SlideShare une entreprise Scribd logo
Comprendre et anticiper
les menaces applicatives.
LES GRANDS CLASSIQUES
LES GRANDS CLASSIQUES
Attaques applicatives
+ SQL Injection
+ Cross Site Scripting
+ Command Injection
+ Path Traversal
+ Local (remote) File Inclusion
+ Redirections vers des sites tiers
Faiblesses
d’architecture
+ Mauvaise gestion des droits
+ Mauvaise gestion des accès aux
ressources
+ Upload de fichiers dangereux
+ Cookies non sécurisés
+ Pages sessionless
Déni de service
+ Atteinte des limites du serveur
+ Atteinte des limites de l’application
+ Vulnérabilité serveur (Apache, IIS,
etc)
Phishing/Scamming
+ Emails piégés
+ Abus de confiance
+ Ingénierie sociale
POURQUOI SONT ILS SI
MÉCHANTS ?
Objectifs
+ Vol de données sensibles (plusieurs € par référence)
+ Interruption de service
+ Atteinte à l’image de marque ou d’une société
+ Prise de contrôle de machines cibles
+ Revenus financiers
Quelques exemples
+ US Army credentials informations leaks
+ NATO documents steal
+ SCADA
+ DDOS Operation (HSBC, Facebook, Twitter, Forex market)
+ Phishing (facebook, twitter)
CONTRE-MESURES
Attaques applicatives
+ Mise en place d’un pare-feu applicatif (filtrage, contrôle du trafic)
+ Développement sécurisé
+ Audits (code et sécurité)
Déni de service
+ Mise en place de pare-feu réseau
+ Mise en place d’une sonde réseau
+ (Virtual) Patching afin de contrer les vulnérabilités 0-Day
Phishing
+ Mise en place de solutions d’authentification des emails
+ Formation du personnel
+ Sensibilisation des utilisateurs (http://www.phishing.fr)
NOUVELLES TENDANCES
ATTAQUES APPLICATIVES
Obfuscation d’attaques applicatives (Firewall
Bypassing)
+ Utilisation d’encodages spécifiques (UTF-8, UTF-7, UTF-Multibytes, multiple URL
encoding)
+ SQL Injection avancées (blind injections, conversions implicites)
+ XSS avancés (Javascript obfuscation)
Nouvelles attaques
+ HTML5 (nouveaux XSS et Injections HTML, attaques navigateurs)
+ XSRF (la vulnérabilité la plus répandue actuellement)
+ Des évolutions des anciennes recettes…
ATTAQUES ZERO DAY
Cibles sur le serveur
+ Apache, IIS, Tomcat, Glassfish
+ OpenSSL, XML parsers
+ Vulnérabilités Système
Méthodologie
+ Requêtes et communications malformées
+ Exploitation de fuite mémoire
Outils
+ Metasploit
+ Slowloris
+ THC-SSL-DOS, etc.
ATTAQUES DU PROTOCOLE SSL
Ciphers cracking
+ B.E.A.S.T.
+ CBC mode vulnerability
SSL Bypass
+ C.R.I.M.E. (Découverte des cookies, Analyse du taux de compression SSL)
+ C.R.I.M.E. v2 (HTTP Compression, Time Attack)
BONNES PRATIQUES
SE MAINTENIR A JOUR
Les attaques applicatives évoluent et se
transforment
+ Maintenir ses règles de sécurité à jour
+ Installer les mises à jour des produits de défense dès qu’elles sont disponibles
+ Mettre en place des règles de virtual patching via ICX ou les workflows
Les nouvelles vulnérabilités sont toujours
exploitées
+ Maintenir son niveau de connaissance des produits
+ S’informer de l’actualité des techniques d’attaque
+ Le pare-feu applicatif ne dispense pas de maintenir à jour les composants clés de
l’infrastructure (frameworks, bibliothèques, etc)
RENFORCER LA POLITIQUE
D’ACCES
De nouvelles formes d’attaques applicatives
apparaissent
+ Comprendre ces attaques
+ Mesurer leur impact dans le système d’information
+ Mettre en place des techniques de protections adaptées (nouvelles règles ICX,
modification et amélioration des politiques de sécurité)
Les communications SSL sont au cœur de
