SlideShare une entreprise Scribd logo
Sécurité
des applications web
But de la présentation
Quelques bases pour sensibiliser à la
sécurité...
● un peu de vocabulaire
● un peu de théorie (qui, comment, pourquoi)
● un peu de concret (top 10 des attaques)
● quelques exemples
Quelques vérités (évidences ?)
● “La sécurité c’est pas que pour Facebook et
la Nasa”
● “my website has never been hacked!”
(except for all the times that it has)
● C’est une composante essentielle dans le
succès d’une application.
D’autres vérités
● Concerne toutes les parties d’un projet
(front-end, back-end, api, web service), tous
les langages, toutes les infrastructures...
● Concerne les développeurs, les
concepteurs, les business dev, le support...
● Développer une application non sécurisée
est plus facile et moins coûteux... mais plus
on attends pour le faire et plus c’est difficile
et coûteux le jour où faut y passer.
Les 3 piliers de la sécurité web
● confidentialité : s’assurer que les données
ne soient visibles que par les personnes qui
y sont autorisées
● intégrité : s’assurer que les données ne
puissent pas être altérées ou modifiées par
des personnes non autorisées
● disponibilité : s’assurer que l’application et
les données soient disponibles pour les
utilisateurs lorsqu’ils en ont besoin
Aparté vocabulaire #1
● identification : permet de connaître l’
identité d’un utilisateur
● authentification : permet de contrôler l’
identité d’un utilisateur
● autorisation : permet de contrôler l’accès à
des données et des fonctions pour un
utilisateur
“L’identification permet de connaître l’identité d’une entitée
alors que l’authentification permet de vérifier cette identité”
Qui, comment, pourquoi ?
● L’attaquant peut utiliser différents chemins à
travers l’application pour porter atteinte au
métier ou à l’entreprise.
● Chaque chemin représente un risque.
Agents de menace
● Un individus ou groupe d’individus qui peut
manifester une menace
● Caractérise par : ses capacités
informatiques + ses motivations + ses
activités passées
Agents de menace
● Criminels et organisations criminelles : ils
ciblent les informations qui ont de la valeur
pour eux : comptes en banque, numéro de
CB, adresses, propriétés intellectuelles.
● Sociétés : concurrents, partenaires, etc
● Employés de chez Lucca : quelqu’un qui
veut nuire à l’entreprise, avant d’être viré...
● Humains, involontairement : accidents
● Humains, volontairement : utilisateurs/ non-
utilisateurs
Aparté vocabulaire #2
● black hat : attaquant mal intentionné
● white hat : l’inverse...
● black box : attaque sans connaissance du
code
● white box : l’inverse...
Vecteurs d’attaque
● La porte d’entrée.
● Toutes les techniques utilisées par l’
attaquant pour découvrir et exploiter une ou
plusieurs failles dans l’application.
Exemples :
● injection SQL
● cross-site scripting (XSS)
● brute force
Vunérabilités, failles, faiblesses
Peut provenir d’un défaut de conception ou d’
un bug.
Exemples :
● absence de validation des données saisies
par l’utilisateur
● mauvaise gestion d’une erreur
● autorisations utilisateur non vérifiées
● connexion vers la base de données laissée
ouverte
● session utilisateur jamais expirée
Impacts techniques
● perte de confidentialité
● perte d’intégrité
● perte de disponibilité
Impacts métiers
● Dommage financier
● Réputation endommagée
● Non-respect du contrat, des CGU
● Violation de la vie privée des utilisateurs
Mesure du risque
La suite de la présentation (outside)
● Top 10 des attaques, les plus graves et les
plus communes (OWASP) : https://www.owasp.org/index.php/Category:
OWASP_Top_Ten_Project
● How to fix (environnement .NET / IIS) :
http://www.troyhunt.com/2010/09/owasp-top-10-for-net-developers-part-4.html
● Exemples concrets de vecteurs d’attaque et
de vulnérabilités : http://google-gruyere.appspot.com/
Des questions ?

