SlideShare une entreprise Scribd logo

Présentation menaces web2.0_cqsi_2008

M
michelcusin
TechnologieBusiness
1  sur  38
Télécharger pour lire hors ligne
Le hacking: Une dimension _ parallè parallèle qui peut briser univers. votre univers. Michel Cusin Colloque québécois de la sécurité de l’information 29 septembre 2008 © Bell Canada, 2008. Tous droits réservés
Le hacking: Une dimension parallè parallèle qui peut briser univers. votre univers. Michel Cusin Colloque québécois de la sécurité de l’information 29 septembre 2008 © Bell Canada, 2008. Tous droits réservés
Le hacking: Une dimension parallè parallèle qui peut briser univers. votre univers. Michel Cusin Colloque québécois de la sécurité de l’information 29 septembre 2008 © Bell Canada, 2008. Tous droits réservés
Itinéraire du voyage… • Évolution du Web 1.0 -> 2.0 - AJAX, Javascripts, XSS… - Nouvelles possibilités (pour tout le monde, bons ou méchants…) - Menaces plus sournoises, invisibles, volatiles… © Bell Canada, 2008. Tous droits réservés
Itinéraire du voyage… • Démonstration 1) Scan d’un Intranet à partir d’Internet sans scanner… 2) Vous serez mes complice$ dans l’attaque d’une banque … ! © Bell Canada, 2008. Tous droits réservés
Question : Y a-t-il des policiers dans la salle ? © Bell Canada, 2008. Tous droits réservés
Itinéraire du voyage… • Démonstrations 1) Scan d’un Intranet à partir d’Internet sans scanner… 2) Vous serez mes complice$ dans l’attaque d’une banque … ! Nous arriverons à destination malgré la présence de: - Logiciel antivirus et de postes de travail à jours; - Serveur Proxy; - Sonde de détection d’intrusion (IDS); - Coupe-feu. - N’utilisent pas de vulnérabilité dû à un système qui ne serait pas à jour au niveau des anti-virus et des rustines. - Seulement du Javascript et PHP via du HTTP sont utilisés. • Quelques solutions… © Bell Canada, 2008. Tous droits réservés
Audience visée Les gens d'informatique, de réseautique et de sécurité de l’information; Les policiers / enquêteurs; Ceux qui utilisent un ordinateur = Tout le monde; Les Psy…! © Bell Canada, 2008. Tous droits réservés
Tout est Web de nos jours : Routeurs Coupes-feu Imprimantes Téléphones Caméras Web Services transactionnels Etc. © Bell Canada, 2008. Tous droits réservés
WEB 1.0 versus WEB 2.0 © Bell Canada, 2008. Tous droits réservés
WEB 2.0 “Buzzwords” N’est pas un standard mais plutôt une série de principes d'utilisation de technologies existantes; N'est pas un « big bang » mais une succession de « small bang »; Révolution dans l'utilisation des technologies et non une révolution des technologies elles-mêmes; Fait appel à des technologies classiques qui sont désormais mûres et mieux maîtrisées (HTTP, (X)HTML, CSS, XML, ...) suivant une combinaison connue sous le nom d'Ajax; © Bell Canada, 2008. Tous droits réservés
AJAX © Bell Canada, 2008. Tous droits réservés
AJAX AJAX : Asynchronous JavaScript And XML AJAX n'est pas une technologie en elle-même, mais un terme qui évoque l'utilisation conjointe d'un ensemble de technologies libres couramment utilisées sur le Web : HTML (ou XHTML) pour la structure sémantique des informations CSS pour la présentation des informations DOM et JavaScript pour afficher et interagir dynamiquement avec l'information présentée XML… La tour de Babelle… plusieurs langages dans le même script !!! © Bell Canada, 2008. Tous droits réservés
Sécurité AJAX Augmente les attaques Donne accès aux API directement Plus simple pour le “reverse engineer” Les attaques de demain passeront par ces nouvelles technologies. © Bell Canada, 2008. Tous droits réservés
Javascript : Une force maléfique ? Langage de programmation de script principalement utilisé pour les pages web interactives. Ces scripts sont indépendants des systèmes d’exploitation et des fureteurs. Pouvons-nous vivre sur Internet avec javascript désactivé sur nos fureteurs ? © Bell Canada, 2008. Tous droits réservés
Javascript : Avec… © Bell Canada, 2008. Tous droits réservés
Javascript : Sans… © Bell Canada, 2008. Tous droits réservés
