SlideShare une entreprise Scribd logo
La sécurité des applications
Web
CEGID - Lyon
12 Juin 2009

Sébastien GIORIA (sebastien.gioria@owasp.org)
French Chapter Leader

Copyright © 2009 - The OWASP Foundation
Permission is granted to copy, distribute and/or modify this document
under the terms of the GNU Free Documentation License.

The OWASP Foundation
http://www.owasp.org
Qui suis-je ?
President du CLUSIR Poitou-Charentes, OWASP France Leader
&évangeliste
sebastien.gioria@owasp.org
12 ansd’expérience en Sécurité des Systèmesd’Information
 Différentspostes de manager SSI dans la banque, l’assurance et
les télécoms
 Expertise Technique

Gestion du risque, Architectures fonctionnelles, Audits

Consulting et Formation en Réseaux et Sécurité

PenTesting, Digital Forensics


Domaines de prédilection :
 Web 4.2 : WebServices, Interfaces Riches (Flex, Air, Silverlight,
…), Insécurité du Web.


Agenda
Mythes et réalités
L’OWASP
Les failles les plus courantes
Et après ?

© 2009 - S.Gioria & OWASP
Le constat actuel
 Le système d’information
s’ouvre :

Thank You

Google Trends Data for:
l Buffer overflow
l XSS

 Architectures orientées services
(SAAS, WebServices, ...)
 Intégration de partenaires
 « Multi-play/multi-canal » :
Internet, Téléphone, Mail, Vidéo, …

 La sécurité aujourd’hui
 Niveau
 Niveau
 Niveau
 Niveau

1
2
3
4

: Le cable
: VLAN
: Liste de contrôle d’accès
à 7 : Firewall, Proxy, IDS, IPS

 L’Insécurité aujourd’hui
 Niveau 8 : L’humain, l’utilisateur
© 2009 - S.Gioria & OWASP
Quel est la meilleur moyen de déterminer si
votre applicatif a une faille de sécurité ?
1. Recevoir un mail du PDG ou d’un client a
propos d’un bug ?
2. Recevoir un avis de sécurité du CERT ?
3. Vérifier lors de la phase de pré-production la
sécurité
4. L’ignorance permet de bien dormir
5. 42, c’est la réponse universelle.

© 2009 - S.Gioria & OWASP
Faiblesse des applications Web
% Attaques

% Dépenses

10 %
Application Web
75 %
90 %
25 %

Eléments Réseaux

D’après une étude du GARTNER
75% des attaques ciblent le niveau Applicatif
33% des applications web sont vulnérables
© 2009 - S.Gioria & OWASP
Je suis protégé contre les attaques, j’ai un
firewall

© 2009 - S.Gioria & OWASP

7
Mon site Web est sécurisé puisque il est
protégé par SSL

© 2009 - S.Gioria & OWASP

8
Seuls des génies de l’informatique savent
exploiter les failles des applications Web
 Les outils sont de plus
en plus simples d’emploi
 Une simple recherche
sur google, permet de
télécharger un logiciel
permettant la
récupération de bases
de données.
 L’attaque d’un serveur
web Français coute de
120$ à 1000$ dans le
marché souterrain.
© 2009 - S.Gioria & OWASP

9
Une faille sur une application interne n’est
pas importante
De part l’importance du web actuellement, cela
peut être catastrophique.
Nombre de navigateurs permettant la création
d’onglets :
Ils partagent tous la même politique de sécurité
Ils peuvent fonctionner indépendamment de
l’utilisateur (utilisation d’AJAX)
La faille de clickjacking permet de générer des
requêtes à l’insu de l’utilisateur
Le pirate se trouve alors dans le réseau local….
© 2009 - S.Gioria & OWASP

10
Agenda
Mythes et réalités
L’OWASP
Les failles les plus courantes
Et après ?

© 2009 - S.Gioria & OWASP
L’OWASP
(Open Web Application Security Project)
 Indépendant des fournisseurs et des gouvernements.
 Objectif principal : produire des outils, documents et standards dédiés à la sécurité des
applicative.
 Touts les documents, standards, outils sont fournis sur la base du modèle open-source.
 Organisation :
 Réunion d’experts indépendants
en sécurité informatique
 Communauté mondiale (plus de
100 chapitres) réunie en une
fondation
américaine
pour
supporter son action. L’adhésion
est gratuite et ouverte a tous
 En France : une Association.

