Este documento resume una iniciativa de la Corporación Transparencia Colombia y PRODENSA para promover la inclusión de la lucha contra la corrupción en el debate electoral y los programas de gobierno de los candidatos a las alcaldías y gobernaciones de octubre de 2011. Se construyeron "Agendas ciudadanas por la transparencia" a través de talleres públicos para recoger propuestas ciudadanas sobre este tema, las cuales serán presentadas a los candidatos para que se conviertan en compromisos de sus planes de gobierno. Después de las elecciones
La veille de Né Kid du 09.11.11 : Les nouveaux business modelsNé Kid
Bonsoir à tous, cette semaine, dans la veille de Né Kid :
L’actu mise à nu :
• Les Français et le numérique
• La démarque inconnue enfin connue…
• Les meilleurs marketeux américains
Point de vue : les nouveaux business models
Innovations et tendances :
• Survey Wall
• Tweets d’outre tombe
• Quel âge a ce lien ?
Los elementos necesarios para una videoconferencia incluyen un codec de video compatible con H.323, SIP o H.320, un sistema de visualización como un televisor o pantalla LCD, un sistema de audio como los altavoces de un televisor, un PC, y canales de comunicación como acceso a Internet, una red IP o líneas ISDN.
Durant 15 jours, Logistics in Wallonia est allé à la rencontre des entreprises, des Universités et des Centres de Recherches de toute la Wallonie.
Découvrez ou revivez la Quinzaine de l'Innovation.
Este documento describe los trastornos alimenticios de la anorexia y la bulimia. Explica que la anorexia se caracteriza por un temor obsesivo a engordar y una percepción distorsionada del propio cuerpo, mientras que la bulimia implica episodios de consumo excesivo de alimentos seguidos de conductas de purgación. También detalla los síntomas, consecuencias y tratamiento de ambos trastornos, señalando que requieren atención médica y terapia para su recuperación.
Resumen de la propuesta para la reconstrucción de los estatutosPablo Dorado
El documento propone una reconstrucción de los estatutos de una organización. Se analizan los anteriores estatutos y las razones por las que no fueron aprobados. Se propone unir los modelos existentes y elegir una junta directiva para que proponga nuevos estatutos, los cuales deberán ser aprobados. La propuesta incluye esquemas ordenados y definidos con diferentes títulos y capítulos, así como cambios, adiciones y derogaciones respecto a los estatutos anteriores.
Tratado de extradicion ven y usa mesicic3 ven anexo36Solo Clic Vzla
Este documento es el tratado de extradición firmado entre Venezuela y Estados Unidos en 1922. El tratado establece los delitos por los cuales una persona puede ser extraditada entre los dos países, incluyendo asesinato, robo, falsificación y fraude. También especifica los procedimientos y responsabilidades involucradas en solicitar y completar una extradición bajo el tratado.
Este documento define competencias genéricas y específicas para titulaciones universitarias. Explica la importancia del enfoque de competencias debido a cambios en la economía y la sociedad. Describe 30 competencias genéricas agrupadas en instrumentales, interpersonales y sistémicas identificadas por el proyecto TUNING. Además, explica cómo identificar competencias específicas a través del análisis de perfiles profesionales y funciones, con ejemplos para la titulación de Gestor de Formación.
Este documento presenta la programación de una unidad didáctica sobre historias interminables para alumnos de primero de la ESO. La unidad se centra en desarrollar la comprensión lectora y la expresión oral y escrita a través de actividades como la lectura en voz alta de textos narrativos, la escritura de textos siguiendo modelos, y la comprensión de cuentos breves. Los estudiantes también analizarán los elementos narrativos y distinguirán entre textos literarios y no literarios. La unidad utilizará la pelí
Pack in Time es una empresa uruguaya especializada en soluciones integrales de packaging como encintados y etiquetados, comprometida con la calidad y los tiempos de entrega. Ofrece servicios de packaging a medida como encintado, etiquetado, armado de estuches y exhibidores, orientados a satisfacer las necesidades de sus clientes y brindar el mejor servicio.
Este documento presenta un curso de capacitación sobre Tecnologías de la Información y la Comunicación (TIC) aplicadas al proceso de enseñanza y aprendizaje. El curso es semipresencial y está dirigido a docentes de nivel superior. Tiene como objetivos valorar el uso de las TIC en la educación superior, experimentar su uso en un aula virtual, y repensar el rol del docente a partir de la integración de las TIC. El curso contará con foros de discusión, videos y encuentros presenciales.
