuestionario 3
Cuestionario 3Sonsoles Castillo Martín
 

Recommandé

Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesJean-Baptiste Guerraz
 
Présentation du Labcom - 2013
Présentation du Labcom - 2013Présentation du Labcom - 2013
Présentation du Labcom - 2013Adrien Rosier
 
Intercolegiados natacion 2014
Intercolegiados natacion 2014Intercolegiados natacion 2014
Intercolegiados natacion 2014Pvd Rionegro Digiital
 
Unidad 1 5y6
Unidad 1 5y6Unidad 1 5y6
Unidad 1 5y6Rona Rock
 
Presentación ACHcom Junio 2013
Presentación ACHcom Junio 2013Presentación ACHcom Junio 2013
Presentación ACHcom Junio 2013ACH-COM
 
Autoestima
AutoestimaAutoestima
AutoestimaDANIELA ROBLES
 
Quienes somos
Quienes somosQuienes somos
Quienes somosequipofernandocarvajal
 
Cuestionario 3
Cuestionario 3Cuestionario 3
Cuestionario 3Sonsoles Castillo Martín
 
YC Granville 2013
YC Granville 2013YC Granville 2013
YC Granville 2013C&Sea - Mysplice - The Regatta Lounge
 
E-commerce: 7 tendances pour 2015
E-commerce: 7 tendances pour 2015 E-commerce: 7 tendances pour 2015
E-commerce: 7 tendances pour 2015 yann le gigan
 
Sistema 1
Sistema 1Sistema 1
Sistema 1miguelanibal orta
 
Copii de pe blogul le webpedagogique la18 05 2012
Copii de pe blogul le webpedagogique la18 05 2012Copii de pe blogul le webpedagogique la18 05 2012
Copii de pe blogul le webpedagogique la18 05 2012sg94
 
Jep 2012 wrkshp
Jep 2012 wrkshpJep 2012 wrkshp
Jep 2012 wrkshptihtow
 
Dette: l'arnaque du siècle
Dette: l'arnaque du siècleDette: l'arnaque du siècle
Dette: l'arnaque du siècledarwin87
 
Sistemas 1
Sistemas 1Sistemas 1
Sistemas 1miguelanibal orta
 
Download.jsp
Download.jspDownload.jsp
Download.jspMounia Khobzi
 
2013 02-13 colmar-conference_inaugurale
2013 02-13 colmar-conference_inaugurale2013 02-13 colmar-conference_inaugurale
2013 02-13 colmar-conference_inauguralePaule Num
 
La resistencia
La resistenciaLa resistencia
La resistencia26582658
 
PLAN DE ACOSO
PLAN DE ACOSOPLAN DE ACOSO
PLAN DE ACOSO26582658
 
PEB-quelles obligations pour le bailleur, le vendeur ou l'agence immobilière ?
PEB-quelles obligations pour le bailleur, le vendeur ou l'agence immobilière ?PEB-quelles obligations pour le bailleur, le vendeur ou l'agence immobilière ?
PEB-quelles obligations pour le bailleur, le vendeur ou l'agence immobilière ?Certimore
 
Grue flottante
Grue flottanteGrue flottante
Grue flottantemarray0190
 
Le temps20130411
Le temps20130411Le temps20130411
Le temps20130411Global Infrastructure Basel Foundation
 
Nouveau document microsoft office word
Nouveau document microsoft office wordNouveau document microsoft office word
Nouveau document microsoft office wordMouhcine Baz
 
Byzantin carolingien
Byzantin carolingienByzantin carolingien
Byzantin carolingienLucileZac
 
Cvmagazineblog
CvmagazineblogCvmagazineblog
Cvmagazineblogalexvalette
 
Galerie MiniMasterpiece - Revue de presse 2014/2015
Galerie MiniMasterpiece - Revue de presse 2014/2015Galerie MiniMasterpiece - Revue de presse 2014/2015
Galerie MiniMasterpiece - Revue de presse 2014/2015Agence Colonnes
 
Mode d'emploi Easy Butter beurre mousse
Mode d'emploi Easy Butter beurre mousseMode d'emploi Easy Butter beurre mousse
Mode d'emploi Easy Butter beurre moussehabiague
 