Contenu connexe

Tendances

security misconfigurations
security misconfigurationssecurity misconfigurations
security misconfigurations
Megha Sahu
 
Metasploit seminar
Metasploit seminarMetasploit seminar
Metasploit seminar
henelpj
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
Antonio Fontes
 
Sécurité des Applications WEB -LEVEL1
 Sécurité des Applications WEB-LEVEL1 Sécurité des Applications WEB-LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Alphorm.com Support de la Formation Stormshield Administration
Alphorm.com Support de la Formation Stormshield AdministrationAlphorm.com Support de la Formation Stormshield Administration
Alphorm.com Support de la Formation Stormshield Administration
Alphorm
 
Secure Code Review 101
Secure Code Review 101Secure Code Review 101
Secure Code Review 101
Narudom Roongsiriwong, CISSP
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CK
EyesOpen Association
 
Abusing Microsoft Kerberos - Sorry you guys don't get it
Abusing Microsoft Kerberos - Sorry you guys don't get itAbusing Microsoft Kerberos - Sorry you guys don't get it
Abusing Microsoft Kerberos - Sorry you guys don't get it
Benjamin Delpy
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
Bee_Ware
 
OWASP Top Ten
OWASP Top TenOWASP Top Ten
OWASP Top Ten
Christian Heinrich
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)
Aymeric Lagier
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
The Elastic Stack as a SIEM
The Elastic Stack as a SIEMThe Elastic Stack as a SIEM
The Elastic Stack as a SIEM
John Hubbard
 
Owasp top 10 vulnerabilities
Owasp top 10 vulnerabilitiesOwasp top 10 vulnerabilities
Owasp top 10 vulnerabilities
OWASP Delhi
 
Security Exploit of Business Logic Flaws, Business Logic Attacks
Security Exploit of Business Logic Flaws, Business Logic AttacksSecurity Exploit of Business Logic Flaws, Business Logic Attacks
Security Exploit of Business Logic Flaws, Business Logic Attacks
Marco Morana
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le webSofteam agency
 
DevSecOps: Taking a DevOps Approach to Security
DevSecOps: Taking a DevOps Approach to SecurityDevSecOps: Taking a DevOps Approach to Security
DevSecOps: Taking a DevOps Approach to Security
Alert Logic
 
Wazuh Security Platform
Wazuh Security PlatformWazuh Security Platform
Wazuh Security Platform
Pituphong Yavirach
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptx
emnabenamor3
 
Security and DevOps Overview
Security and DevOps OverviewSecurity and DevOps Overview
Security and DevOps Overview
Adrian Sanabria
 

Tendances (20)

security misconfigurations
security misconfigurationssecurity misconfigurations
security misconfigurations
 
Metasploit seminar
Metasploit seminarMetasploit seminar
Metasploit seminar
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
Sécurité des Applications WEB -LEVEL1
 Sécurité des Applications WEB-LEVEL1 Sécurité des Applications WEB-LEVEL1
Sécurité des Applications WEB -LEVEL1
 
Alphorm.com Support de la Formation Stormshield Administration
Alphorm.com Support de la Formation Stormshield AdministrationAlphorm.com Support de la Formation Stormshield Administration
Alphorm.com Support de la Formation Stormshield Administration
 
Secure Code Review 101
Secure Code Review 101Secure Code Review 101
Secure Code Review 101
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CK
 
Abusing Microsoft Kerberos - Sorry you guys don't get it
Abusing Microsoft Kerberos - Sorry you guys don't get itAbusing Microsoft Kerberos - Sorry you guys don't get it
Abusing Microsoft Kerberos - Sorry you guys don't get it
 
Les menaces applicatives
Les menaces applicativesLes menaces applicatives
Les menaces applicatives
 
OWASP Top Ten
OWASP Top TenOWASP Top Ten
OWASP Top Ten
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
The Elastic Stack as a SIEM
The Elastic Stack as a SIEMThe Elastic Stack as a SIEM
The Elastic Stack as a SIEM
 
Owasp top 10 vulnerabilities
Owasp top 10 vulnerabilitiesOwasp top 10 vulnerabilities
Owasp top 10 vulnerabilities
 
Security Exploit of Business Logic Flaws, Business Logic Attacks
Security Exploit of Business Logic Flaws, Business Logic AttacksSecurity Exploit of Business Logic Flaws, Business Logic Attacks
Security Exploit of Business Logic Flaws, Business Logic Attacks
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le web
 
DevSecOps: Taking a DevOps Approach to Security
DevSecOps: Taking a DevOps Approach to SecurityDevSecOps: Taking a DevOps Approach to Security
DevSecOps: Taking a DevOps Approach to Security
 
Wazuh Security Platform
Wazuh Security PlatformWazuh Security Platform
Wazuh Security Platform
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptx
 
Security and DevOps Overview
Security and DevOps OverviewSecurity and DevOps Overview
Security and DevOps Overview
 