la sécurité Web
+ Utiliser des algorithmes de chiffrement sûrs et reconnus
+ Maintenir le serveur applicatif à jour
+ Maintenir le pare-feu applicatif à jour
VALIDER LE TRAFFIC
La majorité des nouvelles vulnérabilités sont
issues d’un trafic anormal
+ Requêtes mal formées ou invalides
+ Protocole HTTP modifié
+ Flux de données anormalement important
Mettre en place des outils de contrôle et
de maitrise du trafic:
+ Vérifier la taille des requêtes
+ Vérifier la validité du protocole
+ Vérifier le nombre et le format des paramètres
NE RIEN OUBLIER
Disparition progressive de l’architecture deux tiers
+ Les communications ne se font plus uniquement entre le client (navigateur internet) et le
serveur web
+ Apparition d’autres clients (applications mobiles, clients lourds, applications partenaires)
+ Communication via des API Web Services (SOAP/XML) peu ou pas protégés !
Le cœur fonctionnel de l’application web reste le
même
+ Utilisation de SQL, HTML et de langages de script
+ Les attaques applicatives touchent également les web services
+ Au même titre que les applications web classiques, les Web Services doivent être protégés!
UNE APPLICATION WEB
SÉCURISÉE
UNE APPLICATION SÉCURISÉE
Une infrastructure à
jour
+ Pare-feu applicatif + signatures
+ Serveur web
+ Annuaire et base de données
+ Système d’exploitation
Une maîtrise du trafic
entrant
+ Taille des requêtes
+ Nombre de requêtes
+ Nombre et format de paramètres
+ Protocoles autorisés
Une bonne
connaissance de
l’application web
+ Identification des différents points
de communications
+ Evaluation des niveaux de
confiance
Un suivi de l’actualité
sécurité
+ Nouvelles vulnérabilités
+ Nouvelles attaques
VULNÉRABILITÉS WEB ‘13
WAF
WAF
WAF
WAF
MULTI
WAF
WAF
MULTI
WAF
WAF
# Vulnérabilité
1 Injection
2 Broken authentication & session management
3 Cross site scripting
4 Insecure direct object reference
5 Security misconfiguration
6 Sensitive data exposure
7 Missing function level access control
8 Cross site request forgery
9 Using components with known vulnerabilities
10 Unvalidated redirects and forwards
Contre mesure
Dans 8 des 10 vulnérabilités du Top10, le WAF joue un rôle important
VOTRE PARE-FEU APPLICATIF
Doit :
+ Être un équipement dédié
+ Être à jour !
+ Être modulaire et industrialisable
+ Protéger TOUTES les applications
+ Protéger efficacement les Web Services
+ Protéger les applications mobiles
Ne doit pas :
+ Être une boîte noire
+ Nécessiter 800 pages de manuel
+ Requérir l’intervention des
développeurs
Web Application
Firewall, Web Access
Management et Web
Services Firewall.
MOINS DE
PRODUITS
Solution unifiée de filtrage, de
contrôle du trafic HTTP,
d’authentification et de routage
applicatif. Applications, APIs, web
services.
MOINS DE TEMPS
Administration graphique simple
et puissante. Profils d’applications,
templates.
BEE WARE I-SUITE 5.5
Active monitoring
Application firewalling
Application routing
HTTP throttling
Mobility policies
REST/JSON
Reverse proxy
SOAP/XML
SSL tunneling
Strong authentication
Web cloaking
Workflow
MOINS DE
STRESS
Supervision et protection du trafic
applicatif. En tout point du
système d’information.
CONTACTS
Service commercial
+ tel : +33 1 74 90 50 96
+ sales@bee-ware.net
Plus d’infos
+ http://www.bee-ware.net
+ http://blog.bee-ware.net
+ http://my.bee-ware.net
+ http://www.slideshare.net/bee_ware
+ http://www.scoop.it/t/securite-web
+ @beewaretech
+ @beewebsec