XSS Le Cross Site Scripting (XSS) est une attaque exploitant une faiblesse d'un site web qui ne valide pas ses paramètres en entrée. Un malfaiteur envoie du code non voulu à l'application, celle-ci envoie ensuite ce code à un autre utilisateur. Voici un exemple… © Bell Canada, 2008. Tous droits réservés
Exemple de XSS Site Web (très populaire) Internaute Site Web (vulnérable au XSS) © Bell Canada, 2008. Tous droits réservés
Exemple de XSS Site Web (très populaire) Internaute Site Web (vulnérable au XSS) © Bell Canada, 2008. Tous droits réservés
XSS Le Cross Site Scripting (XSS) est une attaque exploitant une faiblesse d'un site web qui ne valide pas ses paramètres en entrée. Un malfaiteur envoie du code non voulu à l'application, celle-ci envoie ensuite ce code à un autre utilisateur. Afficher du contenu subversif Rediriger l'utilisateur vers un autre site Voler l'information du client accessible par le site Web Télécharger un fichier à l’insu de l’internaute © Bell Canada, 2008. Tous droits réservés
XSS En fait, tous les sites web sont potentiellement vulnérables au XSS. Des failles XSS ont été trouvées dans les pages d'erreurs de serveurs Web (Apache Tomcat). Le balayage personnel fait par un ami a trouvé en une soirée via google 234 sites vulnérables au XSS. Selon Gartner, 70 % des sites transactionnels sont vulnérables à un XSS. © Bell Canada, 2008. Tous droits réservés
Info + Une firme de sécurité a identifié plus de 10 000 pages Web qui ont été piratées via des failles XSS par le même groupe de pirates informatiques. - www.itnews.com.au (mars 2008) Nous entendons souvent des avertissements de ne pas aller sur les sites auquels vous ne faites pas confiance : C’est une excellente idée, mais aujourd’hui même les sites auquels vous avez confiance peuvent être compromis sans que vous le sachiez. © Bell Canada, 2008. Tous droits réservés
www.xssed.com “Citibank's critical cross-site scripting vulnerabilities” - Août 2008 “HSBC web sites are open to critical XSS attacks” - Juin 2008 “Verisign, McAfee and Symantec sites can be used for phishing due to XSS” - Juin 2008 “New XSS flaws within eBay sites” - Mai 2008 “Facebook vulnerable to XSS. Over 70 million users are at risk.” - Mai 2008 © Bell Canada, 2008. Tous droits réservés
Démonstration L’attaque théorique: Scan d’un Intranet à partir d’Internet sans scanner… © Bell Canada, 2008. Tous droits réservés
Poste Windows Poste Linux IDS Coupe-feu Routeur Proxy Poste Macintosh Réseau Corporatif © Bell Canada, 2008. Tous droits réservés
Code PHP <iframe> www.michelcusin.com Hacker © Bell Canada, 2008. Tous droits réservés
OK www.michelcusin.com 01110100 10101010 00101010 Hacker © Bell Canada, 2008. Tous droits réservés
ET maintenant la banque $$$... © Bell Canada, 2008. Tous droits réservés
Code HTML <iframe> www.michelcusin.com Hacker © Bell Canada, 2008. Tous droits réservés
OK Code HTML <iframe> www.michelcusin.com © Bell Canada, 2008. Tous droits réservés
OK www.michelcusin.com 1) Code HTML 2) Javascript Serveur de dépôt de fichiers Proxy Anonyme © Bell Canada, 2008. Tous droits réservés
OK www.michelcusin.com 2) Javascript Serveur de dépôt de fichiers Proxy Anonyme Serveur Web Victime du scan © Bell Canada, 2008. Tous droits réservés
OK www.michelcusin.com Serveur de dépôt de fichiers Proxy Anonyme © Bell Canada, 2008. Tous droits réservés
Quelques pistes de solutions… Facteur humain; Valider toujours les paramètres en entrée et n'accepter que ce qui est explicitement autorisé; Auditer les applications Web à l'interne et à l'externe; Porter attention à la réutilisation de composantes qui n'ont pas été développées avec la sécurité en tête ou encore qui ont été téléchargées du net; Pares-feu: les mettre à jour, certaines techniques aideront à éviter ce genre d’attaque; Bloquer le traffic vers le RBN (russian business network). © Bell Canada, 2008. Tous droits réservés
Conclusion © Bell Canada, 2008. Tous droits réservés
Merci !!! © Bell Canada, 2008. Tous droits réservés
© Bell Canada, 2008. Tous droits réservés

