SlideShare une entreprise Scribd logo

Drupal, les hackers, la sécurité & les (très) grands comptes

J
Jean-Baptiste Guerraz

Les projets Drupal d'envergure s'intègrent toujours au sein d'un SI complexe avec de forts enjeux de sécurité. Pas une semaine sans un scandale d'intrusion, de piratage ou de problème de sécurité informatique, qui peuvent coûter des centaines de millions d'euros (cf. Sony). Comment vendre Drupal vis à vis des attentes et des craintes des grands comptes vis à vis de la sécurité ? Comment Drupal adresse les principaux risques identifiés OWASP ? Comment sécuriser une application Drupal au plus haut niveau ?

Internet
1  sur  58
Télécharger pour lire hors ligne
DRUPAL, LES HACKERS, LA SéCURITé & LES (TRèS) GRANDS COMPTES
jbguerraz@SKILLD:~$ whoami ● 13 ans d' IP – Vidéo : VOD & Live (Web, Mobiles & Télé) – Voix & Vidéo sur IP / Télécommunications – Applications clients/serveurs (Win/Mac/Linux/Mobiles) – Sites Web ● Dont 6 ans de Drupal ● Dir. Tech & Co-fondateur de Skilld
La sEcurité, hier, C'était ... 1ère icône : la défense gouvernementale made in US' <source label="Washington Post" href="http://wapo.st/1wvGybr" />
La sEcurité, hier, C'était ... 2ème icône Le standard sécurité du paiement par carte bancaire <source label="Washington Post" href="http://wapo.st/1wvGybr" />
La sEcurité, hier, C'était ... 3èMe icône : LA NOTRE ! :) <source label="Presse Citron" href="http://bit.ly/1tORbEo" />
La sEcurité, aujourd'hui, qu'est-ce ? ᄇ 2 milliards de dollars de dommages pour Sony Et ça continue ! <source label="La Tribune" href="http://bit.ly/1xUd8Gq" /> <source label="CNN" href="http://cnnmon.ie/1yDYPFR" />
La sEcurité, aujourd'hui, qu'est-ce ? 40 Millions de numéros de cartes de crédits 70 millions de données personnelles Et... 5 millions de dollars de DOMMAGES Pour target ! <source label="Silicon.fr" href="http://bit.ly/11mNeRu" />
La sEcurité, aujourd'hui, qu'est-ce ? 20 Millions de numéros de cartes de crédits 40 % de la population sud coréenne Et... 3 têtes qui s'offrent ! <source label="CNN" href="http://cnnmon.ie/1aob1nw" />
La sEcurité, aujourd'hui, qu'est-ce ? 4.6 million de comptes (numéros de téléphone compris!) 90 000 photos 9 000 vidéos <source label="The Verge" href="http://bit.ly/1gmPevh" />
La sEcurité, aujourd'hui, qu'est-ce ? 150 million de comptes (N° de cartes de crédits compris) Code source des produits Adobe « Adobe Acrobat, ColdFusion, ColdFusion Builder and other Adobe products » <source label="The Verge" href="http://bit.ly/1pXxJdX" />
La sEcurité, aujourd'hui, qu'est-ce ? Données personnelles de 4,5 million de PATIENTS (numéros de sécurité sociale) <source label="Reuters" href="http://reut.rs/1tkLkcN" />
La sEcurité, aujourd'hui, qu'est-ce ? PAR Volume PAR Sensibilité Les plus grosses failles du monde ! <source label="InformationIsBeautiful" href="http://bit.ly/19xscQO" />
La sEcurité, demain, ce sera ?
La sEcurité, demain, ce sera ? Bulletin de sécurité https://www.drupal.org/PSA-2014-003 <source label="BBC" href="http://bbc.in/1zm1N5N" />
La sEcurité, demain, ce sera ? Difficile ? <source label="Tor Onions" href="%00" />
La sEcurité, demain, ce sera ? Difficile, vraiment ? <source label="Mitnick Security" href="http://bit.ly/1oTMb5K" />
Préoccupations des Grands comptes ? $
Préoccupations des Grands comptes ? 4,8 M€ 3,89 M€ +20,5 % 2013 2014 Coût annuel du Cybercrime en France <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Préoccupations des Grands comptes ? Virus, Vers, Trojans Malware Attaque Web Phishing & Social Enemi de l'intérieur Code malicieux Matériel volé (d)DoS Botnets 0 2 4 6 8 10 12 14 16 18 2013 2014 Répartition du coût du Cybercrime en France par type d'attaque <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Préoccupations des Grands comptes ? Répartition du coût du Cybercrime en France par type d'attaque Virus, Vers, Trojans Malware Attaque Web Phishing & Social Enemi de l'intérieur Code malicieux Matériel volé (d)DoS Botnets 0 2 4 6 8 10 12 14 16 18 2013 2014 <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Préoccupations des Grands comptes ? Détection Restauration Containment Investigation Ex-post response Incident mngt 0 5 10 15 20 25 30 35 40 2013 2014 Répartition du coût du Cybercrime en France par source d'activités <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Préoccupations des Grands comptes ? Détection Restauration Containment Investigation Ex-post response Incident mngt 0 5 10 15 20 25 30 35 40 2013 2014 Répartition du coût du Cybercrime en France par source d'activités <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Préoccupations des Grands comptes ? Impact sur la clientèle / la marque ? Perte de clientèle (%) post-piratage par pays France : CHAMPIONS du monde ! FR IT UK US JP DE AU ID BZ AB 0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5 2013 2014 <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Comment vendre Drupal ? Drupal est utilisé par plus de 130 nations ! (sur 197) <source label="Acquia" href="http://bit.ly/1znS8bX" />
Comment vendre Drupal ?
Comment vendre Drupal ?
Comment vendre Drupal ? Drupal security Team Une équipe dédiée à la sécurité , depuis 2005, composée de 43 personnes ~50% de la taille des équipes concurrentes ?!
Comment vendre Drupal ? Drupal security Team Une capacité de communication et de mobilisation éprouvée <source label="BBC" href="http://bbc.in/1zm1N5N" />
Comment vendre Drupal ? La concurrence et la sécurité ? Java : ● Adobe Experience Manager (CQ5) ● HP Autonomy Teamsite ● Jive ● Lithium .Net : ● Sitecore ● SDL Tridion ● Ektron CMS
Comment vendre Drupal ? La concurrence et la sécurité ? Java : ● Adobe Experience Manager (CQ5) ● HP Autonomy Teamsite ● Jive ● Lithium .Net : ● Sitecore ● SDL Tridion ● Ektron CMS <source label="White Hat Sec" href="http://bit.ly/1EIFO98" />
<source label="VentureBeat" href="http://bit.ly/1zMsh0y" /> <source label="La Tribune" href="http://bit.ly/113SdW4" />
Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ? La concurrence et la sécurité ? - Adobe Experience Manager (Cq5)
1 Comment vendre Drupal ? La concurrence et la sécurité ? - Adobe Experience Manager (Cq5)
Comment vendre Drupal ? Dégager du budget pour renforcer la sécurité ?
OWASp, Kezako ? Open Web Application Security Project LA liste des 10 risques les plus CRITIQUES pour les applications web (mise a jour chaque année !) aussi, un ensemble : ● D'outils ● De méthodes ● De conseils ● ... & Une communauté !
OWASp, Kezako ? ● A1 – Injection ● A2 – Authentification & Sessions ● A3 – XSS ● A4 – références directes ● A5 – configurations ● A6 – Exposition de données sensibles ● A7 – Contrôle d'accès ● A8 – CSRF ● A9 – Dépendances ● A10 - Redirections
Drupal & Owasp : tu peux pas test !(euh...) <source label="Drupal Security Report" href="http://bit.ly/1EIGBXI" />
Drupal & Owasp : tu peux pas test !(euh...) XSS – la réponse Drupal ? Trop c'est mieux que pas assez ! ~ Mettez en « partout » ;) ~ P.S : t('utilisez les @placeholders pour vos chaînes traductibles');
Drupal & Owasp : tu peux pas test !(euh...) Access bypass – la réponse Drupal ? <?php function monmodule_menu() { $items['admin/monmodule/configuration'] = array( 'title' => 'Configuration de MonModule', 'page callback' => 'drupal_get_form', 'page arguments' => array('monmodule_config_form'), 'access arguments' => array('administer monmodule'), ); return $items; }?> <?php function monmodule_faitletrucquivabien() { … if(user_access('lapermissionquivabien')) { //Ok, faisons donc le truc qui va bien } … }?>
Drupal & Owasp : tu peux pas test !(euh...) CSRF – la réponse Drupal ? Les Jetons ! $csrf_token = drupal_get_token() ; … if(drupal_valid_token($csrf_token) ){ //Ok, let's do it ! } … Offert par la form API, sans effort supplémentaire ! ET au besoin, pour le get :
Drupal & Owasp : tu peux pas test !(euh...) SQL Injection – la réponse Drupal ? PHP PDO « façon Drupal » : DBTNG <?php function monmodule_faitletrucquivabien() { … $arguments = array(':name' => $name, ':uid' => $uid); db_select('dbtng_example') ->fields('dbtng_example') ->where('uid = :uid AND name = :name', $arguments) ->execute(); … }?>
● Seckit ● Paranoia ● Google Authenticator Login ● Two Factors Authentication ● Encrypt ● Flood control ● Session limit ● Auto log out ● Secure login / secure pages (bien que... HTTPS uniquement !) ● Md5 check MODULES
Recommandez Un ou deux chiens de garde ! Les WAF A la rescousse ! + =
We have met the enemy !
We have met the enemy ! Google DorkS
We have met the enemy ! GIThub DorkS
Merci :-) @jbguerraz jbguerraz@skilld.fr http://www.skilld.fr