 Le point d’entrée est le wiki
http://www.owasp.org

©© 2009 S.Gioria && OWASP
2009 - - S.Gioria &
OWASPenFrance
Un Conseild’Administration (Association loi 1901) :
Président, évangéliste et relations publiques : Sébastien Gioria
Consultant indépendant en sécurité des systèmesd’informations. Président du CLUSIR Poitou-Charentes
Vice-Président et responsable du projet de Traduction : Ludovic Petit. Expert Sécurité chez SFR
Secrétaire et Responsable des aspects Juridiques: Estelle Aimé. Avocate
Un Bureau :
 Le Conseild’Administration
 RomainGaucher : Ex-chercheur au NIST, consultant chez Cigital
 Mathieu Estrade : DéveloppeurApache.

Projets :

Sensibilisation/ Formations :

Interventions :

Top 10 : traduit.

Assurance (Java/PHP)

Infosecurity

Guides : en cours.

Sociétéd’EDI (JAVA)

OSSIR

Questionnaire a destination des
RSSI : en cours.

OpérateurTéléphonie mobile
(PHP/WebServices)

Microsoft TechDays

Groupe de travail de la sécurité
applicative du CLUSIF

Ministère de l’intérieur – SGDN
Conférencesdans des écoles

PCI-Global
CERT-IST

Ministère de la santé
© 2009 - S.Gioria & OWASP
Les outils de l’OWASP

© 2009 - S.Gioria & OWASP

18
Les publications
 Toutes les publications sontdisponiblessur le site
de l’OWASP: http://www.owasp.org
 L’ensemble des documents estrégi par la licence
GFDL (GNU Free Documentation License)
 Les publications majeures :
 Le TOP 10 des vulnérabilitésapplicatives
 Le Guide de l’auditeur/du testeur
 Le Code Review Guide
 Le guide de conception d’applications Web
sécurisées
 La FAQ de l’insécurité des Applications Web.
© 2009 - S.Gioria & OWASP
Agenda
Mythes et réalités
L’OWASP
Les failles les plus courantes
Et après ?

© 2009 - S.Gioria & OWASP
www.owasp.org/index.php?title=Top_10_2007

© 2009 - S.Gioria & OWASP

17
A5 - Attaque CSRF

(1) L’utilisateur se rend sur un forum annodin
(2) Une iframe embarquée sur le forum
demande au navigateur d'exécuter une
requete sur un autre serveur
(3) Le mot de passe est changé

© 2009 - S.Gioria & OWASP
A7 – Violation de Session ou
d’authentification

© 2009 - S.Gioria & OWASP
Agenda
Mythes et réalités
L’OWASP
Les failles les plus courantes
Et après ?

© 2009 - S.Gioria & OWASP
OWASP Enterprise Security API (ESAPI)
 Un framework de sécurité pour
les développeurs
 Permettre de créer une
application Web Sécurisée

 Classes Java et .NET
 Disponible sur le site de
l’OWASP

© 2009 - S.Gioria & OWASP
Pas de recette Miracle
Mettre
en
place
un
cycle
de
développementsécurisé !
Auditer et Tester son code !
Vérifier le fonctionnement de son Application !
La sécurité est d’abord et avant tout
affaire de bon sens, le maillon faible
restant… l’Humain

© 2009 - S.Gioria & OWASP

Contenu connexe

Tendances

OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
Abdessamad TEMMAR
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
Bee_Ware
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
Antonio Fontes
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
Cyber Security Alliance
 
Failles de sécurité
Failles de sécuritéFailles de sécurité
Failles de sécurité
Guillaume Harry
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securiteBorni Dhifi
 
Introduction vulnérabilité web
Introduction vulnérabilité webIntroduction vulnérabilité web
Introduction vulnérabilité web
davystoffel
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web servicesBee_Ware
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
Sébastien GIORIA
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
Klee Group
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015
Sebastien Gioria
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FR
Sebastien Gioria
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le webSofteam agency
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
Sylvain Maret
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAF
Sylvain Maret
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration
Bee_Ware
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 

Tendances (20)

OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
 
Failles de sécurité
Failles de sécuritéFailles de sécurité
Failles de sécurité
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securite
 
Introduction vulnérabilité web
Introduction vulnérabilité webIntroduction vulnérabilité web
Introduction vulnérabilité web
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
White paper - La sécurisation des web services
White paper - La sécurisation des web servicesWhite paper - La sécurisation des web services
White paper - La sécurisation des web services
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FR
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le web
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAF
 