Recommandé

Movilidad con Estilo Alternativo
Movilidad con Estilo AlternativoMovilidad con Estilo Alternativo
Movilidad con Estilo AlternativoHermes Ruiz
 
Bo 2 accueil site
Bo 2 accueil siteBo 2 accueil site
Bo 2 accueil siteisi-dom
 
Bulacio
BulacioBulacio
Bulacioceleyro
 
Higiene industrial exposicion
Higiene industrial exposicionHigiene industrial exposicion
Higiene industrial exposicionProsaludocupacional
 
Teziutlán.docx
Teziutlán.docx Teziutlán.docx
Teziutlán.docx Tuxneoii
 
Semestral
SemestralSemestral
Semestralundergroundboy
 
Mestre
MestreMestre
Mestreearcas
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativosmarthagamez
 

Recommandé

Movilidad con Estilo Alternativo
Movilidad con Estilo AlternativoMovilidad con Estilo Alternativo
Movilidad con Estilo AlternativoHermes Ruiz
 
Bo 2 accueil site
Bo 2 accueil siteBo 2 accueil site
Bo 2 accueil siteisi-dom
 
Bulacio
BulacioBulacio
Bulacioceleyro
 
Higiene industrial exposicion
Higiene industrial exposicionHigiene industrial exposicion
Higiene industrial exposicionProsaludocupacional
 
Teziutlán.docx
Teziutlán.docx Teziutlán.docx
Teziutlán.docx Tuxneoii
 
Semestral
SemestralSemestral
Semestralundergroundboy
 
Mestre
MestreMestre
Mestreearcas
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativosmarthagamez
 
2011 04-03 auxiliarfereal
2011 04-03 auxiliarfereal2011 04-03 auxiliarfereal
2011 04-03 auxiliarferealMisión Peruana del Norte
 
Demasiados políticos
Demasiados políticosDemasiados políticos
Demasiados políticosPlof
 
Le service N’KALO ou la diffusion d’information de marché à haute valeur ajou...
Le service N’KALO ou la diffusion d’information de marché à haute valeur ajou...Le service N’KALO ou la diffusion d’information de marché à haute valeur ajou...
Le service N’KALO ou la diffusion d’information de marché à haute valeur ajou...Technical Centre for Agricultural and Rural Cooperation ACP-EU (CTA)
 
Les DRG sont-ils efficaces en tant qu'outil de gestion- Holger Baumann (Hôpit...
Les DRG sont-ils efficaces en tant qu'outil de gestion- Holger Baumann (Hôpit...Les DRG sont-ils efficaces en tant qu'outil de gestion- Holger Baumann (Hôpit...
Les DRG sont-ils efficaces en tant qu'outil de gestion- Holger Baumann (Hôpit...Paianet - Connecting Healthcare
 
Ladiscapacitat
LadiscapacitatLadiscapacitat
LadiscapacitatMaria Font Rosselló
 
Démarche d'implantation du SCP
Démarche d'implantation du SCPDémarche d'implantation du SCP
Démarche d'implantation du SCPSteve Bissonnette
 
Les Français et le transhumanisme, entre peurs et opportunités
Les Français et le transhumanisme, entre peurs et opportunitésLes Français et le transhumanisme, entre peurs et opportunités
Les Français et le transhumanisme, entre peurs et opportunitésSébastien Dubois
 
Softshake 2013 - Du JavaScript propre ? Challenge Accepted!
Softshake 2013 - Du JavaScript propre ? Challenge Accepted!Softshake 2013 - Du JavaScript propre ? Challenge Accepted!
Softshake 2013 - Du JavaScript propre ? Challenge Accepted!Romain Linsolas
 
4 electivo mesopotamia y egipto
4 electivo mesopotamia y egipto4 electivo mesopotamia y egipto
4 electivo mesopotamia y egiptoColegio Academia Iquique
 
Sfsic14 140605-desmoulins cansell
Sfsic14 140605-desmoulins cansellSfsic14 140605-desmoulins cansell
Sfsic14 140605-desmoulins cansellSFSIC Association
 
Sfsic14 140604-proulx
Sfsic14 140604-proulxSfsic14 140604-proulx
Sfsic14 140604-proulxSFSIC Association
 
