Présentation Top10 CEGID Lyon

La sécurité des applications
Web
CEGID - Lyon
12 Juin 2009

Sébastien GIORIA (sebastien.gioria@owasp.org)
French Chapter Leader

Copyright © 2009 - The OWASP Foundation
Permission is granted to copy, distribute and/or modify this document
under the terms of the GNU Free Documentation License.

The OWASP Foundation
http://www.owasp.org

Qui suis-je ?
President du CLUSIR Poitou-Charentes, OWASP France Leader
&évangeliste
sebastien.gioria@owasp.org
12 ansd’expérience en Sécurité des Systèmesd’Information
 Différentspostes de manager SSI dans la banque, l’assurance et
les télécoms
 Expertise Technique

Gestion du risque, Architectures fonctionnelles, Audits

Consulting et Formation en Réseaux et Sécurité

PenTesting, Digital Forensics


Domaines de prédilection :
 Web 4.2 : WebServices, Interfaces Riches (Flex, Air, Silverlight,
…), Insécurité du Web.



Agenda
Mythes et réalités
L’OWASP
Les failles les plus courantes
Et après ?

© 2009 - S.Gioria & OWASP

Le constat actuel
 Le système d’information
s’ouvre :

Thank You

Google Trends Data for:
l Buffer overflow
l XSS

 Architectures orientées services
(SAAS, WebServices, ...)
 Intégration de partenaires
 « Multi-play/multi-canal » :
Internet, Téléphone, Mail, Vidéo, …

 La sécurité aujourd’hui
 Niveau
 Niveau
 Niveau
 Niveau

1
2
3
4

: Le cable
: VLAN
: Liste de contrôle d’accès
à 7 : Firewall, Proxy, IDS, IPS

 L’Insécurité aujourd’hui
 Niveau 8 : L’humain, l’utilisateur

Quel est la meilleur moyen de déterminer si
votre applicatif a une faille de sécurité ?
1. Recevoir un mail du PDG ou d’un client a
propos d’un bug ?
2. Recevoir un avis de sécurité du CERT ?
3. Vérifier lors de la phase de pré-production la
sécurité
4. L’ignorance permet de bien dormir
5. 42, c’est la réponse universelle.


Faiblesse des applications Web
% Attaques

% Dépenses

10 %
Application Web
75 %
90 %
25 %

Eléments Réseaux

D’après une étude du GARTNER
75% des attaques ciblent le niveau Applicatif
33% des applications web sont vulnérables

Je suis protégé contre les attaques, j’ai un
firewall


7

Mon site Web est sécurisé puisque il est
protégé par SSL


8

Seuls des génies de l’informatique savent
exploiter les failles des applications Web
 Les outils sont de plus
en plus simples d’emploi
 Une simple recherche
sur google, permet de
télécharger un logiciel
permettant la
récupération de bases
de données.
 L’attaque d’un serveur
web Français coute de
120$ à 1000$ dans le
marché souterrain.

9

Une faille sur une application interne n’est
pas importante
De part l’importance du web actuellement, cela
peut être catastrophique.
Nombre de navigateurs permettant la création
d’onglets :
Ils partagent tous la même politique de sécurité
Ils peuvent fonctionner indépendamment de
l’utilisateur (utilisation d’AJAX)
La faille de clickjacking permet de générer des
requêtes à l’insu de l’utilisateur
Le pirate se trouve alors dans le réseau local….

10

L’OWASP
(Open Web Application Security Project)
 Indépendant des fournisseurs et des gouvernements.
 Objectif principal : produire des outils, documents et standards dédiés à la sécurité des
applicative.
 Touts les documents, standards, outils sont fournis sur la base du modèle open-source.
 Organisation :
 Réunion d’experts indépendants
en sécurité informatique
 Communauté mondiale (plus de
100 chapitres) réunie en une
fondation
américaine
pour
supporter son action. L’adhésion
est gratuite et ouverte a tous
 En France : une Association.

 Le point d’entrée est le wiki
http://www.owasp.org

©© 2009 S.Gioria && OWASP
2009 - - S.Gioria &

OWASPenFrance
Un Conseild’Administration (Association loi 1901) :
Président, évangéliste et relations publiques : Sébastien Gioria
Consultant indépendant en sécurité des systèmesd’informations. Président du CLUSIR Poitou-Charentes
Vice-Président et responsable du projet de Traduction : Ludovic Petit. Expert Sécurité chez SFR
Secrétaire et Responsable des aspects Juridiques: Estelle Aimé. Avocate
Un Bureau :
 Le Conseild’Administration
 RomainGaucher : Ex-chercheur au NIST, consultant chez Cigital
 Mathieu Estrade : DéveloppeurApache.

Projets :

Sensibilisation/ Formations :

Interventions :

Top 10 : traduit.

Assurance (Java/PHP)

Infosecurity

Guides : en cours.

Sociétéd’EDI (JAVA)

OSSIR

Questionnaire a destination des
RSSI : en cours.

OpérateurTéléphonie mobile
(PHP/WebServices)

Microsoft TechDays

Groupe de travail de la sécurité
applicative du CLUSIF

Ministère de l’intérieur – SGDN
Conférencesdans des écoles

PCI-Global
CERT-IST

Ministère de la santé

Les outils de l’OWASP


18

Les publications
 Toutes les publications sontdisponiblessur le site
de l’OWASP: http://www.owasp.org
 L’ensemble des documents estrégi par la licence
GFDL (GNU Free Documentation License)
 Les publications majeures :
 Le TOP 10 des vulnérabilitésapplicatives
 Le Guide de l’auditeur/du testeur
 Le Code Review Guide
 Le guide de conception d’applications Web
sécurisées
 La FAQ de l’insécurité des Applications Web.

www.owasp.org/index.php?title=Top_10_2007


17

A5 - Attaque CSRF

(1) L’utilisateur se rend sur un forum annodin
(2) Une iframe embarquée sur le forum
demande au navigateur d'exécuter une
requete sur un autre serveur
(3) Le mot de passe est changé


A7 – Violation de Session ou
d’authentification


OWASP Enterprise Security API (ESAPI)
 Un framework de sécurité pour
les développeurs
 Permettre de créer une
application Web Sécurisée

 Classes Java et .NET
 Disponible sur le site de
l’OWASP


Pas de recette Miracle
Mettre
en
place
un
cycle
de
développementsécurisé !
Auditer et Tester son code !
Vérifier le fonctionnement de son Application !
La sécurité est d’abord et avant tout
affaire de bon sens, le maillon faible
restant… l’Humain


Présentation Top10 CEGID Lyon

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (20)

Similaire à Présentation Top10 CEGID Lyon

Similaire à Présentation Top10 CEGID Lyon (20)

Plus de Sébastien GIORIA

Plus de Sébastien GIORIA (20)

Présentation Top10 CEGID Lyon