Recommandé

OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013Sébastien GIORIA
 
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...Symantec
 
La réalité augmentée
La réalité augmentéeLa réalité augmentée
La réalité augmentéeODC Orange Developer Center
 
Powerpoint réalité augmentée
Powerpoint réalité augmentéePowerpoint réalité augmentée
Powerpoint réalité augmentéeManon Bass
 
Realite augmentee et qr codes en éducation
Realite augmentee et qr codes en éducationRealite augmentee et qr codes en éducation
Realite augmentee et qr codes en éducationannedelannoy
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
La Réalité Augmentée - C'est quoi ?
La Réalité Augmentée - C'est quoi ?La Réalité Augmentée - C'est quoi ?
La Réalité Augmentée - C'est quoi ?You to You
 

Recommandé

OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013Sébastien GIORIA
 
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...
Se préparer aux cyberattaques. Brochure : Mettre en oeuvre la bonne stratégi...Symantec
 
La réalité augmentée
La réalité augmentéeLa réalité augmentée
La réalité augmentéeODC Orange Developer Center
 
Powerpoint réalité augmentée
Powerpoint réalité augmentéePowerpoint réalité augmentée
Powerpoint réalité augmentéeManon Bass
 
Realite augmentee et qr codes en éducation
Realite augmentee et qr codes en éducationRealite augmentee et qr codes en éducation
Realite augmentee et qr codes en éducationannedelannoy
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
La Réalité Augmentée - C'est quoi ?
La Réalité Augmentée - C'est quoi ?La Réalité Augmentée - C'est quoi ?
La Réalité Augmentée - C'est quoi ?You to You
 
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesSkilld
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passePatrick Leclerc
 
La mobilité dans Drupal
La mobilité dans DrupalLa mobilité dans Drupal
La mobilité dans DrupalAdyax
 