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
Les smartphones sont aujourdhui partie prenante de toutes les entreprises , avec le BYOD la menace augmente Malheureusement ces outils sont actuellement la cible de toutes les attaques pour entrer dans l'entreprise. Nous détaillerons dans cette présentation les dix risques les plus courants s'appliquant aux smartphones ainsi que les remédiations possibles dans un environnement Windows Phone
Este documento resume una iniciativa de la Corporación Transparencia Colombia y PRODENSA para promover la inclusión de la lucha contra la corrupción en el debate electoral y los programas de gobierno de los candidatos a las alcaldías y gobernaciones de octubre de 2011. Se construyeron "Agendas ciudadanas por la transparencia" a través de talleres públicos para recoger propuestas ciudadanas sobre este tema, las cuales serán presentadas a los candidatos para que se conviertan en compromisos de sus planes de gobierno. Después de las elecciones
La veille de Né Kid du 09.11.11 : Les nouveaux business modelsNé Kid
Bonsoir à tous, cette semaine, dans la veille de Né Kid :
L’actu mise à nu :
• Les Français et le numérique
• La démarque inconnue enfin connue…
• Les meilleurs marketeux américains
Point de vue : les nouveaux business models
Innovations et tendances :
• Survey Wall
• Tweets d’outre tombe
• Quel âge a ce lien ?
Los elementos necesarios para una videoconferencia incluyen un codec de video compatible con H.323, SIP o H.320, un sistema de visualización como un televisor o pantalla LCD, un sistema de audio como los altavoces de un televisor, un PC, y canales de comunicación como acceso a Internet, una red IP o líneas ISDN.
Durant 15 jours, Logistics in Wallonia est allé à la rencontre des entreprises, des Universités et des Centres de Recherches de toute la Wallonie.
Découvrez ou revivez la Quinzaine de l'Innovation.
Este documento describe los trastornos alimenticios de la anorexia y la bulimia. Explica que la anorexia se caracteriza por un temor obsesivo a engordar y una percepción distorsionada del propio cuerpo, mientras que la bulimia implica episodios de consumo excesivo de alimentos seguidos de conductas de purgación. También detalla los síntomas, consecuencias y tratamiento de ambos trastornos, señalando que requieren atención médica y terapia para su recuperación.
Resumen de la propuesta para la reconstrucción de los estatutosPablo Dorado
El documento propone una reconstrucción de los estatutos de una organización. Se analizan los anteriores estatutos y las razones por las que no fueron aprobados. Se propone unir los modelos existentes y elegir una junta directiva para que proponga nuevos estatutos, los cuales deberán ser aprobados. La propuesta incluye esquemas ordenados y definidos con diferentes títulos y capítulos, así como cambios, adiciones y derogaciones respecto a los estatutos anteriores.
Tratado de extradicion ven y usa mesicic3 ven anexo36Solo Clic Vzla
Este documento es el tratado de extradición firmado entre Venezuela y Estados Unidos en 1922. El tratado establece los delitos por los cuales una persona puede ser extraditada entre los dos países, incluyendo asesinato, robo, falsificación y fraude. También especifica los procedimientos y responsabilidades involucradas en solicitar y completar una extradición bajo el tratado.
Este documento define competencias genéricas y específicas para titulaciones universitarias. Explica la importancia del enfoque de competencias debido a cambios en la economía y la sociedad. Describe 30 competencias genéricas agrupadas en instrumentales, interpersonales y sistémicas identificadas por el proyecto TUNING. Además, explica cómo identificar competencias específicas a través del análisis de perfiles profesionales y funciones, con ejemplos para la titulación de Gestor de Formación.
Este documento presenta la programación de una unidad didáctica sobre historias interminables para alumnos de primero de la ESO. La unidad se centra en desarrollar la comprensión lectora y la expresión oral y escrita a través de actividades como la lectura en voz alta de textos narrativos, la escritura de textos siguiendo modelos, y la comprensión de cuentos breves. Los estudiantes también analizarán los elementos narrativos y distinguirán entre textos literarios y no literarios. La unidad utilizará la pelí
Pack in Time es una empresa uruguaya especializada en soluciones integrales de packaging como encintados y etiquetados, comprometida con la calidad y los tiempos de entrega. Ofrece servicios de packaging a medida como encintado, etiquetado, armado de estuches y exhibidores, orientados a satisfacer las necesidades de sus clientes y brindar el mejor servicio.
Este documento presenta un curso de capacitación sobre Tecnologías de la Información y la Comunicación (TIC) aplicadas al proceso de enseñanza y aprendizaje. El curso es semipresencial y está dirigido a docentes de nivel superior. Tiene como objetivos valorar el uso de las TIC en la educación superior, experimentar su uso en un aula virtual, y repensar el rol del docente a partir de la integración de las TIC. El curso contará con foros de discusión, videos y encuentros presenciales.