Documento de garantías académicas de la universidad distrital fjc
Documento de garantías académicas de la universidad distrital fjcDocumento de garantías académicas de la universidad distrital fjc
Documento de garantías académicas de la universidad distrital fjcComité Ingeniería Topográfica
 
Cergeco informatique de gestion
Cergeco informatique de gestionCergeco informatique de gestion
Cergeco informatique de gestionProf. Jacques Folon (Ph.D)
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 

Contenu connexe

En vedette

E-commerce: 7 tendances pour 2015
E-commerce: 7 tendances pour 2015 E-commerce: 7 tendances pour 2015
E-commerce: 7 tendances pour 2015 yann le gigan
 
Copii de pe blogul le webpedagogique la18 05 2012
Copii de pe blogul le webpedagogique la18 05 2012Copii de pe blogul le webpedagogique la18 05 2012
Copii de pe blogul le webpedagogique la18 05 2012sg94
 
Jep 2012 wrkshp
Jep 2012 wrkshpJep 2012 wrkshp
Jep 2012 wrkshptihtow
 
Dette: l'arnaque du siècle
Dette: l'arnaque du siècleDette: l'arnaque du siècle
Dette: l'arnaque du siècledarwin87
 
2013 02-13 colmar-conference_inaugurale
2013 02-13 colmar-conference_inaugurale2013 02-13 colmar-conference_inaugurale
2013 02-13 colmar-conference_inauguralePaule Num
 
La resistencia
La resistenciaLa resistencia
La resistencia26582658
 
PLAN DE ACOSO
PLAN DE ACOSOPLAN DE ACOSO
PLAN DE ACOSO26582658
 
PEB-quelles obligations pour le bailleur, le vendeur ou l'agence immobilière ?
PEB-quelles obligations pour le bailleur, le vendeur ou l'agence immobilière ?PEB-quelles obligations pour le bailleur, le vendeur ou l'agence immobilière ?
PEB-quelles obligations pour le bailleur, le vendeur ou l'agence immobilière ?Certimore
 
Grue flottante
Grue flottanteGrue flottante
Grue flottantemarray0190
 
Nouveau document microsoft office word
Nouveau document microsoft office wordNouveau document microsoft office word
Nouveau document microsoft office wordMouhcine Baz
 
Byzantin carolingien
Byzantin carolingienByzantin carolingien
Byzantin carolingienLucileZac
 
Galerie MiniMasterpiece - Revue de presse 2014/2015
Galerie MiniMasterpiece - Revue de presse 2014/2015Galerie MiniMasterpiece - Revue de presse 2014/2015
Galerie MiniMasterpiece - Revue de presse 2014/2015Agence Colonnes
 
Mode d'emploi Easy Butter beurre mousse
Mode d'emploi Easy Butter beurre mousseMode d'emploi Easy Butter beurre mousse
Mode d'emploi Easy Butter beurre moussehabiague
 
Documento de garantías académicas de la universidad distrital fjc
Documento de garantías académicas de la universidad distrital fjcDocumento de garantías académicas de la universidad distrital fjc
Documento de garantías académicas de la universidad distrital fjcComité Ingeniería Topográfica
 

En vedette (20)

YC Granville 2013
YC Granville 2013YC Granville 2013
YC Granville 2013
 
E-commerce: 7 tendances pour 2015
E-commerce: 7 tendances pour 2015 E-commerce: 7 tendances pour 2015
E-commerce: 7 tendances pour 2015
 
Sistema 1
Sistema 1Sistema 1
Sistema 1
 
Copii de pe blogul le webpedagogique la18 05 2012
Copii de pe blogul le webpedagogique la18 05 2012Copii de pe blogul le webpedagogique la18 05 2012
Copii de pe blogul le webpedagogique la18 05 2012
 
Jep 2012 wrkshp
Jep 2012 wrkshpJep 2012 wrkshp
Jep 2012 wrkshp
 
Dette: l'arnaque du siècle
Dette: l'arnaque du siècleDette: l'arnaque du siècle
Dette: l'arnaque du siècle
 
Sistemas 1
Sistemas 1Sistemas 1
Sistemas 1
 
Download.jsp
Download.jspDownload.jsp
Download.jsp
 
2013 02-13 colmar-conference_inaugurale
2013 02-13 colmar-conference_inaugurale2013 02-13 colmar-conference_inaugurale
2013 02-13 colmar-conference_inaugurale
 