1 pourquoi le big data aujourdhui
1 pourquoi le big data aujourdhui1 pourquoi le big data aujourdhui
1 pourquoi le big data aujourdhuiRomain Jouin
 
Mieux rediger-les-user-stories-bonnes-pratiques-oeildecoach 2019
Mieux rediger-les-user-stories-bonnes-pratiques-oeildecoach 2019Mieux rediger-les-user-stories-bonnes-pratiques-oeildecoach 2019
Mieux rediger-les-user-stories-bonnes-pratiques-oeildecoach 2019Oeil de Coach
 
Drupal & Mobilité
Drupal & MobilitéDrupal & Mobilité
Drupal & MobilitéJean-Baptiste Guerraz
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Cergeco informatique de gestion
Cergeco informatique de gestionCergeco informatique de gestion
Cergeco informatique de gestionProf. Jacques Folon (Ph.D)
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
La securite au coeur des projets web
La securite au coeur des projets webLa securite au coeur des projets web
La securite au coeur des projets webChristophe Villeneuve
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
Solution linux fr_janua_rex_i3
Solution linux fr_janua_rex_i3Solution linux fr_janua_rex_i3
Solution linux fr_janua_rex_i3Pascal Flamand
 
Supervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec NagiosSupervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec Nagioschristedy keihouad
 
La Sécurité Sur Le Web
La Sécurité Sur Le WebLa Sécurité Sur Le Web
La Sécurité Sur Le WebGroupe Revolution 9
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
SPA avec SignalR et Angular Js
SPA avec SignalR et Angular JsSPA avec SignalR et Angular Js
SPA avec SignalR et Angular JsMicrosoft
 
présentation soutenance PFE.ppt
présentation soutenance PFE.pptprésentation soutenance PFE.ppt
présentation soutenance PFE.pptMohamed Ben Bouzid
 
Retour d'expérience sur PowerShell
Retour d'expérience sur PowerShellRetour d'expérience sur PowerShell
Retour d'expérience sur PowerShellMicrosoft Technet France
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 

Contenu connexe

Similaire à Drupal, les hackers, la sécurité & les (très) grands comptes

Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesSkilld
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passePatrick Leclerc
 
La mobilité dans Drupal
La mobilité dans DrupalLa mobilité dans Drupal
La mobilité dans DrupalAdyax
 
1 pourquoi le big data aujourdhui
1 pourquoi le big data aujourdhui1 pourquoi le big data aujourdhui
1 pourquoi le big data aujourdhuiRomain Jouin
 
Mieux rediger-les-user-stories-bonnes-pratiques-oeildecoach 2019
Mieux rediger-les-user-stories-bonnes-pratiques-oeildecoach 2019Mieux rediger-les-user-stories-bonnes-pratiques-oeildecoach 2019
Mieux rediger-les-user-stories-bonnes-pratiques-oeildecoach 2019Oeil de Coach
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
La securite au coeur des projets web
La securite au coeur des projets webLa securite au coeur des projets web
La securite au coeur des projets webChristophe Villeneuve
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
Solution linux fr_janua_rex_i3
Solution linux fr_janua_rex_i3Solution linux fr_janua_rex_i3
Solution linux fr_janua_rex_i3Pascal Flamand
 
Supervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec NagiosSupervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec Nagioschristedy keihouad
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonSébastien GIORIA
 
SPA avec SignalR et Angular Js
SPA avec SignalR et Angular JsSPA avec SignalR et Angular Js
SPA avec SignalR et Angular JsMicrosoft
 
présentation soutenance PFE.ppt
présentation soutenance PFE.pptprésentation soutenance PFE.ppt
présentation soutenance PFE.pptMohamed Ben Bouzid
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 

Similaire à Drupal, les hackers, la sécurité & les (très) grands comptes (20)

Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passe
 
La mobilité dans Drupal
La mobilité dans DrupalLa mobilité dans Drupal
La mobilité dans Drupal
 
1 pourquoi le big data aujourdhui
1 pourquoi le big data aujourdhui1 pourquoi le big data aujourdhui
1 pourquoi le big data aujourdhui
 
Mieux rediger-les-user-stories-bonnes-pratiques-oeildecoach 2019
Mieux rediger-les-user-stories-bonnes-pratiques-oeildecoach 2019Mieux rediger-les-user-stories-bonnes-pratiques-oeildecoach 2019
Mieux rediger-les-user-stories-bonnes-pratiques-oeildecoach 2019
 
Drupal & Mobilité
Drupal & MobilitéDrupal & Mobilité
Drupal & Mobilité
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
Cergeco informatique de gestion
Cergeco informatique de gestionCergeco informatique de gestion
Cergeco informatique de gestion
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
La securite au coeur des projets web
La securite au coeur des projets webLa securite au coeur des projets web
La securite au coeur des projets web
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
Solution linux fr_janua_rex_i3
Solution linux fr_janua_rex_i3Solution linux fr_janua_rex_i3
Solution linux fr_janua_rex_i3
 
Supervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec NagiosSupervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec Nagios
 
La Sécurité Sur Le Web
La Sécurité Sur Le WebLa Sécurité Sur Le Web
La Sécurité Sur Le Web
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
SPA avec SignalR et Angular Js
SPA avec SignalR et Angular JsSPA avec SignalR et Angular Js
SPA avec SignalR et Angular Js
 
présentation soutenance PFE.ppt
présentation soutenance PFE.pptprésentation soutenance PFE.ppt
présentation soutenance PFE.ppt
 
Retour d'expérience sur PowerShell
Retour d'expérience sur PowerShellRetour d'expérience sur PowerShell
Retour d'expérience sur PowerShell
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 