20100114 Waf V0.7
20100114 Waf V0.720100114 Waf V0.7
20100114 Waf V0.7
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 

En vedette

OWASP Top 10 A4 – Insecure Direct Object Reference
OWASP Top 10 A4 – Insecure Direct Object ReferenceOWASP Top 10 A4 – Insecure Direct Object Reference
OWASP Top 10 A4 – Insecure Direct Object Reference
Narudom Roongsiriwong, CISSP
 
500 ilustracions completo copia
500 ilustracions completo copia500 ilustracions completo copia
500 ilustracions completo copia
Recursos Cristianos. Org
 
Enjeux de l'accessibilité EDNA
Enjeux de l'accessibilité EDNAEnjeux de l'accessibilité EDNA
Enjeux de l'accessibilité EDNAPRI_iDEV
 
contigo creamos deseos - Admore DC
contigo creamos deseos - Admore DCcontigo creamos deseos - Admore DC
contigo creamos deseos - Admore DC
Admore.es
 
¿Deberían las bandas trabajar como start-ups?
¿Deberían las bandas trabajar como start-ups?¿Deberían las bandas trabajar como start-ups?
¿Deberían las bandas trabajar como start-ups?
Mao Solano
 
Transparent x opaque
Transparent x opaqueTransparent x opaque
Transparent x opaque
Maha Hussain
 
Informe tarea 2 grupo 4
Informe tarea 2 grupo 4Informe tarea 2 grupo 4
Informe tarea 2 grupo 4
Vane Torres
 
Mon quotidien ecoleinclusive
Mon quotidien ecoleinclusiveMon quotidien ecoleinclusive
Mon quotidien ecoleinclusive0596957s
 
Guia1 octavo
Guia1 octavoGuia1 octavo
Guia1 octavo
Ciuad de Asis
 
Informatica2
Informatica2Informatica2
Informatica2
guest2273bb
 
Que faire à paris avec sa grand mere ?
Que faire à paris avec sa grand mere ?Que faire à paris avec sa grand mere ?
Que faire à paris avec sa grand mere ?
BubbleGlobe
 
PROF. LAURA GARCIA ASTURIMA
PROF. LAURA GARCIA ASTURIMAPROF. LAURA GARCIA ASTURIMA
PROF. LAURA GARCIA ASTURIMA
guestb39534
 
RESUME detail services FR
RESUME detail services FRRESUME detail services FR
Datamapper L Orm Dans Rails 3
Datamapper L Orm Dans Rails 3Datamapper L Orm Dans Rails 3
Datamapper L Orm Dans Rails 3
Cyril Mougel
 
Tics
TicsTics
Tics
thony
 
Cómo crear un blog
Cómo crear un blogCómo crear un blog
Cómo crear un blog
patricia urbano
 
Tutorial Envio Actividad E-ducativa
Tutorial Envio Actividad E-ducativaTutorial Envio Actividad E-ducativa
Tutorial Envio Actividad E-ducativa
Cintia Gomez
 
Plan de estudios integracion itey sena
Plan de estudios integracion itey senaPlan de estudios integracion itey sena
Plan de estudios integracion itey sena
Giovanni Monroy
 
Un estudio psicoanalítico sobre la relación líder
Un estudio psicoanalítico sobre la relación líderUn estudio psicoanalítico sobre la relación líder
Un estudio psicoanalítico sobre la relación líder
Recursos Cristianos. Org
 

En vedette (20)

OWASP Top 10 A4 – Insecure Direct Object Reference
OWASP Top 10 A4 – Insecure Direct Object ReferenceOWASP Top 10 A4 – Insecure Direct Object Reference
OWASP Top 10 A4 – Insecure Direct Object Reference
 
500 ilustracions completo copia
500 ilustracions completo copia500 ilustracions completo copia
500 ilustracions completo copia
 
Enjeux de l'accessibilité EDNA
Enjeux de l'accessibilité EDNAEnjeux de l'accessibilité EDNA
Enjeux de l'accessibilité EDNA
 
contigo creamos deseos - Admore DC
contigo creamos deseos - Admore DCcontigo creamos deseos - Admore DC
contigo creamos deseos - Admore DC
 
¿Deberían las bandas trabajar como start-ups?
¿Deberían las bandas trabajar como start-ups?¿Deberían las bandas trabajar como start-ups?
¿Deberían las bandas trabajar como start-ups?
 