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
Les smartphones sont aujourdhui partie prenante de toutes les entreprises , avec le BYOD la menace augmente Malheureusement ces outils sont actuellement la cible de toutes les attaques pour entrer dans l'entreprise. Nous détaillerons dans cette présentation les dix risques les plus courants s'appliquant aux smartphones ainsi que les remédiations possibles dans un environnement Windows Phone
Cyber risques: Etes-vous prêts ? 7 prévisions pour 2015Symantec
- Un condensé de l’actualité des vulnérabilités et attaques ciblées du mois : Destover, FOVI, SPE, IMSI …
- Les 7 prévisions "cyber risques" pour l'année 2015
Mise en place d'une solution Open source pour la virtualisation des analyses de vulnérabilités et la détection des tentatives d'intrusion basées sur les Honeypots
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Microsoft
Le support Sécurité pour l'Europe de Microsoft assure le traitement des incidents de sécurité pour ses clients, que ce soit attaques virales ou intrusions proprement dites. Cette présentation, tirée de retours d’expérience de cas réels et assez fréquents, vous immergera dans la réalité des incidents de sécurité, avec les impacts (dont effets de bord), aspects méconnus, et état de la menace actuelle. Bienvenue dans le monde de la cybercriminalité, la réalité dépasserait-elle la fiction ?
Avast 10 points clés de la sécurité informatique des pmeAntivirusAvast
Votre société a-t-elle déjà subi une attaque informatique qui a pu entrainer une perte de vos fichiers ? Si oui, c’est que vous n’avez pas encore mis en place une politique de sécurité efficace…
Pourtant avec Avast Endpoint Security quelques minutes suffisent pour mettre en place une solution de sécurité performante qui vous alerte par Email lorsqu’un incident survient. Avast Endpoint Security est un logiciel antivirus qui permet de protéger les PC, les Mac et les serveurs des PME. Avast Endpoint Security inclut aussi des fonctionnalités supplémentaires comme la mise à jour automatique des logiciels de votre PC et bien d’autres fonctionnalités devenues indispensables pour garantir la sécurité de votre réseau informatique.
Déjà plus de 4 millions d’entreprises ont confié leur sécurité à Avast !
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
L’École Européenne d’Intelligence Économique lance son cinquième webinar avec en intervenant, Frédéric Mouffle, Expert Cybersécurité et Directeur général associé de KER-MEUR.
Le thème : Cybersécurité : Best Practices.
Introduction :
La cybersécurité est un sujet majeur devenu stratégique pour les entreprises mais également pour les utilisateurs.
Nous verrons dans ce webinar, les principaux vecteurs d’attaques et comment s’en prémunir.
En appliquant les « best practices », vous serez a même de pouvoir éviter 95% des menaces.
Les best practices seront abordées, de la robustesse du mot de passe, au chiffrement des données en passant par une politique de sauvegarde efficace.
Retrouvez le Replay de ce webinar à l’adresse suivante : https://www.eeie.fr/webinar-eeie-05-cybersecurite-best-practices/
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014Sébastien GIORIA
The document discusses OWASP (Open Web Application Security Project) and its mission to secure applications. It introduces the OWASP IoT Top 10 risks, which identifies the most critical security risks in Internet of Things environments. The top risks include insecure web interfaces, authentication and authorization issues, lack of transport encryption, and privacy concerns. The presentation provides an overview of each risk and recommends solutions and tools to help address the vulnerabilities.
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
Présentation dans le cadre de l'Application Security Forum de Yverdon 2014.
La présentaiton indique comment se service de Sonar pour effectuer des analyses sécurité. Et présente aussi le projet OWASP SonarQube
This document summarizes a presentation given by Sébastien Gioria on application security. The presentation provided an overview of the current state of application security, described the Open Web Application Security Project (OWASP) including its mission and resources, and highlighted several OWASP projects that developers can use to help secure applications. It also listed upcoming security events in France and ways to support OWASP.
This document provides an introduction to secure coding for Java applications presented by Sebastien Gioria to the Java User Group in Poitou-Charentes, France. The presentation covers the importance of application security, current state and goals, using OWASP materials to secure code, and secure coding principles. It highlights statistics on application vulnerabilities from Verizon and WhiteHat Security reports and addresses common misconceptions about application security.
The document provides an overview of OWASP (Open Web Application Security Project) and application security. It discusses that most websites are vulnerable to attacks given the digital environment we live in. It then introduces OWASP as a non-profit focused on application security that produces many free, open resources like the OWASP Top 10 list of risks and over 200 projects. The presentation highlights some of OWASP's major projects and resources and emphasizes that application security is important as the "Age of Application Security".
The document discusses a training day presentation on integrating security and privacy in web application projects given by Sebastien Gioria. It covers using OWASP materials to secure code, secure coding principles, and code reviews. It also provides information on OWASP publications that can be used like the Top 10, Building Security In, and Code Review Guide.