Drupal, les hackers, la sécurité & les (très) grands comptes

  • 1. DRUPAL, LES HACKERS, LA SéCURITé & LES (TRèS) GRANDS COMPTES
  • 2. jbguerraz@SKILLD:~$ whoami ● 13 ans d' IP – Vidéo : VOD & Live (Web, Mobiles & Télé) – Voix & Vidéo sur IP / Télécommunications – Applications clients/serveurs (Win/Mac/Linux/Mobiles) – Sites Web ● Dont 6 ans de Drupal ● Dir. Tech & Co-fondateur de Skilld
  • 3. La sEcurité, hier, C'était ... 1ère icône : la défense gouvernementale made in US' <source label="Washington Post" href="http://wapo.st/1wvGybr" />
  • 4. La sEcurité, hier, C'était ... 2ème icône Le standard sécurité du paiement par carte bancaire <source label="Washington Post" href="http://wapo.st/1wvGybr" />
  • 5. La sEcurité, hier, C'était ... 3èMe icône : LA NOTRE ! :) <source label="Presse Citron" href="http://bit.ly/1tORbEo" />
  • 6.
  • 7. La sEcurité, aujourd'hui, qu'est-ce ? ᄇ 2 milliards de dollars de dommages pour Sony Et ça continue ! <source label="La Tribune" href="http://bit.ly/1xUd8Gq" /> <source label="CNN" href="http://cnnmon.ie/1yDYPFR" />
  • 8. La sEcurité, aujourd'hui, qu'est-ce ? 40 Millions de numéros de cartes de crédits 70 millions de données personnelles Et... 5 millions de dollars de DOMMAGES Pour target ! <source label="Silicon.fr" href="http://bit.ly/11mNeRu" />
  • 9. La sEcurité, aujourd'hui, qu'est-ce ? 20 Millions de numéros de cartes de crédits 40 % de la population sud coréenne Et... 3 têtes qui s'offrent ! <source label="CNN" href="http://cnnmon.ie/1aob1nw" />
  • 10. La sEcurité, aujourd'hui, qu'est-ce ? 4.6 million de comptes (numéros de téléphone compris!) 90 000 photos 9 000 vidéos <source label="The Verge" href="http://bit.ly/1gmPevh" />
  • 11. La sEcurité, aujourd'hui, qu'est-ce ? 150 million de comptes (N° de cartes de crédits compris) Code source des produits Adobe « Adobe Acrobat, ColdFusion, ColdFusion Builder and other Adobe products » <source label="The Verge" href="http://bit.ly/1pXxJdX" />
  • 12. La sEcurité, aujourd'hui, qu'est-ce ? Données personnelles de 4,5 million de PATIENTS (numéros de sécurité sociale) <source label="Reuters" href="http://reut.rs/1tkLkcN" />
  • 13. La sEcurité, aujourd'hui, qu'est-ce ? PAR Volume PAR Sensibilité Les plus grosses failles du monde ! <source label="InformationIsBeautiful" href="http://bit.ly/19xscQO" />
  • 14.
  • 16. La sEcurité, demain, ce sera ? Bulletin de sécurité https://www.drupal.org/PSA-2014-003 <source label="BBC" href="http://bbc.in/1zm1N5N" />
  • 17. La sEcurité, demain, ce sera ? Difficile ? <source label="Tor Onions" href="%00" />
  • 18. La sEcurité, demain, ce sera ? Difficile, vraiment ? <source label="Mitnick Security" href="http://bit.ly/1oTMb5K" />
  • 20. Préoccupations des Grands comptes ? 4,8 M€ 3,89 M€ +20,5 % 2013 2014 Coût annuel du Cybercrime en France <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  • 21. Préoccupations des Grands comptes ? Virus, Vers, Trojans Malware Attaque Web Phishing & Social Enemi de l'intérieur Code malicieux Matériel volé (d)DoS Botnets 0 2 4 6 8 10 12 14 16 18 2013 2014 Répartition du coût du Cybercrime en France par type d'attaque <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  • 22. Préoccupations des Grands comptes ? Répartition du coût du Cybercrime en France par type d'attaque Virus, Vers, Trojans Malware Attaque Web Phishing & Social Enemi de l'intérieur Code malicieux Matériel volé (d)DoS Botnets 0 2 4 6 8 10 12 14 16 18 2013 2014 <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  • 23. Préoccupations des Grands comptes ? Détection Restauration Containment Investigation Ex-post response Incident mngt 0 5 10 15 20 25 30 35 40 2013 2014 Répartition du coût du Cybercrime en France par source d'activités <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  • 24. Préoccupations des Grands comptes ? Détection Restauration Containment Investigation Ex-post response Incident mngt 0 5 10 15 20 25 30 35 40 2013 2014 Répartition du coût du Cybercrime en France par source d'activités <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  • 25. Préoccupations des Grands comptes ? Impact sur la clientèle / la marque ? Perte de clientèle (%) post-piratage par pays France : CHAMPIONS du monde ! FR IT UK US JP DE AU ID BZ AB 0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5 2013 2014 <source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