Transparent x opaque
Transparent x opaqueTransparent x opaque
Transparent x opaque
 
Informe tarea 2 grupo 4
Informe tarea 2 grupo 4Informe tarea 2 grupo 4
Informe tarea 2 grupo 4
 
Mon quotidien ecoleinclusive
Mon quotidien ecoleinclusiveMon quotidien ecoleinclusive
Mon quotidien ecoleinclusive
 
Ibm academic initiative for cloud
Ibm academic initiative for cloud Ibm academic initiative for cloud
Ibm academic initiative for cloud
 
Guia1 octavo
Guia1 octavoGuia1 octavo
Guia1 octavo
 
Informatica2
Informatica2Informatica2
Informatica2
 
Que faire à paris avec sa grand mere ?
Que faire à paris avec sa grand mere ?Que faire à paris avec sa grand mere ?
Que faire à paris avec sa grand mere ?
 
PROF. LAURA GARCIA ASTURIMA
PROF. LAURA GARCIA ASTURIMAPROF. LAURA GARCIA ASTURIMA
PROF. LAURA GARCIA ASTURIMA
 
RESUME detail services FR
RESUME detail services FRRESUME detail services FR
RESUME detail services FR
 
Datamapper L Orm Dans Rails 3
Datamapper L Orm Dans Rails 3Datamapper L Orm Dans Rails 3
Datamapper L Orm Dans Rails 3
 
Tics
TicsTics
Tics
 
Cómo crear un blog
Cómo crear un blogCómo crear un blog
Cómo crear un blog
 
Tutorial Envio Actividad E-ducativa
Tutorial Envio Actividad E-ducativaTutorial Envio Actividad E-ducativa
Tutorial Envio Actividad E-ducativa
 
Plan de estudios integracion itey sena
Plan de estudios integracion itey senaPlan de estudios integracion itey sena
Plan de estudios integracion itey sena
 
Un estudio psicoanalítico sobre la relación líder
Un estudio psicoanalítico sobre la relación líderUn estudio psicoanalítico sobre la relación líder
Un estudio psicoanalítico sobre la relación líder
 

Similaire à Présentation Top10 CEGID Lyon

2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8
Sébastien GIORIA
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesConFoo
 
Première rencontre d'owasp québec
Première rencontre d'owasp québecPremière rencontre d'owasp québec
Première rencontre d'owasp québecPatrick Leclerc
 
Owasp top-10-2013-french
Owasp top-10-2013-frenchOwasp top-10-2013-french
Owasp top-10-2013-french
vangogue
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
Bertrand Carlier
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
Nicolas Lourenço
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
Sébastien GIORIA
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017
Gaudefroy Ariane
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
Mame Cheikh Ibra Niang
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
Microsoft
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Witekio
 
Matinée6 solutions professionnelles de sécurité KES
Matinée6   solutions professionnelles de sécurité KESMatinée6   solutions professionnelles de sécurité KES
Matinée6 solutions professionnelles de sécurité KES
ALTITUDE CONCEPT SPRL
 
SPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLINSPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLIN
TelecomValley
 

Similaire à Présentation Top10 CEGID Lyon (20)

2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8
 
Présentation au CRI-Ouest
Présentation au CRI-OuestPrésentation au CRI-Ouest
Présentation au CRI-Ouest
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgi
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuages
 
Première rencontre d'owasp québec
Première rencontre d'owasp québecPremière rencontre d'owasp québec
Première rencontre d'owasp québec
 
2010 03-11-sdlc-v02
2010 03-11-sdlc-v022010 03-11-sdlc-v02
2010 03-11-sdlc-v02
 
Owasp top-10-2013-french
Owasp top-10-2013-frenchOwasp top-10-2013-french
Owasp top-10-2013-french
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
 
Communiqué de presse AppSec Forum 2011
Communiqué de presse AppSec Forum 2011Communiqué de presse AppSec Forum 2011
Communiqué de presse AppSec Forum 2011
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdf
 
Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017
 
OWF12/Security and Free Software
OWF12/Security and Free SoftwareOWF12/Security and Free Software
OWF12/Security and Free Software
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
 
Matinée6 solutions professionnelles de sécurité KES
Matinée6   solutions professionnelles de sécurité KESMatinée6   solutions professionnelles de sécurité KES
Matinée6 solutions professionnelles de sécurité KES
 
SPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLINSPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLIN
 