Salazar duran maría esther_act2quimica 1
Salazar duran maría esther_act2quimica 1Salazar duran maría esther_act2quimica 1
Salazar duran maría esther_act2quimica 1Mayte Salazar Durán
 
Les DRG entre avantage pour le système de santé et illusion technocratique- A...
Les DRG entre avantage pour le système de santé et illusion technocratique- A...Les DRG entre avantage pour le système de santé et illusion technocratique- A...
Les DRG entre avantage pour le système de santé et illusion technocratique- A...Paianet - Connecting Healthcare
 
Pearltress 2014
Pearltress 2014Pearltress 2014
Pearltress 2014gweiss8
 
02 inspire intervention_transmis
02 inspire intervention_transmis02 inspire intervention_transmis
02 inspire intervention_transmisDIOT Clément
 
Bpr roulage open prestige 23 avril 2011
Bpr roulage open prestige 23 avril 2011Bpr roulage open prestige 23 avril 2011
Bpr roulage open prestige 23 avril 2011tedece
 
Leer en casa
Leer en casaLeer en casa
Leer en casaMargarita González
 
Acces 2000
Acces 2000Acces 2000
Acces 2000Dario Augusto
 
El periodista de tribunales ante la justicia española ok
El periodista de tribunales ante la justicia española okEl periodista de tribunales ante la justicia española ok
El periodista de tribunales ante la justicia española okMarga hern?dez
 
Treball socials definitiu
Treball socials definitiuTreball socials definitiu
Treball socials definitiupepemu2
 
Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_lavalmichelcusin
 
Vulnérabilité des sites web
Vulnérabilité des sites webVulnérabilité des sites web
Vulnérabilité des sites webSaid Sadik
 

Contenu connexe

En vedette

Demasiados políticos
Demasiados políticosDemasiados políticos
Demasiados políticosPlof
 
Les DRG sont-ils efficaces en tant qu'outil de gestion- Holger Baumann (Hôpit...
Les DRG sont-ils efficaces en tant qu'outil de gestion- Holger Baumann (Hôpit...Les DRG sont-ils efficaces en tant qu'outil de gestion- Holger Baumann (Hôpit...
Les DRG sont-ils efficaces en tant qu'outil de gestion- Holger Baumann (Hôpit...Paianet - Connecting Healthcare
 
Démarche d'implantation du SCP
Démarche d'implantation du SCPDémarche d'implantation du SCP
Démarche d'implantation du SCPSteve Bissonnette
 
Les Français et le transhumanisme, entre peurs et opportunités
Les Français et le transhumanisme, entre peurs et opportunitésLes Français et le transhumanisme, entre peurs et opportunités
Les Français et le transhumanisme, entre peurs et opportunitésSébastien Dubois
 
Softshake 2013 - Du JavaScript propre ? Challenge Accepted!
Softshake 2013 - Du JavaScript propre ? Challenge Accepted!Softshake 2013 - Du JavaScript propre ? Challenge Accepted!
Softshake 2013 - Du JavaScript propre ? Challenge Accepted!Romain Linsolas
 
Sfsic14 140605-desmoulins cansell
Sfsic14 140605-desmoulins cansellSfsic14 140605-desmoulins cansell
Sfsic14 140605-desmoulins cansellSFSIC Association
 
Salazar duran maría esther_act2quimica 1
Salazar duran maría esther_act2quimica 1Salazar duran maría esther_act2quimica 1
Salazar duran maría esther_act2quimica 1Mayte Salazar Durán
 
Les DRG entre avantage pour le système de santé et illusion technocratique- A...
Les DRG entre avantage pour le système de santé et illusion technocratique- A...Les DRG entre avantage pour le système de santé et illusion technocratique- A...
Les DRG entre avantage pour le système de santé et illusion technocratique- A...Paianet - Connecting Healthcare
 
Pearltress 2014
Pearltress 2014Pearltress 2014
Pearltress 2014gweiss8
 
02 inspire intervention_transmis
02 inspire intervention_transmis02 inspire intervention_transmis
02 inspire intervention_transmisDIOT Clément
 
Bpr roulage open prestige 23 avril 2011
Bpr roulage open prestige 23 avril 2011Bpr roulage open prestige 23 avril 2011
Bpr roulage open prestige 23 avril 2011tedece
 
El periodista de tribunales ante la justicia española ok
El periodista de tribunales ante la justicia española okEl periodista de tribunales ante la justicia española ok
El periodista de tribunales ante la justicia española okMarga hern?dez
 