Contenu connexe

Tendances

Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
EyesOpen Association
 
Threat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep SinghThreat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep Singh
OWASP Delhi
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
Comsoce
 
Security Operations Center (SOC) Essentials for the SME
Security Operations Center (SOC) Essentials for the SMESecurity Operations Center (SOC) Essentials for the SME
Security Operations Center (SOC) Essentials for the SME
AlienVault
 
Applications mobiles et sécurité
Applications mobiles et sécuritéApplications mobiles et sécurité
Applications mobiles et sécurité
Bitdefender en France
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
PECB
 
Security Training: #3 Threat Modelling - Practices and Tools
Security Training: #3 Threat Modelling - Practices and ToolsSecurity Training: #3 Threat Modelling - Practices and Tools
Security Training: #3 Threat Modelling - Practices and Tools
Yulian Slobodyan
 
Cyber Threat Hunting Workshop
Cyber Threat Hunting WorkshopCyber Threat Hunting Workshop
Cyber Threat Hunting Workshop
Digit Oktavianto
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
Jean-Michel Razafindrabe
 
DevSecOps
DevSecOpsDevSecOps
DevSecOps
Joel Divekar
 
SAST vs. DAST: What’s the Best Method For Application Security Testing?
SAST vs. DAST: What’s the Best Method For Application Security Testing?SAST vs. DAST: What’s the Best Method For Application Security Testing?
SAST vs. DAST: What’s the Best Method For Application Security Testing?
Cigital
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CK
EyesOpen Association
 
Vulnérabilité des sites web
Vulnérabilité des sites webVulnérabilité des sites web
Vulnérabilité des sites web
Said Sadik
 
Red Team Framework
Red Team FrameworkRed Team Framework
Red Team Framework
👀 Joe Gray
 
Sécurité des Applications WEB -LEVEL1
 Sécurité des Applications WEB-LEVEL1 Sécurité des Applications WEB-LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Mehari
MehariMehari
Cyber Defense Matrix: Reloaded
Cyber Defense Matrix: ReloadedCyber Defense Matrix: Reloaded
Cyber Defense Matrix: Reloaded
Sounil Yu
 
A Practical Example to Using SABSA Extended Security-in-Depth Strategy
A Practical Example to Using SABSA Extended Security-in-Depth Strategy A Practical Example to Using SABSA Extended Security-in-Depth Strategy
A Practical Example to Using SABSA Extended Security-in-Depth Strategy
Allen Baranov
 

Tendances (20)

Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Threat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep SinghThreat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep Singh
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Security Operations Center (SOC) Essentials for the SME
Security Operations Center (SOC) Essentials for the SMESecurity Operations Center (SOC) Essentials for the SME
Security Operations Center (SOC) Essentials for the SME
 
Applications mobiles et sécurité
Applications mobiles et sécuritéApplications mobiles et sécurité
Applications mobiles et sécurité
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 
Security Training: #3 Threat Modelling - Practices and Tools
Security Training: #3 Threat Modelling - Practices and ToolsSecurity Training: #3 Threat Modelling - Practices and Tools
Security Training: #3 Threat Modelling - Practices and Tools
 
Cyber Threat Hunting Workshop
Cyber Threat Hunting WorkshopCyber Threat Hunting Workshop
Cyber Threat Hunting Workshop
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
DevSecOps
DevSecOpsDevSecOps
DevSecOps
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 
SAST vs. DAST: What’s the Best Method For Application Security Testing?
SAST vs. DAST: What’s the Best Method For Application Security Testing?SAST vs. DAST: What’s the Best Method For Application Security Testing?
SAST vs. DAST: What’s the Best Method For Application Security Testing?
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CK
 
Vulnérabilité des sites web
Vulnérabilité des sites webVulnérabilité des sites web
Vulnérabilité des sites web
 
Red Team Framework
Red Team FrameworkRed Team Framework
Red Team Framework
 
Sécurité des Applications WEB -LEVEL1
 Sécurité des Applications WEB-LEVEL1 Sécurité des Applications WEB-LEVEL1
Sécurité des Applications WEB -LEVEL1
 
Mehari
MehariMehari
Mehari
 
Cyber Defense Matrix: Reloaded
Cyber Defense Matrix: ReloadedCyber Defense Matrix: Reloaded
Cyber Defense Matrix: Reloaded
 
A Practical Example to Using SABSA Extended Security-in-Depth Strategy
A Practical Example to Using SABSA Extended Security-in-Depth Strategy A Practical Example to Using SABSA Extended Security-in-Depth Strategy
A Practical Example to Using SABSA Extended Security-in-Depth Strategy
 