En vedette

Modèle relationnel
Modèle relationnelModèle relationnel
Modèle relationnel
Musatge
 
Conception des bases de données relationelles
Conception des bases de données relationellesConception des bases de données relationelles
Conception des bases de données relationelles
Yassine Badri
 
Modelisation conception SI
Modelisation conception SIModelisation conception SI
Modelisation conception SI
Lara L' Impératrice
 
Medición de Radiación, Magnitudes y Utilidades Radiación Tarea3
Medición de Radiación, Magnitudes y Utilidades Radiación  Tarea3Medición de Radiación, Magnitudes y Utilidades Radiación  Tarea3
Medición de Radiación, Magnitudes y Utilidades Radiación Tarea3
Eduardo Mera
 
Segment 4
Segment 4Segment 4
Segment 4
slhanna
 
Presention pp roger 7 aout 2015 ..
Presention pp roger 7 aout 2015  ..Presention pp roger 7 aout 2015  ..
Presention pp roger 7 aout 2015 ..
Céline Lord-soucy
 
Investigacion formativa i - planeamiento operativo
Investigacion formativa i - planeamiento operativoInvestigacion formativa i - planeamiento operativo
Investigacion formativa i - planeamiento operativo
Luis Morales
 
Agen - Llanelli : 25ans d'amitié
Agen - Llanelli : 25ans d'amitiéAgen - Llanelli : 25ans d'amitié
Agen - Llanelli : 25ans d'amitié
villeagen
 
Schaal 18 02-2003 (1)
Schaal 18 02-2003 (1)Schaal 18 02-2003 (1)
Schaal 18 02-2003 (1)Calinsjustice
 
Discours de Création de la CECA - Robert Schuman fondation
Discours de Création de la CECA - Robert Schuman fondationDiscours de Création de la CECA - Robert Schuman fondation
Discours de Création de la CECA - Robert Schuman fondation
FactaMedia
 
La lettre de Manuel Valls aux député
La lettre de Manuel Valls aux députéLa lettre de Manuel Valls aux député
La lettre de Manuel Valls aux députéFactaMedia
 
100 días Avanzando con la gente
100 días Avanzando con la gente100 días Avanzando con la gente
100 días Avanzando con la gente
Luis Fernando Tascón Montes
 
Boletín de Alcaldía de Palmira 71 Abril 3
Boletín de Alcaldía de Palmira 71 Abril 3Boletín de Alcaldía de Palmira 71 Abril 3
Boletín de Alcaldía de Palmira 71 Abril 3
Luis Fernando Tascón Montes
 
Una Experiencia Personal. Emprendiendo
Una Experiencia Personal. EmprendiendoUna Experiencia Personal. Emprendiendo
Una Experiencia Personal. Emprendiendo
FENA Business School
 
Gambade Academy - Le centre de formation
Gambade Academy - Le centre de formationGambade Academy - Le centre de formation
Gambade Academy - Le centre de formationGambade Academy
 
Digital morning Figaro Classifieds
Digital morning Figaro ClassifiedsDigital morning Figaro Classifieds
Digital morning Figaro Classifieds
Hélène Guillon
 

En vedette (20)

Modèle relationnel
Modèle relationnelModèle relationnel
Modèle relationnel
 
Conception des bases de données relationelles
Conception des bases de données relationellesConception des bases de données relationelles
Conception des bases de données relationelles
 
Modelisation conception SI
Modelisation conception SIModelisation conception SI
Modelisation conception SI
 
Medición de Radiación, Magnitudes y Utilidades Radiación Tarea3
Medición de Radiación, Magnitudes y Utilidades Radiación  Tarea3Medición de Radiación, Magnitudes y Utilidades Radiación  Tarea3
Medición de Radiación, Magnitudes y Utilidades Radiación Tarea3
 
Segment 4
Segment 4Segment 4
Segment 4
 
Presention pp roger 7 aout 2015 ..
Presention pp roger 7 aout 2015  ..Presention pp roger 7 aout 2015  ..
Presention pp roger 7 aout 2015 ..
 