Plus de Sébastien GIORIA

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
Sébastien GIORIA
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
Sébastien GIORIA
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
Sébastien GIORIA
 
2014 09-04-pj
2014 09-04-pj2014 09-04-pj
2014 09-04-pj
Sébastien GIORIA
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
Sébastien GIORIA
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013
Sébastien GIORIA
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universe
Sébastien GIORIA
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2Sébastien GIORIA
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
Sébastien GIORIA
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécuritéSébastien GIORIA
 
2013 02-27-owasp top10 javascript
 2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascriptSébastien GIORIA
 
Secure Coding for Java
Secure Coding for JavaSecure Coding for Java
Secure Coding for Java
Sébastien GIORIA
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01
Sébastien GIORIA
 
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
Sébastien GIORIA
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01
Sébastien GIORIA
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1
Sébastien GIORIA
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
Sébastien GIORIA
 
Top10 risk in app sec
Top10 risk in app secTop10 risk in app sec
Top10 risk in app sec
Sébastien GIORIA
 

Plus de Sébastien GIORIA (20)

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
2014 09-04-pj
2014 09-04-pj2014 09-04-pj
2014 09-04-pj
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universe
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité
 
2013 02-27-owasp top10 javascript
 2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
 
Secure Coding for Java
Secure Coding for JavaSecure Coding for Java
Secure Coding for Java
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01
 
2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite
 
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
Top10 risk in app sec
Top10 risk in app secTop10 risk in app sec
Top10 risk in app sec
 
Top10 risk in app sec fr
Top10 risk in app sec frTop10 risk in app sec fr
Top10 risk in app sec fr
 