Sécurité des applications web
Sécurité des applications webSécurité des applications web
Sécurité des applications web
 

En vedette

Les francais et la protection des données personnelles
Les francais et la protection des données personnellesLes francais et la protection des données personnelles
Les francais et la protection des données personnelles
Bee_Ware
 
Java Bytecodes by Example
Java Bytecodes by ExampleJava Bytecodes by Example
Java Bytecodes by Example
Ganesh Samarthyam
 
A7 Missing Function Level Access Control
A7   Missing Function Level Access ControlA7   Missing Function Level Access Control
A7 Missing Function Level Access Control
stevil1224
 
ASFWS 2012 - Le développement d’applications sécurisées avec Android par Joha...
ASFWS 2012 - Le développement d’applications sécurisées avec Android par Joha...ASFWS 2012 - Le développement d’applications sécurisées avec Android par Joha...
ASFWS 2012 - Le développement d’applications sécurisées avec Android par Joha...
Cyber Security Alliance
 
Guide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueGuide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatique
Laurent DAST
 
Partie II – ASM Application Security Manager
Partie II – ASM Application Security ManagerPartie II – ASM Application Security Manager
Partie II – ASM Application Security Manager
e-Xpert Solutions SA
 
CustomerGauge B2b Net Promoter Score Measurement
CustomerGauge B2b Net Promoter Score MeasurementCustomerGauge B2b Net Promoter Score Measurement
CustomerGauge B2b Net Promoter Score Measurement
CustomerGauge
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration
Bee_Ware
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
Cyber Security Alliance
 
session Agile Tour Nantes 2013 - "Au secours, ma bibliothèque iTu*** me parle...
session Agile Tour Nantes 2013 - "Au secours, ma bibliothèque iTu*** me parle...session Agile Tour Nantes 2013 - "Au secours, ma bibliothèque iTu*** me parle...
session Agile Tour Nantes 2013 - "Au secours, ma bibliothèque iTu*** me parle...
Cédric Bodin
 
Présentation Identités Actives
Présentation Identités ActivesPrésentation Identités Actives
Présentation Identités ActivesFing
 
StHack 2014 - Ninon Eyrolles Obfuscation 101
StHack 2014 - Ninon Eyrolles Obfuscation 101StHack 2014 - Ninon Eyrolles Obfuscation 101
StHack 2014 - Ninon Eyrolles Obfuscation 101
StHack
 
Réduire la taille de son apk
Réduire la taille de son apkRéduire la taille de son apk
Réduire la taille de son apk
Jacques GIRAUDEL
 

En vedette (13)

Les francais et la protection des données personnelles
Les francais et la protection des données personnellesLes francais et la protection des données personnelles
Les francais et la protection des données personnelles
 
Java Bytecodes by Example
Java Bytecodes by ExampleJava Bytecodes by Example
Java Bytecodes by Example
 
A7 Missing Function Level Access Control
A7   Missing Function Level Access ControlA7   Missing Function Level Access Control
A7 Missing Function Level Access Control
 
ASFWS 2012 - Le développement d’applications sécurisées avec Android par Joha...
ASFWS 2012 - Le développement d’applications sécurisées avec Android par Joha...ASFWS 2012 - Le développement d’applications sécurisées avec Android par Joha...
ASFWS 2012 - Le développement d’applications sécurisées avec Android par Joha...
 
Guide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueGuide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatique
 
Partie II – ASM Application Security Manager
Partie II – ASM Application Security ManagerPartie II – ASM Application Security Manager
Partie II – ASM Application Security Manager
 
CustomerGauge B2b Net Promoter Score Measurement
CustomerGauge B2b Net Promoter Score MeasurementCustomerGauge B2b Net Promoter Score Measurement
CustomerGauge B2b Net Promoter Score Measurement
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
 
session Agile Tour Nantes 2013 - "Au secours, ma bibliothèque iTu*** me parle...
session Agile Tour Nantes 2013 - "Au secours, ma bibliothèque iTu*** me parle...session Agile Tour Nantes 2013 - "Au secours, ma bibliothèque iTu*** me parle...
session Agile Tour Nantes 2013 - "Au secours, ma bibliothèque iTu*** me parle...
 