La resistencia
La resistenciaLa resistencia
La resistencia
 
PLAN DE ACOSO
PLAN DE ACOSOPLAN DE ACOSO
PLAN DE ACOSO
 
PEB-quelles obligations pour le bailleur, le vendeur ou l'agence immobilière ?
PEB-quelles obligations pour le bailleur, le vendeur ou l'agence immobilière ?PEB-quelles obligations pour le bailleur, le vendeur ou l'agence immobilière ?
PEB-quelles obligations pour le bailleur, le vendeur ou l'agence immobilière ?
 
Grue flottante
Grue flottanteGrue flottante
Grue flottante
 
Le temps20130411
Le temps20130411Le temps20130411
Le temps20130411
 
Nouveau document microsoft office word
Nouveau document microsoft office wordNouveau document microsoft office word
Nouveau document microsoft office word
 
Byzantin carolingien
Byzantin carolingienByzantin carolingien
Byzantin carolingien
 
Cvmagazineblog
CvmagazineblogCvmagazineblog
Cvmagazineblog
 
Galerie MiniMasterpiece - Revue de presse 2014/2015
Galerie MiniMasterpiece - Revue de presse 2014/2015Galerie MiniMasterpiece - Revue de presse 2014/2015
Galerie MiniMasterpiece - Revue de presse 2014/2015
 
Mode d'emploi Easy Butter beurre mousse
Mode d'emploi Easy Butter beurre mousseMode d'emploi Easy Butter beurre mousse
Mode d'emploi Easy Butter beurre mousse
 
Documento de garantías académicas de la universidad distrital fjc
Documento de garantías académicas de la universidad distrital fjcDocumento de garantías académicas de la universidad distrital fjc
Documento de garantías académicas de la universidad distrital fjc
 

Similaire à Drupal, les hackers, la sécurité & les (très) grands comptes

Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
La gestion de vos collaborateurs en télétravail
La gestion de vos collaborateurs en télétravailLa gestion de vos collaborateurs en télétravail
La gestion de vos collaborateurs en télétravailIvanti
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Mes bonnes résolutions cybersécurité pour 2024
Mes bonnes résolutions cybersécurité pour 2024Mes bonnes résolutions cybersécurité pour 2024
Mes bonnes résolutions cybersécurité pour 2024Lisa Lombardi
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Présentation dream tim 2014
Présentation dream tim 2014Présentation dream tim 2014
Présentation dream tim 2014PESLERBE
 
Be Googley, a corporate culture for innovation
Be Googley, a corporate culture for innovationBe Googley, a corporate culture for innovation
Be Googley, a corporate culture for innovationPatrick Chanezon
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
 
Accélérez itSMF 2013
Accélérez itSMF 2013Accélérez itSMF 2013
Accélérez itSMF 2013itSMF France
 
Solution linux fr_janua_rex_i3
Solution linux fr_janua_rex_i3Solution linux fr_janua_rex_i3
Solution linux fr_janua_rex_i3Pascal Flamand
 
Introduction à la veille sur le web
Introduction à la veille sur le webIntroduction à la veille sur le web
Introduction à la veille sur le webQuentin Adam
 
Symposium privacy by design
Symposium privacy by designSymposium privacy by design
Symposium privacy by designVersusmind
 
La mobilité dans Drupal
La mobilité dans DrupalLa mobilité dans Drupal
La mobilité dans DrupalAdyax
 
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi Association Transition Numérique +
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1PRONETIS
 

Similaire à Drupal, les hackers, la sécurité & les (très) grands comptes (20)

Cergeco informatique de gestion
Cergeco informatique de gestionCergeco informatique de gestion
Cergeco informatique de gestion
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
La gestion de vos collaborateurs en télétravail
La gestion de vos collaborateurs en télétravailLa gestion de vos collaborateurs en télétravail
La gestion de vos collaborateurs en télétravail
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
La Sécurité Sur Le Web
La Sécurité Sur Le WebLa Sécurité Sur Le Web
La Sécurité Sur Le Web
 