Treball socials definitiu
Treball socials definitiuTreball socials definitiu
Treball socials definitiupepemu2
 

En vedette (20)

2011 04-03 auxiliarfereal
2011 04-03 auxiliarfereal2011 04-03 auxiliarfereal
2011 04-03 auxiliarfereal
 
Demasiados políticos
Demasiados políticosDemasiados políticos
Demasiados políticos
 
Le service N’KALO ou la diffusion d’information de marché à haute valeur ajou...
Le service N’KALO ou la diffusion d’information de marché à haute valeur ajou...Le service N’KALO ou la diffusion d’information de marché à haute valeur ajou...
Le service N’KALO ou la diffusion d’information de marché à haute valeur ajou...
 
Les DRG sont-ils efficaces en tant qu'outil de gestion- Holger Baumann (Hôpit...
Les DRG sont-ils efficaces en tant qu'outil de gestion- Holger Baumann (Hôpit...Les DRG sont-ils efficaces en tant qu'outil de gestion- Holger Baumann (Hôpit...
Les DRG sont-ils efficaces en tant qu'outil de gestion- Holger Baumann (Hôpit...
 
Ladiscapacitat
LadiscapacitatLadiscapacitat
Ladiscapacitat
 
Démarche d'implantation du SCP
Démarche d'implantation du SCPDémarche d'implantation du SCP
Démarche d'implantation du SCP
 
Les Français et le transhumanisme, entre peurs et opportunités
Les Français et le transhumanisme, entre peurs et opportunitésLes Français et le transhumanisme, entre peurs et opportunités
Les Français et le transhumanisme, entre peurs et opportunités
 
Softshake 2013 - Du JavaScript propre ? Challenge Accepted!
Softshake 2013 - Du JavaScript propre ? Challenge Accepted!Softshake 2013 - Du JavaScript propre ? Challenge Accepted!
Softshake 2013 - Du JavaScript propre ? Challenge Accepted!
 
4 electivo mesopotamia y egipto
4 electivo mesopotamia y egipto4 electivo mesopotamia y egipto
4 electivo mesopotamia y egipto
 
Sfsic14 140605-desmoulins cansell
Sfsic14 140605-desmoulins cansellSfsic14 140605-desmoulins cansell
Sfsic14 140605-desmoulins cansell
 
Sfsic14 140604-proulx
Sfsic14 140604-proulxSfsic14 140604-proulx
Sfsic14 140604-proulx
 
Salazar duran maría esther_act2quimica 1
Salazar duran maría esther_act2quimica 1Salazar duran maría esther_act2quimica 1
Salazar duran maría esther_act2quimica 1
 
Les DRG entre avantage pour le système de santé et illusion technocratique- A...
Les DRG entre avantage pour le système de santé et illusion technocratique- A...Les DRG entre avantage pour le système de santé et illusion technocratique- A...
Les DRG entre avantage pour le système de santé et illusion technocratique- A...
 
Pearltress 2014
Pearltress 2014Pearltress 2014
Pearltress 2014
 
02 inspire intervention_transmis
02 inspire intervention_transmis02 inspire intervention_transmis
02 inspire intervention_transmis
 
Bpr roulage open prestige 23 avril 2011
Bpr roulage open prestige 23 avril 2011Bpr roulage open prestige 23 avril 2011
Bpr roulage open prestige 23 avril 2011
 
Leer en casa
Leer en casaLeer en casa
Leer en casa
 
Acces 2000
Acces 2000Acces 2000
Acces 2000
 
El periodista de tribunales ante la justicia española ok
El periodista de tribunales ante la justicia española okEl periodista de tribunales ante la justicia española ok
El periodista de tribunales ante la justicia española ok
 
Treball socials definitiu
Treball socials definitiuTreball socials definitiu
Treball socials definitiu
 

Similaire à Présentation menaces web2.0_cqsi_2008

Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_lavalmichelcusin
 
Vulnérabilité des sites web
Vulnérabilité des sites webVulnérabilité des sites web
Vulnérabilité des sites webSaid Sadik
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicativesBee_Ware
 
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM France Lab
 
Le Darwinisme Digital
Le Darwinisme DigitalLe Darwinisme Digital
Le Darwinisme DigitalNBS System
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The CloudRobert Viseur
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcampCameroon
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Votre meilleure protection est un internet canadien
Votre meilleure protection est un internet canadienVotre meilleure protection est un internet canadien
Votre meilleure protection est un internet canadienColloqueRISQ
 