Unit Plan Bot
Unit Plan BotUnit Plan Bot
Unit Plan Bot
 
Investigacion formativa i - planeamiento operativo
Investigacion formativa i - planeamiento operativoInvestigacion formativa i - planeamiento operativo
Investigacion formativa i - planeamiento operativo
 
Agen - Llanelli : 25ans d'amitié
Agen - Llanelli : 25ans d'amitiéAgen - Llanelli : 25ans d'amitié
Agen - Llanelli : 25ans d'amitié
 
Schaal 18 02-2003 (1)
Schaal 18 02-2003 (1)Schaal 18 02-2003 (1)
Schaal 18 02-2003 (1)
 
Discours de Création de la CECA - Robert Schuman fondation
Discours de Création de la CECA - Robert Schuman fondationDiscours de Création de la CECA - Robert Schuman fondation
Discours de Création de la CECA - Robert Schuman fondation
 
L'homme
L'hommeL'homme
L'homme
 
Iphonographie final
Iphonographie finalIphonographie final
Iphonographie final
 
La lettre de Manuel Valls aux député
La lettre de Manuel Valls aux députéLa lettre de Manuel Valls aux député
La lettre de Manuel Valls aux député
 
100 días Avanzando con la gente
100 días Avanzando con la gente100 días Avanzando con la gente
100 días Avanzando con la gente
 
Boletín de Alcaldía de Palmira 71 Abril 3
Boletín de Alcaldía de Palmira 71 Abril 3Boletín de Alcaldía de Palmira 71 Abril 3
Boletín de Alcaldía de Palmira 71 Abril 3
 
Una Experiencia Personal. Emprendiendo
Una Experiencia Personal. EmprendiendoUna Experiencia Personal. Emprendiendo
Una Experiencia Personal. Emprendiendo
 
Gambade Academy - Le centre de formation
Gambade Academy - Le centre de formationGambade Academy - Le centre de formation
Gambade Academy - Le centre de formation
 
C rcopil1 restopasserelle
C rcopil1 restopasserelleC rcopil1 restopasserelle
C rcopil1 restopasserelle
 
Digital morning Figaro Classifieds
Digital morning Figaro ClassifiedsDigital morning Figaro Classifieds
Digital morning Figaro Classifieds
 

Similaire à Sécurité des applications web

Comment détecter et bloquer les visiteurs malveillants ?
Comment détecter et bloquer les visiteurs malveillants ?Comment détecter et bloquer les visiteurs malveillants ?
Comment détecter et bloquer les visiteurs malveillants ?
Stephane REYTAN
 
Reverse-Engineering Pour le Fun et le Profit
Reverse-Engineering Pour le Fun et le ProfitReverse-Engineering Pour le Fun et le Profit
Reverse-Engineering Pour le Fun et le ProfitSoufiane Tahiri
 
Ingénierie sociale
Ingénierie socialeIngénierie sociale
Ingénierie sociale
Habiba Kessraoui
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
ssuserdd27481
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Jean AMANI
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
AAMOUMHicham
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
ASIP Santé
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
simogamer3
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
Sébastien GIORIA
 
cybercrimesecurity-160416044708.en.fr.pdf
cybercrimesecurity-160416044708.en.fr.pdfcybercrimesecurity-160416044708.en.fr.pdf
cybercrimesecurity-160416044708.en.fr.pdf
Kira Dess
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
Sylvain Maret
 
securite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptsecurite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).ppt
Khaledabdelilah1
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Microsoft
 
Développement d'applications sécurisées [Partie 1]
Développement d'applications sécurisées [Partie 1]Développement d'applications sécurisées [Partie 1]
Développement d'applications sécurisées [Partie 1]
Salah Triki
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm
 

Similaire à Sécurité des applications web (20)

Comment détecter et bloquer les visiteurs malveillants ?
Comment détecter et bloquer les visiteurs malveillants ?Comment détecter et bloquer les visiteurs malveillants ?
Comment détecter et bloquer les visiteurs malveillants ?
 
Reverse-Engineering Pour le Fun et le Profit
Reverse-Engineering Pour le Fun et le ProfitReverse-Engineering Pour le Fun et le Profit
Reverse-Engineering Pour le Fun et le Profit
 
Ingénierie sociale
Ingénierie socialeIngénierie sociale
Ingénierie sociale
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
cybercrimesecurity-160416044708.en.fr.pdf
cybercrimesecurity-160416044708.en.fr.pdfcybercrimesecurity-160416044708.en.fr.pdf
cybercrimesecurity-160416044708.en.fr.pdf
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
securite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptsecurite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).ppt
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
 
Développement d'applications sécurisées [Partie 1]
Développement d'applications sécurisées [Partie 1]Développement d'applications sécurisées [Partie 1]
Développement d'applications sécurisées [Partie 1]
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
 