1. Top 10 risks in application security include injection flaws, cross-site scripting, broken authentication and session management, insecure direct object references, cross-site request forgery, security misconfiguration, failure to restrict URL access, and unvalidated redirects and forwards.
2. Injection flaws occur when untrusted data is sent to an interpreter, allowing attackers to execute unintended commands. Cross-site scripting occurs when raw user input is embedded in web pages. Broken authentication allows session hijacking. Insecure direct object references allow access to unauthorized data.
3. Developers can avoid these risks by using prepared statements or input validation, output encoding all data, limiting database privileges, adding secret tokens to forms, and
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO Technology
En cette année 2024 qui s’annonce sous le signe de la complexité, avec :
- L’explosion de la Gen AI
-Un contexte socio-économique sous tensions
- De forts enjeux sur le Sustainable et la régulation IT
- Une archipélisation des lieux de travail post-Covid
Découvrez les Tech trends incontournables pour délivrer vos produits stratégiques.
2. http://www.google.fr/#q=sebastien gioria
‣Consultant Indépendant en Sécurité des
Systèmes, spécialisé en Sécurité des Applications
‣OWASP France Leader & Founder - Evangéliste
‣OWASP Global Education Comittee Member
(sebastien.gioria@owasp.org)
‣Responsable du Groupe Sécurité des
Applications Web au CLUSIF
Twitter :@SPoint
CISA && ISO 27005 Risk Manager
‣ +13 ans d’expérience en Sécurité des Systèmes d’Information
‣ Différents postes de manager SSI dans la banque, l’assurance et les télécoms
‣ Expertise Technique
- PenTesting,
- Secure-SDLC
- Gestion du risque, Architectures fonctionnelles, Audits
- Consulting et Formation en Réseaux et Sécurité
2
2
Friday, February 15, 13
4. Top 10 Risques
• Vision multi-plateforme :
• Windows Phone, Android, IOS, Nokia, ...
• Focus sur les risques plutôt que les
vulnérabilités.
• Utilisation de l’OWASP Risk Rating
Methodology pour le classement
• https://www.owasp.org/index.php/
OWASP_Risk_Rating_Methodology
4
Friday, February 15, 13
5. Les 10 risques
Risque
M1 - Stockage de données non sécurisé
M2 - Contrôles serveur défaillants
M3 - Protection insuffisante lors du transport de données
M4 - Injection client
M5 - Authentification et habilitation defaillante
M6 - Mauvaise gestion des sessions
M7- Utilisation de données d’entrée pour effectuer des décisions sécurité.
M8 - Perte de données via des canaux cachés
M9 - Chiffrement défectueux
M10 - Perte d’information sensible
5
Friday, February 15, 13
7. M1 - Stockage de données non sécurisé
• Les données sensibles ne sont pas Impact
protégées
• Perte de
• S’applique aux données locales, tout confidentialité sur
comme celles disponibles dans le cloud
les données
• Généralement du à :
• Divulgation
• Défaut de chiffrement des données
d’authentifiants
• Cache de données qui n’est pas
généralement prévu • Violation de vie
• Permissions globales ou faibles privée
• Non suivi des bonnes pratiques de la • Non-compliance
plateforme
7
Friday, February 15, 13
8. M1 - Stockage de données non sécurisé
8
Friday, February 15, 13
9. M1 - Stockage de données non sécurisé
8
Friday, February 15, 13
10. M1 - Stockage de données non sécurisé
8
Friday, February 15, 13
12. M1 - Prévention
1. Ne stocker que ce qui est réellement nécessaire
9
Friday, February 15, 13
13. M1 - Prévention
1. Ne stocker que ce qui est réellement nécessaire
2. Ne jamais stocker de données sur des éléments
publics (SD-Card...)
9
Friday, February 15, 13
14. M1 - Prévention
1. Ne stocker que ce qui est réellement nécessaire
2. Ne jamais stocker de données sur des éléments
publics (SD-Card...)
3. Utiliser les APIs de chiffrement et les conteneurs
sécurisés fournis par la plateforme:
9
Friday, February 15, 13
15. M1 - Prévention
1. Ne stocker que ce qui est réellement nécessaire
2. Ne jamais stocker de données sur des éléments
publics (SD-Card...)
3. Utiliser les APIs de chiffrement et les conteneurs
sécurisés fournis par la plateforme:
4. Utilisation d’InTune
9
Friday, February 15, 13
16. M1 - Prévention
1. Ne stocker que ce qui est réellement nécessaire
2. Ne jamais stocker de données sur des éléments
publics (SD-Card...)