Le web 2.0 bientot en entreprise?
Le web 2.0 bientot en entreprise?Le web 2.0 bientot en entreprise?
Le web 2.0 bientot en entreprise?Hervé Kabla
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatifLeClubQualiteLogicielle
 
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréConférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréNormandie Web Xperts
 
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSEvaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSNBS System
 
Partie II – ASM Application Security Manager
Partie II – ASM Application Security ManagerPartie II – ASM Application Security Manager
Partie II – ASM Application Security Managere-Xpert Solutions SA
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebSylvain Maret
 
Module securite
Module securiteModule securite
Module securiteKaes1337
 

Similaire à Présentation menaces web2.0_cqsi_2008 (20)

Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_laval
 
Vulnérabilité des sites web
Vulnérabilité des sites webVulnérabilité des sites web
Vulnérabilité des sites web
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
 
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
 
Le Darwinisme Digital
Le Darwinisme DigitalLe Darwinisme Digital
Le Darwinisme Digital
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The Cloud
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1
 
Hackfest @ WAQ2011
Hackfest @ WAQ2011Hackfest @ WAQ2011
Hackfest @ WAQ2011
 
Votre meilleure protection est un internet canadien
Votre meilleure protection est un internet canadienVotre meilleure protection est un internet canadien
Votre meilleure protection est un internet canadien
 
Offre de service
Offre de serviceOffre de service
Offre de service
 
Le web 2.0 bientot en entreprise?
Le web 2.0 bientot en entreprise?Le web 2.0 bientot en entreprise?
Le web 2.0 bientot en entreprise?
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif
 
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David HuréConférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
 
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSEvaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
 
Cybersécurité des projets webs
Cybersécurité des projets websCybersécurité des projets webs
Cybersécurité des projets webs
 
Partie II – ASM Application Security Manager
Partie II – ASM Application Security ManagerPartie II – ASM Application Security Manager
Partie II – ASM Application Security Manager
 
La Sécurité Sur Le Web
La Sécurité Sur Le WebLa Sécurité Sur Le Web
La Sécurité Sur Le Web
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
Module securite
Module securiteModule securite
Module securite
 

Plus de michelcusin

Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationmichelcusin
 
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.michelcusin
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12michelcusin
 
Article_pentest_Secus 10 12
Article_pentest_Secus 10 12Article_pentest_Secus 10 12
Article_pentest_Secus 10 12michelcusin
 
Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainmichelcusin
 
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiquemichelcusin
 
Vos enfants, Internet et vous
Vos enfants, Internet et vousVos enfants, Internet et vous
Vos enfants, Internet et vousmichelcusin
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatalemichelcusin
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplugmichelcusin
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le mondemichelcusin
 
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010michelcusin
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10michelcusin
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsmichelcusin
 
Article secus 09_09
Article secus 09_09Article secus 09_09
Article secus 09_09michelcusin
 
Article mc secus_05_10
Article mc secus_05_10Article mc secus_05_10
Article mc secus_05_10michelcusin
 
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackersThank you for collaborating with your local hackers
Thank you for collaborating with your local hackersmichelcusin
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...michelcusin
 

Plus de michelcusin (17)

Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'information
 
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12
 
Article_pentest_Secus 10 12
Article_pentest_Secus 10 12Article_pentest_Secus 10 12
Article_pentest_Secus 10 12
 
Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humain
 
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatique
 
Vos enfants, Internet et vous
Vos enfants, Internet et vousVos enfants, Internet et vous
Vos enfants, Internet et vous
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatale
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplug
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le monde
 
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnets
 
Article secus 09_09
Article secus 09_09Article secus 09_09
Article secus 09_09
 
Article mc secus_05_10
Article mc secus_05_10Article mc secus_05_10
Article mc secus_05_10
 
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackersThank you for collaborating with your local hackers
Thank you for collaborating with your local hackers
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
 