  • 26. Comment vendre Drupal ? Drupal est utilisé par plus de 130 nations ! (sur 197) <source label="Acquia" href="http://bit.ly/1znS8bX" />
  • 29. Comment vendre Drupal ? Drupal security Team Une équipe dédiée à la sécurité , depuis 2005, composée de 43 personnes ~50% de la taille des équipes concurrentes ?!
  • 30. Comment vendre Drupal ? Drupal security Team Une capacité de communication et de mobilisation éprouvée <source label="BBC" href="http://bbc.in/1zm1N5N" />
  • 31. Comment vendre Drupal ? La concurrence et la sécurité ? Java : ● Adobe Experience Manager (CQ5) ● HP Autonomy Teamsite ● Jive ● Lithium .Net : ● Sitecore ● SDL Tridion ● Ektron CMS
  • 32.
  • 33. Comment vendre Drupal ? La concurrence et la sécurité ? Java : ● Adobe Experience Manager (CQ5) ● HP Autonomy Teamsite ● Jive ● Lithium .Net : ● Sitecore ● SDL Tridion ● Ektron CMS <source label="White Hat Sec" href="http://bit.ly/1EIFO98" />
  • 34. <source label="VentureBeat" href="http://bit.ly/1zMsh0y" /> <source label="La Tribune" href="http://bit.ly/113SdW4" />
  • 35. Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
  • 36. Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
  • 37. Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
  • 38. Comment vendre Drupal ? La concurrence et la sécurité ? - SiteCore
  • 39. Comment vendre Drupal ? La concurrence et la sécurité ? - Adobe Experience Manager (Cq5)
  • 40. 1 Comment vendre Drupal ? La concurrence et la sécurité ? - Adobe Experience Manager (Cq5)
  • 41.
  • 42. Comment vendre Drupal ? Dégager du budget pour renforcer la sécurité ?
  • 43. OWASp, Kezako ? Open Web Application Security Project LA liste des 10 risques les plus CRITIQUES pour les applications web (mise a jour chaque année !) aussi, un ensemble : ● D'outils ● De méthodes ● De conseils ● ... & Une communauté !
  • 44. OWASp, Kezako ? ● A1 – Injection ● A2 – Authentification & Sessions ● A3 – XSS ● A4 – références directes ● A5 – configurations ● A6 – Exposition de données sensibles ● A7 – Contrôle d'accès ● A8 – CSRF ● A9 – Dépendances ● A10 - Redirections
  • 45. Drupal & Owasp : tu peux pas test !(euh...) <source label="Drupal Security Report" href="http://bit.ly/1EIGBXI" />
  • 46. Drupal & Owasp : tu peux pas test !(euh...) XSS – la réponse Drupal ? Trop c'est mieux que pas assez ! ~ Mettez en « partout » ;) ~ P.S : t('utilisez les @placeholders pour vos chaînes traductibles');
  • 47. Drupal & Owasp : tu peux pas test !(euh...) Access bypass – la réponse Drupal ? <?php function monmodule_menu() { $items['admin/monmodule/configuration'] = array( 'title' => 'Configuration de MonModule', 'page callback' => 'drupal_get_form', 'page arguments' => array('monmodule_config_form'), 'access arguments' => array('administer monmodule'), ); return $items; }?> <?php function monmodule_faitletrucquivabien() { … if(user_access('lapermissionquivabien')) { //Ok, faisons donc le truc qui va bien } … }?>
  • 48. Drupal & Owasp : tu peux pas test !(euh...) CSRF – la réponse Drupal ? Les Jetons ! $csrf_token = drupal_get_token() ; … if(drupal_valid_token($csrf_token) ){ //Ok, let's do it ! } … Offert par la form API, sans effort supplémentaire ! ET au besoin, pour le get :
  • 49. Drupal & Owasp : tu peux pas test !(euh...) SQL Injection – la réponse Drupal ? PHP PDO « façon Drupal » : DBTNG <?php function monmodule_faitletrucquivabien() { … $arguments = array(':name' => $name, ':uid' => $uid); db_select('dbtng_example') ->fields('dbtng_example') ->where('uid = :uid AND name = :name', $arguments) ->execute(); … }?>
  • 50. ● Seckit ● Paranoia ● Google Authenticator Login ● Two Factors Authentication ● Encrypt ● Flood control ● Session limit ● Auto log out ● Secure login / secure pages (bien que... HTTPS uniquement !) ● Md5 check MODULES
  • 51. Recommandez Un ou deux chiens de garde ! Les WAF A la rescousse ! + =
  • 52. We have met the enemy !
  • 53. We have met the enemy ! Google DorkS
  • 54.
  • 55. We have met the enemy ! GIThub DorkS
  • 56.
  • 57.