Mes bonnes résolutions cybersécurité pour 2024
Mes bonnes résolutions cybersécurité pour 2024Mes bonnes résolutions cybersécurité pour 2024
Mes bonnes résolutions cybersécurité pour 2024
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Présentation dream tim 2014
Présentation dream tim 2014Présentation dream tim 2014
Présentation dream tim 2014
 
Be Googley, a corporate culture for innovation
Be Googley, a corporate culture for innovationBe Googley, a corporate culture for innovation
Be Googley, a corporate culture for innovation
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
 
Accélérez itSMF 2013
Accélérez itSMF 2013Accélérez itSMF 2013
Accélérez itSMF 2013
 
Solution linux fr_janua_rex_i3
Solution linux fr_janua_rex_i3Solution linux fr_janua_rex_i3
Solution linux fr_janua_rex_i3
 
Introduction à la veille sur le web
Introduction à la veille sur le webIntroduction à la veille sur le web
Introduction à la veille sur le web
 
Symposium privacy by design
Symposium privacy by designSymposium privacy by design
Symposium privacy by design
 
La mobilité dans Drupal
La mobilité dans DrupalLa mobilité dans Drupal
La mobilité dans Drupal
 
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
 
Full Plaquette Groupe Psi
Full Plaquette Groupe PsiFull Plaquette Groupe Psi
Full Plaquette Groupe Psi
 

Plus de Skilld

201910 skilld presentation-societe
201910 skilld presentation-societe201910 skilld presentation-societe
201910 skilld presentation-societeSkilld
 
Session Drupagora 2019 - Agilité dans tous ses états
Session Drupagora 2019 - Agilité dans tous ses étatsSession Drupagora 2019 - Agilité dans tous ses états
Session Drupagora 2019 - Agilité dans tous ses étatsSkilld
 
Case study : 2 applications mobiles réalisées avec Drupal
Case study : 2 applications mobiles réalisées avec DrupalCase study : 2 applications mobiles réalisées avec Drupal
Case study : 2 applications mobiles réalisées avec DrupalSkilld
 
Lviv eurodrupalcamp 2015 - drupal contributor howto
Lviv eurodrupalcamp 2015 - drupal contributor howtoLviv eurodrupalcamp 2015 - drupal contributor howto
Lviv eurodrupalcamp 2015 - drupal contributor howtoSkilld
 
Build tons of multi-device JavaScript applications - Part 2 : (black) Magic S...
Build tons of multi-device JavaScript applications - Part 2 : (black) Magic S...Build tons of multi-device JavaScript applications - Part 2 : (black) Magic S...
Build tons of multi-device JavaScript applications - Part 2 : (black) Magic S...Skilld
 
Build tons of multi-device JavaScript applications - Part 1 : Boilerplate, de...
Build tons of multi-device JavaScript applications - Part 1 : Boilerplate, de...Build tons of multi-device JavaScript applications - Part 1 : Boilerplate, de...
Build tons of multi-device JavaScript applications - Part 1 : Boilerplate, de...Skilld
 
Lviv 2013 d7 vs d8
Lviv 2013 d7 vs d8Lviv 2013 d7 vs d8
Lviv 2013 d7 vs d8Skilld
 
Retrospective 2013 de Drupal !
Retrospective 2013 de Drupal !Retrospective 2013 de Drupal !
Retrospective 2013 de Drupal !Skilld
 
Retrospective 2013 de la communauté Drupal 8
Retrospective 2013 de la communauté Drupal 8Retrospective 2013 de la communauté Drupal 8
Retrospective 2013 de la communauté Drupal 8Skilld
 
Drupal Camp Kiev 2012 - High Performance Drupal Web Sites
Drupal Camp Kiev 2012 - High Performance Drupal Web SitesDrupal Camp Kiev 2012 - High Performance Drupal Web Sites
Drupal Camp Kiev 2012 - High Performance Drupal Web SitesSkilld
 
Drupagora 2012 Optimisation performances Drupal
Drupagora 2012 Optimisation performances DrupalDrupagora 2012 Optimisation performances Drupal
Drupagora 2012 Optimisation performances DrupalSkilld
 
Drupagora 2012 Optimisation performances Drupal
Drupagora 2012 Optimisation performances DrupalDrupagora 2012 Optimisation performances Drupal
Drupagora 2012 Optimisation performances DrupalSkilld
 

Plus de Skilld (12)