Présentation menaces web2.0_cqsi_2008

  • 1. Le hacking: Une dimension _ parallè parallèle qui peut briser univers. votre univers. Michel Cusin Colloque québécois de la sécurité de l’information 29 septembre 2008 © Bell Canada, 2008. Tous droits réservés
  • 2. Le hacking: Une dimension parallè parallèle qui peut briser univers. votre univers. Michel Cusin Colloque québécois de la sécurité de l’information 29 septembre 2008 © Bell Canada, 2008. Tous droits réservés
  • 3. Le hacking: Une dimension parallè parallèle qui peut briser univers. votre univers. Michel Cusin Colloque québécois de la sécurité de l’information 29 septembre 2008 © Bell Canada, 2008. Tous droits réservés
  • 4. Itinéraire du voyage… • Évolution du Web 1.0 -> 2.0 - AJAX, Javascripts, XSS… - Nouvelles possibilités (pour tout le monde, bons ou méchants…) - Menaces plus sournoises, invisibles, volatiles… © Bell Canada, 2008. Tous droits réservés
  • 5. Itinéraire du voyage… • Démonstration 1) Scan d’un Intranet à partir d’Internet sans scanner… 2) Vous serez mes complice$ dans l’attaque d’une banque … ! © Bell Canada, 2008. Tous droits réservés
  • 6. Question : Y a-t-il des policiers dans la salle ? © Bell Canada, 2008. Tous droits réservés
  • 7. Itinéraire du voyage… • Démonstrations 1) Scan d’un Intranet à partir d’Internet sans scanner… 2) Vous serez mes complice$ dans l’attaque d’une banque … ! Nous arriverons à destination malgré la présence de: - Logiciel antivirus et de postes de travail à jours; - Serveur Proxy; - Sonde de détection d’intrusion (IDS); - Coupe-feu. - N’utilisent pas de vulnérabilité dû à un système qui ne serait pas à jour au niveau des anti-virus et des rustines. - Seulement du Javascript et PHP via du HTTP sont utilisés. • Quelques solutions… © Bell Canada, 2008. Tous droits réservés
  • 8. Audience visée Les gens d'informatique, de réseautique et de sécurité de l’information; Les policiers / enquêteurs; Ceux qui utilisent un ordinateur = Tout le monde; Les Psy…! © Bell Canada, 2008. Tous droits réservés
  • 9. Tout est Web de nos jours : Routeurs Coupes-feu Imprimantes Téléphones Caméras Web Services transactionnels Etc. © Bell Canada, 2008. Tous droits réservés
  • 10. WEB 1.0 versus WEB 2.0 © Bell Canada, 2008. Tous droits réservés
  • 11. WEB 2.0 “Buzzwords” N’est pas un standard mais plutôt une série de principes d'utilisation de technologies existantes; N'est pas un « big bang » mais une succession de « small bang »; Révolution dans l'utilisation des technologies et non une révolution des technologies elles-mêmes; Fait appel à des technologies classiques qui sont désormais mûres et mieux maîtrisées (HTTP, (X)HTML, CSS, XML, ...) suivant une combinaison connue sous le nom d'Ajax; © Bell Canada, 2008. Tous droits réservés
  • 12. AJAX © Bell Canada, 2008. Tous droits réservés
  • 13. AJAX AJAX : Asynchronous JavaScript And XML AJAX n'est pas une technologie en elle-même, mais un terme qui évoque l'utilisation conjointe d'un ensemble de technologies libres couramment utilisées sur le Web : HTML (ou XHTML) pour la structure sémantique des informations CSS pour la présentation des informations DOM et JavaScript pour afficher et interagir dynamiquement avec l'information présentée XML… La tour de Babelle… plusieurs langages dans le même script !!! © Bell Canada, 2008. Tous droits réservés
  • 14. Sécurité AJAX Augmente les attaques Donne accès aux API directement Plus simple pour le “reverse engineer” Les attaques de demain passeront par ces nouvelles technologies. © Bell Canada, 2008. Tous droits réservés
  • 15. Javascript : Une force maléfique ? Langage de programmation de script principalement utilisé pour les pages web interactives. Ces scripts sont indépendants des systèmes d’exploitation et des fureteurs. Pouvons-nous vivre sur Internet avec javascript désactivé sur nos fureteurs ? © Bell Canada, 2008. Tous droits réservés
  • 16. Javascript : Avec… © Bell Canada, 2008. Tous droits réservés
  • 17. Javascript : Sans… © Bell Canada, 2008. Tous droits réservés