Présentation Identités Actives
Présentation Identités ActivesPrésentation Identités Actives
Présentation Identités Actives
 
StHack 2014 - Ninon Eyrolles Obfuscation 101
StHack 2014 - Ninon Eyrolles Obfuscation 101StHack 2014 - Ninon Eyrolles Obfuscation 101
StHack 2014 - Ninon Eyrolles Obfuscation 101
 
Réduire la taille de son apk
Réduire la taille de son apkRéduire la taille de son apk
Réduire la taille de son apk
 

Similaire à Les menaces applicatives

ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
Cyber Security Alliance
 
Sécurité des web services soap
Sécurité des web services soapSécurité des web services soap
Sécurité des web services soap
Zakaria SMAHI
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuelles
Bee_Ware
 
Owasp top 10 2010 Resist toulouse
Owasp top 10   2010  Resist toulouseOwasp top 10   2010  Resist toulouse
Owasp top 10 2010 Resist toulouseSébastien GIORIA
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web servicesBee_Ware
 
Securité des applications web
Securité des applications webSecurité des applications web
Securité des applications web
Marcel TCHOULEGHEU
 
Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Asma Messaoudi
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif
LeClubQualiteLogicielle
 
Securite web is_ima
Securite web is_imaSecurite web is_ima
Securite web is_ima
Blidaoui Abdelhak
 
Introduction à la sécurité des applications web avec php [fr]
Introduction à la sécurité des applications web avec php [fr]Introduction à la sécurité des applications web avec php [fr]
Introduction à la sécurité des applications web avec php [fr]
Wixiweb
 
Conférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
Conférence #nwxtech2 : Sécurité web/PHP par Maxime MauchausséeConférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
Conférence #nwxtech2 : Sécurité web/PHP par Maxime MauchausséeNormandie Web Xperts
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2
Sylvain Maret
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
Cyrille Grandval
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
Rapport Threat Intelligence Check Point du 11 avril 2016
Rapport Threat Intelligence Check Point du 11 avril 2016Rapport Threat Intelligence Check Point du 11 avril 2016
Rapport Threat Intelligence Check Point du 11 avril 2016
Blandine Delaporte
 
Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport Threat Intelligence Check Point du 25 juillet 2016Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport Threat Intelligence Check Point du 25 juillet 2016
Blandine Delaporte
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
Sylvain Maret
 
Première rencontre d'owasp québec
Première rencontre d'owasp québecPremière rencontre d'owasp québec
Première rencontre d'owasp québecPatrick Leclerc
 

Similaire à Les menaces applicatives (20)

ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
 
Sécurité des web services soap
Sécurité des web services soapSécurité des web services soap
Sécurité des web services soap
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuelles
 
Owasp top 10 2010 Resist toulouse
Owasp top 10   2010  Resist toulouseOwasp top 10   2010  Resist toulouse
Owasp top 10 2010 Resist toulouse
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web services
 
Securité des applications web
Securité des applications webSecurité des applications web
Securité des applications web
 
Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif
 
Securite web is_ima
Securite web is_imaSecurite web is_ima
Securite web is_ima
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdf
 
Introduction à la sécurité des applications web avec php [fr]
Introduction à la sécurité des applications web avec php [fr]Introduction à la sécurité des applications web avec php [fr]
Introduction à la sécurité des applications web avec php [fr]
 
Conférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
Conférence #nwxtech2 : Sécurité web/PHP par Maxime MauchausséeConférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
Conférence #nwxtech2 : Sécurité web/PHP par Maxime Mauchaussée
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
 
Rapport Threat Intelligence Check Point du 11 avril 2016
Rapport Threat Intelligence Check Point du 11 avril 2016Rapport Threat Intelligence Check Point du 11 avril 2016
Rapport Threat Intelligence Check Point du 11 avril 2016
 
Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport Threat Intelligence Check Point du 25 juillet 2016Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport Threat Intelligence Check Point du 25 juillet 2016
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
Première rencontre d'owasp québec
Première rencontre d'owasp québecPremière rencontre d'owasp québec
Première rencontre d'owasp québec
 

Plus de Bee_Ware

DDoS threat landscape report
DDoS threat landscape reportDDoS threat landscape report
DDoS threat landscape report
Bee_Ware
 
Top ten big data security and privacy challenges
Top ten big data security and privacy challengesTop ten big data security and privacy challenges
Top ten big data security and privacy challenges
Bee_Ware
 