3. Utiliser les APIs de chiffrement et les conteneurs
sécurisés fournis par la plateforme:
4. Utilisation d’InTune
5. Utilisation de DPAPI pour une réelle protection et pas
juste le stockage :
9
Friday, February 15, 13
17. M1 - Prévention
1. Ne stocker que ce qui est réellement nécessaire
2. Ne jamais stocker de données sur des éléments
publics (SD-Card...)
3. Utiliser les APIs de chiffrement et les conteneurs
sécurisés fournis par la plateforme:
4. Utilisation d’InTune
5. Utilisation de DPAPI pour une réelle protection et pas
juste le stockage :
• System.Security.Cryptography.ProtectedData
9
Friday, February 15, 13
19. M2- Contrôles serveur défaillants
• S’applique uniquement aux Impact
services de backend.
• Perte de
• Non spécifique aux mobiles. confidentialité
sur des
• Il n’est pas plus facile de
données
faire confiance au client.
• Il est nécessaire de revoir les • Perte
d’intégrité sur
contrôles actuels classiques.
des données
11
Friday, February 15, 13
20. M2 - Contrôles serveur défaillants
OWASP Top 10 OWASP Cloud Top 10
• https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project • https://www.owasp.org/images/4/47/Cloud-
Top10-Security-Risks.pdf
12
Friday, February 15, 13
22. M2- Prévention
1. Comprendre les nouveaux risques induits par les
applications mobiles sur les architectures existantes :
13
Friday, February 15, 13
23. M2- Prévention
1. Comprendre les nouveaux risques induits par les
applications mobiles sur les architectures existantes :
• exemple : JSON, ...REST, ....
13
Friday, February 15, 13
24. M2- Prévention
1. Comprendre les nouveaux risques induits par les
applications mobiles sur les architectures existantes :
• exemple : JSON, ...REST, ....
2. OWASP Top 10, Cloud Top 10, Web Services Top 10
13
Friday, February 15, 13
25. M2- Prévention
1. Comprendre les nouveaux risques induits par les
applications mobiles sur les architectures existantes :
• exemple : JSON, ...REST, ....
2. OWASP Top 10, Cloud Top 10, Web Services Top 10
• https://www.owasp.org/index.php/
Category:OWASP_Top_Ten_Project
13
Friday, February 15, 13
26. M2- Prévention
1. Comprendre les nouveaux risques induits par les
applications mobiles sur les architectures existantes :
• exemple : JSON, ...REST, ....
2. OWASP Top 10, Cloud Top 10, Web Services Top 10
• https://www.owasp.org/index.php/
Category:OWASP_Top_Ten_Project
• https://www.owasp.org/index.php/Category:OWASP_Cloud_
%E2%80%90_10_Project
13
Friday, February 15, 13
27. M2- Prévention
1. Comprendre les nouveaux risques induits par les
applications mobiles sur les architectures existantes :
• exemple : JSON, ...REST, ....
2. OWASP Top 10, Cloud Top 10, Web Services Top 10
• https://www.owasp.org/index.php/
Category:OWASP_Top_Ten_Project
• https://www.owasp.org/index.php/Category:OWASP_Cloud_
%E2%80%90_10_Project
3. Voir les Cheat sheets, guides de développement, l’ESAPI
13
Friday, February 15, 13
28. M2- Prévention
1. Comprendre les nouveaux risques induits par les
applications mobiles sur les architectures existantes :
• exemple : JSON, ...REST, ....
2. OWASP Top 10, Cloud Top 10, Web Services Top 10
• https://www.owasp.org/index.php/
Category:OWASP_Top_Ten_Project
• https://www.owasp.org/index.php/Category:OWASP_Cloud_
%E2%80%90_10_Project
3. Voir les Cheat sheets, guides de développement, l’ESAPI
• https://www.owasp.org/index.php/Cheat_Sheets
13
Friday, February 15, 13
30. M3 - Protection insuffisante lors du
transport de données
• Perte complète de chiffrement Impact
des données transmises.
• Attacks MITM
• Faible chiffrement des
données transmises.
• Modification
des données
• Fort chiffrement, mais oubli transmises
des alertes sécurité
• Perte de
• Ignorer les erreurs de validation de certificats
confidentialité
• Retour en mode non chiffré après erreurs
15
Friday, February 15, 13
31. M3 - Protection insuffisante lors du
transport de données
Exemple : Protocole d’authentification des clients
Google
• L’entete d’authentification est envoyé sur HTTP
• Lorsqu’un utilisateur se connecte via un WIFI,
l’application automatiquement envoie le jeton dans
le but de synchroniser les données depuis le serveur.
• Il suffit d’écouter le réseau et de voler cet élément
pour usurper l’identité
• http://www.uni-ulm.de/in/mi/mitarbeiter/koenings/catching-authtokens.html
16
Friday, February 15, 13
33. M3 - Prévention
1. Vérifier que les données sensibles quittent
l’appareil chiffrées.