  • 18. XSS Le Cross Site Scripting (XSS) est une attaque exploitant une faiblesse d'un site web qui ne valide pas ses paramètres en entrée. Un malfaiteur envoie du code non voulu à l'application, celle-ci envoie ensuite ce code à un autre utilisateur. Voici un exemple… © Bell Canada, 2008. Tous droits réservés
  • 19. Exemple de XSS Site Web (très populaire) Internaute Site Web (vulnérable au XSS) © Bell Canada, 2008. Tous droits réservés
  • 20. Exemple de XSS Site Web (très populaire) Internaute Site Web (vulnérable au XSS) © Bell Canada, 2008. Tous droits réservés
  • 21. XSS Le Cross Site Scripting (XSS) est une attaque exploitant une faiblesse d'un site web qui ne valide pas ses paramètres en entrée. Un malfaiteur envoie du code non voulu à l'application, celle-ci envoie ensuite ce code à un autre utilisateur. Afficher du contenu subversif Rediriger l'utilisateur vers un autre site Voler l'information du client accessible par le site Web Télécharger un fichier à l’insu de l’internaute © Bell Canada, 2008. Tous droits réservés
  • 22. XSS En fait, tous les sites web sont potentiellement vulnérables au XSS. Des failles XSS ont été trouvées dans les pages d'erreurs de serveurs Web (Apache Tomcat). Le balayage personnel fait par un ami a trouvé en une soirée via google 234 sites vulnérables au XSS. Selon Gartner, 70 % des sites transactionnels sont vulnérables à un XSS. © Bell Canada, 2008. Tous droits réservés
  • 23. Info + Une firme de sécurité a identifié plus de 10 000 pages Web qui ont été piratées via des failles XSS par le même groupe de pirates informatiques. - www.itnews.com.au (mars 2008) Nous entendons souvent des avertissements de ne pas aller sur les sites auquels vous ne faites pas confiance : C’est une excellente idée, mais aujourd’hui même les sites auquels vous avez confiance peuvent être compromis sans que vous le sachiez. © Bell Canada, 2008. Tous droits réservés
  • 24. www.xssed.com “Citibank's critical cross-site scripting vulnerabilities” - Août 2008 “HSBC web sites are open to critical XSS attacks” - Juin 2008 “Verisign, McAfee and Symantec sites can be used for phishing due to XSS” - Juin 2008 “New XSS flaws within eBay sites” - Mai 2008 “Facebook vulnerable to XSS. Over 70 million users are at risk.” - Mai 2008 © Bell Canada, 2008. Tous droits réservés
  • 25. Démonstration L’attaque théorique: Scan d’un Intranet à partir d’Internet sans scanner… © Bell Canada, 2008. Tous droits réservés
  • 26. Poste Windows Poste Linux IDS Coupe-feu Routeur Proxy Poste Macintosh Réseau Corporatif © Bell Canada, 2008. Tous droits réservés
  • 27. Code PHP <iframe> www.michelcusin.com Hacker © Bell Canada, 2008. Tous droits réservés
  • 28. OK www.michelcusin.com 01110100 10101010 00101010 Hacker © Bell Canada, 2008. Tous droits réservés
  • 29. ET maintenant la banque $$$... © Bell Canada, 2008. Tous droits réservés
  • 30. Code HTML <iframe> www.michelcusin.com Hacker © Bell Canada, 2008. Tous droits réservés
  • 31. OK Code HTML <iframe> www.michelcusin.com © Bell Canada, 2008. Tous droits réservés
  • 32. OK www.michelcusin.com 1) Code HTML 2) Javascript Serveur de dépôt de fichiers Proxy Anonyme © Bell Canada, 2008. Tous droits réservés
  • 33. OK www.michelcusin.com 2) Javascript Serveur de dépôt de fichiers Proxy Anonyme Serveur Web Victime du scan © Bell Canada, 2008. Tous droits réservés
  • 34. OK www.michelcusin.com Serveur de dépôt de fichiers Proxy Anonyme © Bell Canada, 2008. Tous droits réservés
  • 35. Quelques pistes de solutions… Facteur humain; Valider toujours les paramètres en entrée et n'accepter que ce qui est explicitement autorisé; Auditer les applications Web à l'interne et à l'externe; Porter attention à la réutilisation de composantes qui n'ont pas été développées avec la sécurité en tête ou encore qui ont été téléchargées du net; Pares-feu: les mettre à jour, certaines techniques aideront à éviter ce genre d’attaque; Bloquer le traffic vers le RBN (russian business network). © Bell Canada, 2008. Tous droits réservés
  • 36. Conclusion © Bell Canada, 2008. Tous droits réservés
  • 37. Merci !!! © Bell Canada, 2008. Tous droits réservés
  • 38. © Bell Canada, 2008. Tous droits réservés