Dernier

COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU  SOUS WINDOWSCOURS D'ADMINISTRATION RESEAU  SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
AlbertSmithTambwe
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
Horgix
 
Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
abderrahimbourimi
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
OCTO Technology
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptxPRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
AlbertSmithTambwe
 

Dernier (9)

COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU  SOUS WINDOWSCOURS D'ADMINISTRATION RESEAU  SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
 
Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptxPRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
 

Sécurité des applications web

  • 2. But de la présentation Quelques bases pour sensibiliser à la sécurité... ● un peu de vocabulaire ● un peu de théorie (qui, comment, pourquoi) ● un peu de concret (top 10 des attaques) ● quelques exemples
  • 3. Quelques vérités (évidences ?) ● “La sécurité c’est pas que pour Facebook et la Nasa” ● “my website has never been hacked!” (except for all the times that it has) ● C’est une composante essentielle dans le succès d’une application.
  • 4. D’autres vérités ● Concerne toutes les parties d’un projet (front-end, back-end, api, web service), tous les langages, toutes les infrastructures... ● Concerne les développeurs, les concepteurs, les business dev, le support... ● Développer une application non sécurisée est plus facile et moins coûteux... mais plus on attends pour le faire et plus c’est difficile et coûteux le jour où faut y passer.
  • 5. Les 3 piliers de la sécurité web ● confidentialité : s’assurer que les données ne soient visibles que par les personnes qui y sont autorisées ● intégrité : s’assurer que les données ne puissent pas être altérées ou modifiées par des personnes non autorisées ● disponibilité : s’assurer que l’application et les données soient disponibles pour les utilisateurs lorsqu’ils en ont besoin
  • 6. Aparté vocabulaire #1 ● identification : permet de connaître l’ identité d’un utilisateur ● authentification : permet de contrôler l’ identité d’un utilisateur ● autorisation : permet de contrôler l’accès à des données et des fonctions pour un utilisateur “L’identification permet de connaître l’identité d’une entitée alors que l’authentification permet de vérifier cette identité”
  • 7. Qui, comment, pourquoi ? ● L’attaquant peut utiliser différents chemins à travers l’application pour porter atteinte au métier ou à l’entreprise. ● Chaque chemin représente un risque.
  • 8. Agents de menace ● Un individus ou groupe d’individus qui peut manifester une menace ● Caractérise par : ses capacités informatiques + ses motivations + ses activités passées
  • 9. Agents de menace ● Criminels et organisations criminelles : ils ciblent les informations qui ont de la valeur pour eux : comptes en banque, numéro de CB, adresses, propriétés intellectuelles. ● Sociétés : concurrents, partenaires, etc ● Employés de chez Lucca : quelqu’un qui veut nuire à l’entreprise, avant d’être viré... ● Humains, involontairement : accidents ● Humains, volontairement : utilisateurs/ non- utilisateurs
  • 10. Aparté vocabulaire #2 ● black hat : attaquant mal intentionné ● white hat : l’inverse... ● black box : attaque sans connaissance du code ● white box : l’inverse...
  • 11. Vecteurs d’attaque ● La porte d’entrée. ● Toutes les techniques utilisées par l’ attaquant pour découvrir et exploiter une ou plusieurs failles dans l’application. Exemples : ● injection SQL ● cross-site scripting (XSS) ● brute force
  • 12. Vunérabilités, failles, faiblesses Peut provenir d’un défaut de conception ou d’ un bug. Exemples : ● absence de validation des données saisies par l’utilisateur ● mauvaise gestion d’une erreur ● autorisations utilisateur non vérifiées ● connexion vers la base de données laissée ouverte ● session utilisateur jamais expirée
  • 13. Impacts techniques ● perte de confidentialité ● perte d’intégrité ● perte de disponibilité
  • 14. Impacts métiers ● Dommage financier ● Réputation endommagée ● Non-respect du contrat, des CGU ● Violation de la vie privée des utilisateurs
  • 16. La suite de la présentation (outside) ● Top 10 des attaques, les plus graves et les plus communes (OWASP) : https://www.owasp.org/index.php/Category: OWASP_Top_Ten_Project ● How to fix (environnement .NET / IIS) : http://www.troyhunt.com/2010/09/owasp-top-10-for-net-developers-part-4.html ● Exemples concrets de vecteurs d’attaque et de vulnérabilités : http://google-gruyere.appspot.com/ Des questions ?