17
Friday, February 15, 13
34. M3 - Prévention
1. Vérifier que les données sensibles quittent
l’appareil chiffrées.
2. Quelque soit les données et les réseaux : Wifi,
NFC( coucou Renaud :) ), GSM, ....
17
Friday, February 15, 13
35. M3 - Prévention
1. Vérifier que les données sensibles quittent
l’appareil chiffrées.
2. Quelque soit les données et les réseaux : Wifi,
NFC( coucou Renaud :) ), GSM, ....
• http://2012.hackitoergosum.org/blog/wp-
content/uploads/2012/04/HES-2012-rlifchitz-
contactless-payments-insecurity.pdf
17
Friday, February 15, 13
36. M3 - Prévention
1. Vérifier que les données sensibles quittent
l’appareil chiffrées.
2. Quelque soit les données et les réseaux : Wifi,
NFC( coucou Renaud :) ), GSM, ....
• http://2012.hackitoergosum.org/blog/wp-
content/uploads/2012/04/HES-2012-rlifchitz-
contactless-payments-insecurity.pdf
3. Ne pas ignorer les erreurs de sécurité !
17
Friday, February 15, 13
40. M4- Injection Client
• Utilisation des fonctions de Impact
navigateurs dans les applications
• Apps pure Web
• Compromission
• Apps hybrides
de l’appareil
• On retrouve les vulnérabilités
connues • Fraude à l’appel
• Injection XSS et HTML
• SQL Injection
• Augmentation
de privilèges
• Des nouveautés interessantes
• Abus d’appels et de SMS
• Abus de paiements ?
20
Friday, February 15, 13
41. M4 - Injection client
Facilité d’envoi de SMS
SmsComposeTask
smsComposeTask
=
new
SmsComposeTask();
smsComposeTask.To
=
"2065550123";
smsComposeTask.Body
=
"Try
this
new
application.
It's
great!";
smsComposeTask.Show();
Erreur, classique....
21
Friday, February 15, 13
43. M4 - Prévention
1. Valider les données d’entrée avant utilisation
22
Friday, February 15, 13
44. M4 - Prévention
1. Valider les données d’entrée avant utilisation
2. Nettoyer les données en sortie avant
affichage.
22
Friday, February 15, 13
45. M4 - Prévention
1. Valider les données d’entrée avant utilisation
2. Nettoyer les données en sortie avant
affichage.
3. Minimiser les capacités/privilèges des
applications hybrides Web.
22
Friday, February 15, 13
47. M5- Authentification et habilitation
defaillante
• 50% du a des problèmes d’architecture, Impact
50% du à des problèmes du mobile
• Certaines applications se reposent • Elevation de
uniquement sur des éléments Privileges
théoriquement inchangeables, mais
pouvant être compromis (IMEI, IMSI,
UUID)
• Accès non
autorisé.
• Les identifiants matériels persistent
apres les resets ou les nettoyages de
données.
• De l’information contextuelle ajoutée,
est utile, mais pas infaillible.
24
Friday, February 15, 13
49. M5 - Prevention
1. De l’information contextuelle peut améliorer
les choses, mais uniquement en cas
d’implementation d’authentification multi-
facteur.
25
Friday, February 15, 13
50. M5 - Prevention
1. De l’information contextuelle peut améliorer
les choses, mais uniquement en cas
d’implementation d’authentification multi-
facteur.
2. Impossible de faire du “Out-of-band” sur le
même matériel (eg SMS...)
25
Friday, February 15, 13
51. M5 - Prevention
1. De l’information contextuelle peut améliorer
les choses, mais uniquement en cas
d’implementation d’authentification multi-
facteur.
2. Impossible de faire du “Out-of-band” sur le
même matériel (eg SMS...)
3. Ne jamais utiliser l’ID machine ou l’ID
opérateur (subscriber ID), comme élément
unique d’authentification.
25
Friday, February 15, 13
53. M6 - Mauvaise gestion des sessions
• Les sessions applicatives mobiles sont Impact
généralement plus longues que sur une
application normale.
• Dans un but de facilité d’utilisation • Elévation de
• Parceque le réseau est plus “lent” et moins
privilèges.
“sur”
• Accès non
• Le maintien de session applicative se fait via autorisé.
• HTTP cookies
• OAuth tokens
• Contournement
des licenses et
• SSO authentication services
des éléments de
• Très mauvaise idée d’utiliser l’ID matériel
paiements
comme identification de session.
27
Friday, February 15, 13
55. M6- Prévention
1. Ne pas avoir peur de redemander aux utilisateurs
de se ré-authentifier plus souvent.