2013 global encryption trends study
2013 global encryption trends study2013 global encryption trends study
2013 global encryption trends study
Bee_Ware
 
Verizon 2014 pci compliance report
Verizon 2014 pci compliance reportVerizon 2014 pci compliance report
Verizon 2014 pci compliance report
Bee_Ware
 
Numergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloudNumergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloud
Bee_Ware
 
Bonnes pratiques de sécurité - Kaspersky
Bonnes pratiques de sécurité - KasperskyBonnes pratiques de sécurité - Kaspersky
Bonnes pratiques de sécurité - Kaspersky
Bee_Ware
 
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Bee_Ware
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
Bee_Ware
 
Kindsight security labs malware report - Q4 2013
Kindsight security labs malware report - Q4 2013Kindsight security labs malware report - Q4 2013
Kindsight security labs malware report - Q4 2013
Bee_Ware
 
Biometrics how far are we prepared to go
Biometrics how far are we prepared to goBiometrics how far are we prepared to go
Biometrics how far are we prepared to go
Bee_Ware
 
Managing complexity in IAM
Managing complexity in IAMManaging complexity in IAM
Managing complexity in IAM
Bee_Ware
 
Websense security prediction 2014
Websense   security prediction 2014Websense   security prediction 2014
Websense security prediction 2014
Bee_Ware
 
La sécurité des Si en établissement de santé
La sécurité des Si en établissement de santéLa sécurité des Si en établissement de santé
La sécurité des Si en établissement de santé
Bee_Ware
 
Les 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobilesLes 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobiles
Bee_Ware
 
2013 Mobile Application Security Survey
2013 Mobile Application Security Survey2013 Mobile Application Security Survey
2013 Mobile Application Security Survey
Bee_Ware
 
Website Security Statistics Report 2013
Website Security Statistics Report 2013Website Security Statistics Report 2013
Website Security Statistics Report 2013
Bee_Ware
 
Guide de mise en oeuvre d'une authentification forte avec une cps
Guide de mise en oeuvre d'une authentification forte avec une cpsGuide de mise en oeuvre d'une authentification forte avec une cps
Guide de mise en oeuvre d'une authentification forte avec une cps
Bee_Ware
 
Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013
Bee_Ware
 
2013 cost of data breach study - France
2013 cost of data breach study - France2013 cost of data breach study - France
2013 cost of data breach study - France
Bee_Ware
 
2013 cost of data breach study - Global analysis
2013 cost of data breach study - Global analysis2013 cost of data breach study - Global analysis
2013 cost of data breach study - Global analysis
Bee_Ware
 

Plus de Bee_Ware (20)

DDoS threat landscape report
DDoS threat landscape reportDDoS threat landscape report
DDoS threat landscape report
 
Top ten big data security and privacy challenges
Top ten big data security and privacy challengesTop ten big data security and privacy challenges
Top ten big data security and privacy challenges
 
2013 global encryption trends study
2013 global encryption trends study2013 global encryption trends study
2013 global encryption trends study
 
Verizon 2014 pci compliance report
Verizon 2014 pci compliance reportVerizon 2014 pci compliance report
Verizon 2014 pci compliance report
 
Numergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloudNumergy la sécurité des données dans le cloud
Numergy la sécurité des données dans le cloud
 
Bonnes pratiques de sécurité - Kaspersky
Bonnes pratiques de sécurité - KasperskyBonnes pratiques de sécurité - Kaspersky
Bonnes pratiques de sécurité - Kaspersky
 
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...Les entreprises européennes sont elles bien armées pour affronter les cyber a...
Les entreprises européennes sont elles bien armées pour affronter les cyber a...
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
 
Kindsight security labs malware report - Q4 2013
Kindsight security labs malware report - Q4 2013Kindsight security labs malware report - Q4 2013
Kindsight security labs malware report - Q4 2013
 
Biometrics how far are we prepared to go
Biometrics how far are we prepared to goBiometrics how far are we prepared to go
Biometrics how far are we prepared to go
 
Managing complexity in IAM
Managing complexity in IAMManaging complexity in IAM
Managing complexity in IAM
 
Websense security prediction 2014
Websense   security prediction 2014Websense   security prediction 2014
Websense security prediction 2014
 