Présentation Top10 CEGID Lyon

  • 1. La sécurité des applications Web CEGID - Lyon 12 Juin 2009 Sébastien GIORIA (sebastien.gioria@owasp.org) French Chapter Leader Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation http://www.owasp.org
  • 2. Qui suis-je ? President du CLUSIR Poitou-Charentes, OWASP France Leader &évangeliste sebastien.gioria@owasp.org 12 ansd’expérience en Sécurité des Systèmesd’Information  Différentspostes de manager SSI dans la banque, l’assurance et les télécoms  Expertise Technique  Gestion du risque, Architectures fonctionnelles, Audits  Consulting et Formation en Réseaux et Sécurité  PenTesting, Digital Forensics  Domaines de prédilection :  Web 4.2 : WebServices, Interfaces Riches (Flex, Air, Silverlight, …), Insécurité du Web. 
  • 3. Agenda Mythes et réalités L’OWASP Les failles les plus courantes Et après ? © 2009 - S.Gioria & OWASP
  • 4. Le constat actuel  Le système d’information s’ouvre : Thank You Google Trends Data for: l Buffer overflow l XSS  Architectures orientées services (SAAS, WebServices, ...)  Intégration de partenaires  « Multi-play/multi-canal » : Internet, Téléphone, Mail, Vidéo, …  La sécurité aujourd’hui  Niveau  Niveau  Niveau  Niveau 1 2 3 4 : Le cable : VLAN : Liste de contrôle d’accès à 7 : Firewall, Proxy, IDS, IPS  L’Insécurité aujourd’hui  Niveau 8 : L’humain, l’utilisateur © 2009 - S.Gioria & OWASP
  • 5. Quel est la meilleur moyen de déterminer si votre applicatif a une faille de sécurité ? 1. Recevoir un mail du PDG ou d’un client a propos d’un bug ? 2. Recevoir un avis de sécurité du CERT ? 3. Vérifier lors de la phase de pré-production la sécurité 4. L’ignorance permet de bien dormir 5. 42, c’est la réponse universelle. © 2009 - S.Gioria & OWASP
  • 6. Faiblesse des applications Web % Attaques % Dépenses 10 % Application Web 75 % 90 % 25 % Eléments Réseaux D’après une étude du GARTNER 75% des attaques ciblent le niveau Applicatif 33% des applications web sont vulnérables © 2009 - S.Gioria & OWASP
  • 7. Je suis protégé contre les attaques, j’ai un firewall © 2009 - S.Gioria & OWASP 7
  • 8. Mon site Web est sécurisé puisque il est protégé par SSL © 2009 - S.Gioria & OWASP 8
  • 9. Seuls des génies de l’informatique savent exploiter les failles des applications Web  Les outils sont de plus en plus simples d’emploi  Une simple recherche sur google, permet de télécharger un logiciel permettant la récupération de bases de données.  L’attaque d’un serveur web Français coute de 120$ à 1000$ dans le marché souterrain. © 2009 - S.Gioria & OWASP 9
  • 10. Une faille sur une application interne n’est pas importante De part l’importance du web actuellement, cela peut être catastrophique. Nombre de navigateurs permettant la création d’onglets : Ils partagent tous la même politique de sécurité Ils peuvent fonctionner indépendamment de l’utilisateur (utilisation d’AJAX) La faille de clickjacking permet de générer des requêtes à l’insu de l’utilisateur Le pirate se trouve alors dans le réseau local…. © 2009 - S.Gioria & OWASP 10
  • 11. Agenda Mythes et réalités L’OWASP Les failles les plus courantes Et après ? © 2009 - S.Gioria & OWASP
  • 12. L’OWASP (Open Web Application Security Project)  Indépendant des fournisseurs et des gouvernements.  Objectif principal : produire des outils, documents et standards dédiés à la sécurité des applicative.  Touts les documents, standards, outils sont fournis sur la base du modèle open-source.  Organisation :  Réunion d’experts indépendants en sécurité informatique  Communauté mondiale (plus de 100 chapitres) réunie en une fondation américaine pour supporter son action. L’adhésion est gratuite et ouverte a tous  En France : une Association.  Le point d’entrée est le wiki http://www.owasp.org ©© 2009 S.Gioria && OWASP 2009 - - S.Gioria &
  • 13. OWASPenFrance Un Conseild’Administration (Association loi 1901) : Président, évangéliste et relations publiques : Sébastien Gioria Consultant indépendant en sécurité des systèmesd’informations. Président du CLUSIR Poitou-Charentes Vice-Président et responsable du projet de Traduction : Ludovic Petit. Expert Sécurité chez SFR Secrétaire et Responsable des aspects Juridiques: Estelle Aimé. Avocate Un Bureau :  Le Conseild’Administration  RomainGaucher : Ex-chercheur au NIST, consultant chez Cigital  Mathieu Estrade : DéveloppeurApache. Projets : Sensibilisation/ Formations : Interventions : Top 10 : traduit. Assurance (Java/PHP) Infosecurity Guides : en cours. Sociétéd’EDI (JAVA) OSSIR Questionnaire a destination des RSSI : en cours. OpérateurTéléphonie mobile (PHP/WebServices) Microsoft TechDays Groupe de travail de la sécurité applicative du CLUSIF Ministère de l’intérieur – SGDN Conférencesdans des écoles PCI-Global CERT-IST Ministère de la santé © 2009 - S.Gioria & OWASP
  • 14. Les outils de l’OWASP © 2009 - S.Gioria & OWASP 18
  • 15. Les publications  Toutes les publications sontdisponiblessur le site de l’OWASP: http://www.owasp.org  L’ensemble des documents estrégi par la licence GFDL (GNU Free Documentation License)  Les publications majeures :  Le TOP 10 des vulnérabilitésapplicatives  Le Guide de l’auditeur/du testeur  Le Code Review Guide  Le guide de conception d’applications Web sécurisées  La FAQ de l’insécurité des Applications Web. © 2009 - S.Gioria & OWASP
  • 16. Agenda Mythes et réalités L’OWASP Les failles les plus courantes Et après ? © 2009 - S.Gioria & OWASP
  • 18. A5 - Attaque CSRF (1) L’utilisateur se rend sur un forum annodin (2) Une iframe embarquée sur le forum demande au navigateur d'exécuter une requete sur un autre serveur (3) Le mot de passe est changé © 2009 - S.Gioria & OWASP
  • 19. A7 – Violation de Session ou d’authentification © 2009 - S.Gioria & OWASP
  • 20. Agenda Mythes et réalités L’OWASP Les failles les plus courantes Et après ? © 2009 - S.Gioria & OWASP
  • 21. OWASP Enterprise Security API (ESAPI)  Un framework de sécurité pour les développeurs  Permettre de créer une application Web Sécurisée  Classes Java et .NET  Disponible sur le site de l’OWASP © 2009 - S.Gioria & OWASP
  • 22. Pas de recette Miracle Mettre en place un cycle de développementsécurisé ! Auditer et Tester son code ! Vérifier le fonctionnement de son Application ! La sécurité est d’abord et avant tout affaire de bon sens, le maillon faible restant… l’Humain © 2009 - S.Gioria & OWASP