201910 skilld presentation-societe
201910 skilld presentation-societe201910 skilld presentation-societe
201910 skilld presentation-societe
 
Session Drupagora 2019 - Agilité dans tous ses états
Session Drupagora 2019 - Agilité dans tous ses étatsSession Drupagora 2019 - Agilité dans tous ses états
Session Drupagora 2019 - Agilité dans tous ses états
 
Case study : 2 applications mobiles réalisées avec Drupal
Case study : 2 applications mobiles réalisées avec DrupalCase study : 2 applications mobiles réalisées avec Drupal
Case study : 2 applications mobiles réalisées avec Drupal
 
Lviv eurodrupalcamp 2015 - drupal contributor howto
Lviv eurodrupalcamp 2015 - drupal contributor howtoLviv eurodrupalcamp 2015 - drupal contributor howto
Lviv eurodrupalcamp 2015 - drupal contributor howto
 
Build tons of multi-device JavaScript applications - Part 2 : (black) Magic S...
Build tons of multi-device JavaScript applications - Part 2 : (black) Magic S...Build tons of multi-device JavaScript applications - Part 2 : (black) Magic S...
Build tons of multi-device JavaScript applications - Part 2 : (black) Magic S...
 
Build tons of multi-device JavaScript applications - Part 1 : Boilerplate, de...
Build tons of multi-device JavaScript applications - Part 1 : Boilerplate, de...Build tons of multi-device JavaScript applications - Part 1 : Boilerplate, de...
Build tons of multi-device JavaScript applications - Part 1 : Boilerplate, de...
 
Lviv 2013 d7 vs d8
Lviv 2013 d7 vs d8Lviv 2013 d7 vs d8
Lviv 2013 d7 vs d8
 
Retrospective 2013 de Drupal !
Retrospective 2013 de Drupal !Retrospective 2013 de Drupal !
Retrospective 2013 de Drupal !
 
Retrospective 2013 de la communauté Drupal 8
Retrospective 2013 de la communauté Drupal 8Retrospective 2013 de la communauté Drupal 8
Retrospective 2013 de la communauté Drupal 8
 
Drupal Camp Kiev 2012 - High Performance Drupal Web Sites
Drupal Camp Kiev 2012 - High Performance Drupal Web SitesDrupal Camp Kiev 2012 - High Performance Drupal Web Sites
Drupal Camp Kiev 2012 - High Performance Drupal Web Sites
 
Drupagora 2012 Optimisation performances Drupal
Drupagora 2012 Optimisation performances DrupalDrupagora 2012 Optimisation performances Drupal
Drupagora 2012 Optimisation performances Drupal
 
Drupagora 2012 Optimisation performances Drupal
Drupagora 2012 Optimisation performances DrupalDrupagora 2012 Optimisation performances Drupal
Drupagora 2012 Optimisation performances Drupal
 