La sécurité des Si en établissement de santé
La sécurité des Si en établissement de santéLa sécurité des Si en établissement de santé
La sécurité des Si en établissement de santé
 
Les 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobilesLes 10 risques liés aux applications mobiles
Les 10 risques liés aux applications mobiles
 
2013 Mobile Application Security Survey
2013 Mobile Application Security Survey2013 Mobile Application Security Survey
2013 Mobile Application Security Survey
 
Website Security Statistics Report 2013
Website Security Statistics Report 2013Website Security Statistics Report 2013
Website Security Statistics Report 2013
 
Guide de mise en oeuvre d'une authentification forte avec une cps
Guide de mise en oeuvre d'une authentification forte avec une cpsGuide de mise en oeuvre d'une authentification forte avec une cps
Guide de mise en oeuvre d'une authentification forte avec une cps
 
Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013
 
2013 cost of data breach study - France
2013 cost of data breach study - France2013 cost of data breach study - France
2013 cost of data breach study - France
 
2013 cost of data breach study - Global analysis
2013 cost of data breach study - Global analysis2013 cost of data breach study - Global analysis
2013 cost of data breach study - Global analysis
 

Les menaces applicatives

  • 1. Comprendre et anticiper les menaces applicatives.
  • 3. LES GRANDS CLASSIQUES Attaques applicatives + SQL Injection + Cross Site Scripting + Command Injection + Path Traversal + Local (remote) File Inclusion + Redirections vers des sites tiers Faiblesses d’architecture + Mauvaise gestion des droits + Mauvaise gestion des accès aux ressources + Upload de fichiers dangereux + Cookies non sécurisés + Pages sessionless Déni de service + Atteinte des limites du serveur + Atteinte des limites de l’application + Vulnérabilité serveur (Apache, IIS, etc) Phishing/Scamming + Emails piégés + Abus de confiance + Ingénierie sociale
  • 4. POURQUOI SONT ILS SI MÉCHANTS ? Objectifs + Vol de données sensibles (plusieurs € par référence) + Interruption de service + Atteinte à l’image de marque ou d’une société + Prise de contrôle de machines cibles + Revenus financiers Quelques exemples + US Army credentials informations leaks + NATO documents steal + SCADA + DDOS Operation (HSBC, Facebook, Twitter, Forex market) + Phishing (facebook, twitter)
  • 5. CONTRE-MESURES Attaques applicatives + Mise en place d’un pare-feu applicatif (filtrage, contrôle du trafic) + Développement sécurisé + Audits (code et sécurité) Déni de service + Mise en place de pare-feu réseau + Mise en place d’une sonde réseau + (Virtual) Patching afin de contrer les vulnérabilités 0-Day Phishing + Mise en place de solutions d’authentification des emails + Formation du personnel + Sensibilisation des utilisateurs (http://www.phishing.fr)
  • 7. ATTAQUES APPLICATIVES Obfuscation d’attaques applicatives (Firewall Bypassing) + Utilisation d’encodages spécifiques (UTF-8, UTF-7, UTF-Multibytes, multiple URL encoding) + SQL Injection avancées (blind injections, conversions implicites) + XSS avancés (Javascript obfuscation) Nouvelles attaques + HTML5 (nouveaux XSS et Injections HTML, attaques navigateurs) + XSRF (la vulnérabilité la plus répandue actuellement) + Des évolutions des anciennes recettes…
  • 8. ATTAQUES ZERO DAY Cibles sur le serveur + Apache, IIS, Tomcat, Glassfish + OpenSSL, XML parsers + Vulnérabilités Système Méthodologie + Requêtes et communications malformées + Exploitation de fuite mémoire Outils + Metasploit + Slowloris + THC-SSL-DOS, etc.
  • 9. ATTAQUES DU PROTOCOLE SSL Ciphers cracking + B.E.A.S.T. + CBC mode vulnerability SSL Bypass + C.R.I.M.E. (Découverte des cookies, Analyse du taux de compression SSL) + C.R.I.M.E. v2 (HTTP Compression, Time Attack)