28
Friday, February 15, 13
56. M6- Prévention
1. Ne pas avoir peur de redemander aux utilisateurs
de se ré-authentifier plus souvent.
2. S’assurer que les ID/token peuvent rapidement
être révoqués en cas de perte.
28
Friday, February 15, 13
57. M6- Prévention
1. Ne pas avoir peur de redemander aux utilisateurs
de se ré-authentifier plus souvent.
2. S’assurer que les ID/token peuvent rapidement
être révoqués en cas de perte.
3. Utiliser des outils de gestion des sessions
éprouvés
28
Friday, February 15, 13
58. M7- Utilisation de données d’entrée pour
effectuer des décisions sécurité.
• Peut être exploité pour passer Impact
outre les permissions et les
modèles de sécurité. • Utilisation de
ressources
• Globalement similaires sur les
payantes.
différentes plateformes
• Des vecteurs d’attaques • Exfiltration de
importants données
• Applications malveillantes • Elevation de
• Injection client privilèges.
29
Friday, February 15, 13
59. M7- Utilisation de données d’entrée pour effectuer
des décisions sécurité.
Exemple : gestion de skype dans l’URL sur
IOS...
• http://software-security.sans.org/blog/2010/11/08/
insecure-handling-url-schemes-apples-ios/
30
Friday, February 15, 13
61. M7- Prévention
1. Vérifier les permissions lors de l’utilisation de
données d’entrée.
31
Friday, February 15, 13
62. M7- Prévention
1. Vérifier les permissions lors de l’utilisation de
données d’entrée.
2. Demander à l’utilisateur une confirmation avant
l’utilisation de fonctions sensibles ou de données
personnelles.
31
Friday, February 15, 13
63. M7- Prévention
1. Vérifier les permissions lors de l’utilisation de
données d’entrée.
2. Demander à l’utilisateur une confirmation avant
l’utilisation de fonctions sensibles ou de données
personnelles.
• Meme si l’application est propre à l’entreprise !
31
Friday, February 15, 13
64. M7- Prévention
1. Vérifier les permissions lors de l’utilisation de
données d’entrée.
2. Demander à l’utilisateur une confirmation avant
l’utilisation de fonctions sensibles ou de données
personnelles.
• Meme si l’application est propre à l’entreprise !
3. Lorsqu’il n’est pas possible de vérifier les
permissions, s’assurer via une étape additionnelle
du lancement de la fonction sensible.
31
Friday, February 15, 13
66. M8- Perte de données via des canaux
cachés
• Mélange de fonctionnalités de la Impact
plateforme et de failles de programmation.
• Les données sensibles se trouvent un peu
partout. ou l’on ne s’attend pas.... • Perte
• Web caches définitive de
• Logs de clavier... données.
• Screenshots
• Logs (system, crash)
• Violation de la
• Répertoires temporaires.
vie privée.
• Faire attention a ce que font les librairies
tierces avec les données
utilisateurs( publicité, analyse, ...)
33
Friday, February 15, 13
68. M8- Prévention
1. Ne jamais stocker des authentifiants/passwds ou d’autres
informations sensibles dans les logs.
34
Friday, February 15, 13
69. M8- Prévention
1. Ne jamais stocker des authentifiants/passwds ou d’autres
informations sensibles dans les logs.
2. Supprimer les données sensibles avant les screenshots,
utiliser les capacités des caches pour les contenu des
applications Web, ...
34
Friday, February 15, 13
70. M8- Prévention
1. Ne jamais stocker des authentifiants/passwds ou d’autres
informations sensibles dans les logs.
2. Supprimer les données sensibles avant les screenshots,
utiliser les capacités des caches pour les contenu des
applications Web, ...
3. Debugger avec attention les applications avant mise en
production pour vérifier les fichiers produits, modifiés, lus, ....
34
Friday, February 15, 13
71. M8- Prévention
1. Ne jamais stocker des authentifiants/passwds ou d’autres
informations sensibles dans les logs.
2. Supprimer les données sensibles avant les screenshots,
utiliser les capacités des caches pour les contenu des
applications Web, ...
3. Debugger avec attention les applications avant mise en
production pour vérifier les fichiers produits, modifiés, lus, ....
4. Porter une attention particulière aux librairies tierces.
34
Friday, February 15, 13
72. M8- Prévention
1. Ne jamais stocker des authentifiants/passwds ou d’autres
informations sensibles dans les logs.
2. Supprimer les données sensibles avant les screenshots,
utiliser les capacités des caches pour les contenu des
applications Web, ...
3. Debugger avec attention les applications avant mise en
production pour vérifier les fichiers produits, modifiés, lus, ....
4. Porter une attention particulière aux librairies tierces.
5. Tester les applications sur différentes versions de la
plateforme....