Drupal, les hackers, la sécurité & les (très) grands comptes

  • 1. DRUPAL, LES HACKERS, LA SéCURITé & LES (TRèS) GRANDS COMPTES
  • 2. jbguerraz@SKILLD:~$ whoami ● 13 ans d' IP – Vidéo : VOD & Live (Web, Mobiles & Télé) – Voix & Vidéo sur IP / Télécommunications – Applications clients/serveurs (Win/Mac/Linux/Mobiles) – Sites Web ● Dont 6 ans de Drupal ● Dir. Tech & Co-fondateur de Skilld
  • 3. La sEcurité, hier, C'était ... 1ère icône : la défense gouvernementale made in US' <source label="Washington Post" href="http://wapo.st/1wvGybr" />
  • 4. La sEcurité, hier, C'était ... 2ème icône Le standard sécurité du paiement par carte bancaire <source label="Washington Post" href="http://wapo.st/1wvGybr" />
  • 5. La sEcurité, hier, C'était ... 3èMe icône : LA NOTRE ! :) <source label="Presse Citron" href="http://bit.ly/1tORbEo" />
  • 6.
  • 7. La sEcurité, aujourd'hui, qu'est-ce ? ᄇ 2 milliards de dollars de dommages pour Sony Et ça continue ! <source label="CNN" href="http://cnnmon.ie/1yDYPFR" /> <source label="La Tribune" href="http://bit.ly/1xUd8Gq" />
  • 8. La sEcurité, aujourd'hui, qu'est-ce ? 40 Millions de numéros de cartes de crédits 70 millions de données personnelles Et... 5 millions de dollars de DOMMAGES Pour target ! <source label="Silicon.fr" href="http://bit.ly/11mNeRu" />
  • 9. La sEcurité, aujourd'hui, qu'est-ce ? 20 Millions de numéros de cartes de crédits 40 % de la population sud coréenne Et... 3 têtes qui s'offrent ! <source label="CNN" href="http://cnnmon.ie/1aob1nw" />
  • 10. La sEcurité, aujourd'hui, qu'est-ce ? 4.6 million de comptes (numéros de téléphone compris!) 90 000 photos 9 000 vidéos <source label="The Verge" href="http://bit.ly/1gmPevh" />
  • 11. La sEcurité, aujourd'hui, qu'est-ce ? 150 million de comptes (N° de cartes de crédits compris) Code source des produits Adobe « Adobe Acrobat, ColdFusion, ColdFusion Builder and other Adobe products » <source label="The Verge" href="http://bit.ly/1pXxJdX" />
  • 12. La sEcurité, aujourd'hui, qu'est-ce ? Données personnelles de 4,5 million de PATIENTS (numéros de sécurité sociale) <source label="Reuters" href="http://reut.rs/1tkLkcN" />
  • 13. La sEcurité, aujourd'hui, qu'est-ce ? Les plus grosses failles du monde ! PAR Volume PAR Sensibilité <source label="InformationIsBeautiful" href="http://bit.ly/19xscQO" />
  • 14.
  • 16. La sEcurité, demain, ce sera ? Bulletin de sécurité https://www.drupal.org/PSA-2014-003 <source label="BBC" href="http://bbc.in/1zm1N5N" />
  • 17. La sEcurité, demain, ce sera ? Difficile ? <source label="Tor Onions" href="%00" />
  • 18. La sEcurité, demain, ce sera ? Difficile, vraiment ? <source label="Mitnick Security" href="http://bit.ly/1oTMb5K" />
  • 20. Préoccupations des Grands comptes ? 4,8 M€ 3,89 M€ +20,5 % 2013 2014 Coût annuel du Cybercrime en France <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  • 21. Préoccupations des Grands comptes ? Malware 18 16 14 12 10 8 6 4 2 Virus, Vers, Trojans Phishing & Social Attaque Web Code malicieux Enemi de l'intérieur Matériel volé (d)DoS Botnets 0 2013 2014 Répartition du coût du Cybercrime en France par type d'attaque <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  • 22. Préoccupations des Grands comptes ? Répartition du coût du Cybercrime en France par type d'attaque Malware 18 16 14 12 10 8 6 4 2 Virus, Vers, Trojans Phishing & Social Attaque Web Code malicieux Enemi de l'intérieur Matériel volé (d)DoS Botnets 0 2013 2014 <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  • 23. Préoccupations des Grands comptes ? Détection Restauration Containment Investigation Ex-post response Incident mngt 40 35 30 25 20 15 10 5 0 2013 2014 Répartition du coût du Cybercrime en France par source d'activités <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  • 24. Préoccupations des Grands comptes ? Détection Restauration Containment Investigation Ex-post response Incident mngt 40 35 30 25 20 15 10 5 0 2013 2014 Répartition du coût du Cybercrime en France par source d'activités <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  • 25. Préoccupations des Grands comptes ? Impact sur la clientèle / la marque ? Perte de clientèle (%) post-piratage par pays FR IT UK US JP DE AU ID BZ AB France : CHAMPIONS du monde ! 5 4,5 4 3,5 3 2,5 2 1,5 1 0,5 0 2013 2014 <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  • 26. Comment vendre Drupal ? Drupal est utilisé par plus de 130 nations ! (sur 197) <source label="Acquia" href="http://bit.ly/1znS8bX" />