  • 11. SE MAINTENIR A JOUR Les attaques applicatives évoluent et se transforment + Maintenir ses règles de sécurité à jour + Installer les mises à jour des produits de défense dès qu’elles sont disponibles + Mettre en place des règles de virtual patching via ICX ou les workflows Les nouvelles vulnérabilités sont toujours exploitées + Maintenir son niveau de connaissance des produits + S’informer de l’actualité des techniques d’attaque + Le pare-feu applicatif ne dispense pas de maintenir à jour les composants clés de l’infrastructure (frameworks, bibliothèques, etc)
  • 12. RENFORCER LA POLITIQUE D’ACCES De nouvelles formes d’attaques applicatives apparaissent + Comprendre ces attaques + Mesurer leur impact dans le système d’information + Mettre en place des techniques de protections adaptées (nouvelles règles ICX, modification et amélioration des politiques de sécurité) Les communications SSL sont au cœur de la sécurité Web + Utiliser des algorithmes de chiffrement sûrs et reconnus + Maintenir le serveur applicatif à jour + Maintenir le pare-feu applicatif à jour
  • 13. VALIDER LE TRAFFIC La majorité des nouvelles vulnérabilités sont issues d’un trafic anormal + Requêtes mal formées ou invalides + Protocole HTTP modifié + Flux de données anormalement important Mettre en place des outils de contrôle et de maitrise du trafic: + Vérifier la taille des requêtes + Vérifier la validité du protocole + Vérifier le nombre et le format des paramètres
  • 14. NE RIEN OUBLIER Disparition progressive de l’architecture deux tiers + Les communications ne se font plus uniquement entre le client (navigateur internet) et le serveur web + Apparition d’autres clients (applications mobiles, clients lourds, applications partenaires) + Communication via des API Web Services (SOAP/XML) peu ou pas protégés ! Le cœur fonctionnel de l’application web reste le même + Utilisation de SQL, HTML et de langages de script + Les attaques applicatives touchent également les web services + Au même titre que les applications web classiques, les Web Services doivent être protégés!
  • 16. UNE APPLICATION SÉCURISÉE Une infrastructure à jour + Pare-feu applicatif + signatures + Serveur web + Annuaire et base de données + Système d’exploitation Une maîtrise du trafic entrant + Taille des requêtes + Nombre de requêtes + Nombre et format de paramètres + Protocoles autorisés Une bonne connaissance de l’application web + Identification des différents points de communications + Evaluation des niveaux de confiance Un suivi de l’actualité sécurité + Nouvelles vulnérabilités + Nouvelles attaques
  • 17. VULNÉRABILITÉS WEB ‘13 WAF WAF WAF WAF MULTI WAF WAF MULTI WAF WAF # Vulnérabilité 1 Injection 2 Broken authentication & session management 3 Cross site scripting 4 Insecure direct object reference 5 Security misconfiguration 6 Sensitive data exposure 7 Missing function level access control 8 Cross site request forgery 9 Using components with known vulnerabilities 10 Unvalidated redirects and forwards Contre mesure Dans 8 des 10 vulnérabilités du Top10, le WAF joue un rôle important
  • 18. VOTRE PARE-FEU APPLICATIF Doit : + Être un équipement dédié + Être à jour ! + Être modulaire et industrialisable + Protéger TOUTES les applications + Protéger efficacement les Web Services + Protéger les applications mobiles Ne doit pas : + Être une boîte noire + Nécessiter 800 pages de manuel + Requérir l’intervention des développeurs
  • 19. Web Application Firewall, Web Access Management et Web Services Firewall. MOINS DE PRODUITS Solution unifiée de filtrage, de contrôle du trafic HTTP, d’authentification et de routage applicatif. Applications, APIs, web services. MOINS DE TEMPS Administration graphique simple et puissante. Profils d’applications, templates. BEE WARE I-SUITE 5.5 Active monitoring Application firewalling Application routing HTTP throttling Mobility policies REST/JSON Reverse proxy SOAP/XML SSL tunneling Strong authentication Web cloaking Workflow MOINS DE STRESS Supervision et protection du trafic applicatif. En tout point du système d’information.
  • 20. CONTACTS Service commercial + tel : +33 1 74 90 50 96 + sales@bee-ware.net Plus d’infos + http://www.bee-ware.net + http://blog.bee-ware.net + http://my.bee-ware.net + http://www.slideshare.net/bee_ware + http://www.scoop.it/t/securite-web + @beewaretech + @beewebsec