34
Friday, February 15, 13
74. M9- Chiffrement défectueux
• 2 catégories importantes
Impact
• Implémentations défectueuses via
l’utilisation de librairies de • Perte de
chiffrement.
confidentialité.
• Implementations personnelles de
chiffrement.... • Elevation de
• Bien se rappeler les bases !!! privilèges
• Codage (Base64) != chiffrement
• Contournemen
• Obfuscation != chiffrement t de la logique
• Serialization != chiffrement métier.
• Vous vous appelez Bruce ?
36
Friday, February 15, 13
76. M9- Prévention
1. Stocker la clef et les données chiffrées n’est
pas correct.
37
Friday, February 15, 13
77. M9- Prévention
1. Stocker la clef et les données chiffrées n’est
pas correct.
2. Il vaut mieux utiliser des librairies connues de
chiffrement que sa propre librairie....
37
Friday, February 15, 13
78. M9- Prévention
1. Stocker la clef et les données chiffrées n’est
pas correct.
2. Il vaut mieux utiliser des librairies connues de
chiffrement que sa propre librairie....
3. Utiliser les avantages éventuels de la
plateforme !
37
Friday, February 15, 13
79. M9- Prévention
1. Stocker la clef et les données chiffrées n’est
pas correct.
2. Il vaut mieux utiliser des librairies connues de
chiffrement que sa propre librairie....
3. Utiliser les avantages éventuels de la
plateforme !
• System.Security.Cryptography
37
Friday, February 15, 13
80. M9- Prévention
1. Stocker la clef et les données chiffrées n’est
pas correct.
2. Il vaut mieux utiliser des librairies connues de
chiffrement que sa propre librairie....
3. Utiliser les avantages éventuels de la
plateforme !
• System.Security.Cryptography
37
Friday, February 15, 13
84. M10- Perte d’information sensible
• M10(enfoui dans le matériel) est Impact
différent de M1 (stocké)
• Il est assez simple de faire du reverse- • Perte
engineer sur des applications mobiles...
d’authentifiants
• L’obfuscation de code ne supprime pas
le risque. • Exposition de
propriété
• Quelques informations classiques
trouvées : intellectuelle ?
• clefs d’API
• Passwords
• Logique métier sensible.
41
Friday, February 15, 13
86. M10- Prévention
1. Les clefs d’API privées portent bien leur nom.
Il ne faut pas les stocker sur le client.
42
Friday, February 15, 13
87. M10- Prévention
1. Les clefs d’API privées portent bien leur nom.
Il ne faut pas les stocker sur le client.
2. Si il existe une logique métier propriétaire, il
convient de la faire executée par le serveur !
42
Friday, February 15, 13
88. M10- Prévention
1. Les clefs d’API privées portent bien leur nom.
Il ne faut pas les stocker sur le client.
2. Si il existe une logique métier propriétaire, il
convient de la faire executée par le serveur !
3. Il n’y a jamais ou presque de réelle raison de
stocker des mots de passes en dur (si vous le
pensez, vous avez d’autres problèmes à
venir...)
42
Friday, February 15, 13
91. Conclusion
• La sécurité mobile en est au début.
44
Friday, February 15, 13
92. Conclusion
• La sécurité mobile en est au début.
• Nous venons d’identifier quelques problèmes,
il est nécessaire de les corriger !
44
Friday, February 15, 13
93. Conclusion
• La sécurité mobile en est au début.
• Nous venons d’identifier quelques problèmes,
il est nécessaire de les corriger !
• Les plateformes deviennent plus matures, les
applications le doivent aussi...
44
Friday, February 15, 13
94. Conclusion
• La sécurité mobile en est au début.
• Nous venons d’identifier quelques problèmes,
il est nécessaire de les corriger !
• Les plateformes deviennent plus matures, les
applications le doivent aussi...
• Ne pas oublier que la sécurité mobile
comporte une partie application
serveur !
44
Friday, February 15, 13
95. Liens
•OWASP Mobile Project : https://www.owasp.org/index.php/
OWASP_Mobile_Security_Project
•OWASP Top10 : https://www.owasp.org/index.php/
Category:OWASP_Top_Ten_Project
•http://www.windowsphone.com/en-US/business/security
•http://windowsphonehacker.com/articles/
the_complete_guide_to_jailbreaking_windows_phone_7_an
d_7.5-09-24-11
45
Friday, February 15, 13
96. Vous pouvez donc vous
protéger de lui maintenant...
@SPoint
sebastien.gioria@owasp.org
46
Friday, February 15, 13
97. Vous pouvez donc vous
protéger de lui maintenant...
@SPoint
sebastien.gioria@owasp.org
Il n'y a qu'une façon d'échouer, c'est d'abandonner avant
d'avoir réussi [Olivier Lockert]
46
Friday, February 15, 13