  • 29. Comment vendre Drupal ? Drupal security Team Une équipe dédiée à la sécurité , depuis 2005, composée de 43 personnes ~50% de la taille des équipes concurrentes ?!
  • 30. Comment vendre Drupal ? Drupal security Team Une capacité de communication et de mobilisation éprouvée <source label="BBC" href="http://bbc.in/1zm1N5N" />
  • 31. Comment vendre Drupal ? La concurrence et la sécurité ? Java : ● Adobe Experience Manager (CQ5) ● HP Autonomy Teamsite ● Jive ● Lithium .Net : ● Sitecore ● SDL Tridion ● Ektron CMS
  • 32.
  • 33. Comment vendre Drupal ? La concurrence et la sécurité ? Java : ● Adobe Experience Manager (CQ5) ● HP Autonomy Teamsite ● Jive ● Lithium .Net : ● Sitecore ● SDL Tridion ● Ektron CMS <source label="White Hat Sec" href="http://bit.ly/1EIFO98" />
  • 34. <source label="VentureBeat" href="http://bit.ly/1zMsh0y" /> <source label="La Tribune" href="http://bit.ly/113SdW4" />
  • 35. Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
  • 36. Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
  • 37. Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
  • 38. Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
  • 39. Comment vendre Drupal ? La concurrence et la sécurité ? - Adobe Experience Manager (Cq5)
  • 40. Comment vendre Drupal ? La concurrence et la sécurité ? - Adobe Experience Manager (Cq5) 1
  • 41.
  • 42. Comment vendre Drupal ? Dégager du budget pour renforcer la sécurité ?
  • 43. OWASp, Kezako ? Open Web Application Security Project LA liste des 10 risques les plus CRITIQUES pour les applications web (mise a jour chaque année !) aussi, un ensemble : ● D'outils ● De méthodes ● De conseils ● ... & Une communauté !
  • 44. OWASp, Kezako ? ● A1 – Injection ● A2 – Authentification & Sessions ● A3 – XSS ● A4 – références directes ● A5 – configurations ● A6 – Exposition de données sensibles ● A7 – Contrôle d'accès ● A8 – CSRF ● A9 – Dépendances ● A10 - Redirections
  • 45. Drupal & Owasp : tu peux pas test ! (euh...) <source label="Drupal Security Report" href="http://bit.ly/1EIGBXI" />
  • 46. Drupal & Owasp : tu peux pas test ! (euh...) XSS – la réponse Drupal ? Trop c'est mieux que pas assez ! ~ Mettez en « partout » ;) ~ P.S : t('utilisez les @placeholders pour vos chaînes traductibles');
  • 47. Drupal & Owasp : tu peux pas test ! (euh...) Access bypass – la réponse Drupal ? <?php function monmodule_menu() { $items['admin/monmodule/configuration'] = array( 'title' => 'Configuration de MonModule', 'page callback' => 'drupal_get_form', 'page arguments' => array('monmodule_config_form'), 'access arguments' => array('administer monmodule'), ); return $items; }?> <?php function monmodule_faitletrucquivabien() { … if(user_access('lapermissionquivabien')) { //Ok, faisons donc le truc qui va bien } … }?>
  • 48. Drupal & Owasp : tu peux pas test ! (euh...) CSRF – la réponse Drupal ? Les Jetons ! Offert par la form API, sans effort $csrf_token = drupal_get_token() ; … if(drupal_valid_token($csrf_token) ){ //Ok, let's do it ! } … supplémentaire ! ET au besoin, pour le get :
  • 49. Drupal & Owasp : tu peux pas test ! (euh...) SQL Injection – la réponse Drupal ? PHP PDO « façon Drupal » : DBTNG <?php function monmodule_faitletrucquivabien() { … $arguments = array(':name' => $name, ':uid' => $uid); db_select('dbtng_example') ->fields('dbtng_example') ->where('uid = :uid AND name = :name', $arguments) ->execute(); … }?>
  • 50. ● Seckit ● Paranoia ● Google Authenticator Login ● Two Factors Authentication ● Encrypt ● Flood control ● Session limit ● Auto log out ● Secure login / secure pages (bien que... HTTPS uniquement !) ● Md5 check MODULES
  • 51. Recommandez Un ou deux chiens de garde ! + = Les WAF A la rescousse !
  • 52. We have met the enemy !
  • 53. We have met the enemy ! Google DorkS
  • 54.
  • 55. We have met the enemy ! GIThub DorkS
  • 56.
  • 57.
  • 58. Merci :-) @jbguerraz jbguerraz@skilld.fr http://www.skilld.fr