Présentation Top10 CEGID Lyon

Copyright © 2009 - The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License.

The OWASP Foundationhttp://www.owasp.org

Sébastien GIORIA ([email protected])French Chapter Leader

La sécurité des applications Web

CEGID - Lyon12 Juin 2009

Qui suis-je ?

12 ans d’expérience en Sécurité des Systèmes d’Information

Différents postes de manager SSI dans la banque, l’assurance et les télécoms

Expertise Technique Gestion du risque, Architectures fonctionnelles,

Audits Consulting et Formation en Réseaux et Sécurité PenTesting, Digital Forensics

President du CLUSIR Poitou-Charentes, OWASP France Leader & évangeliste

[email protected]

Domaines de prédilection : Web 4.2 : WebServices, Interfaces Riches (Flex, Air,

Silverlight, …), Insécurité du Web.

© 2009 - S.Gioria & OWASP© 2009 - S.Gioria & OWASP

Agenda

Mythes et réalités L’OWASP Les failles les plus courantes Et après ?

© 2009 - S.Gioria & OWASP

Le constat actuel

La sécurité aujourd’hui Niveau 1 : Le cable Niveau 2 : VLAN Niveau 3 : Liste de contrôle

d’accès Niveau 4 à 7 : Firewall, Proxy, IDS,

IPS L’Insécurité aujourd’hui

Niveau 8 : L’humain, l’utilisateur

Thank YouGoogle Trends Data for:

l Buffer overflowl XSS

Le système d’information s’ouvre : Architectures orientées

services (SAAS, WebServices, ...)

Intégration de partenaires « Multi-play/multi-canal » :

Internet, Téléphone, Mail, Vidéo, …


Quel est la meilleur moyen de déterminer si votre applicatif a une faille de sécurité ?

1. Recevoir un mail du PDG ou d’un client a propos d’un bug ?

2. Recevoir un avis de sécurité du CERT ?3. Vérifier lors de la phase de pré-production

la sécurité4. L’ignorance permet de bien dormir5. 42, c’est la réponse universelle.


Faiblesse des applications Web

75 %

90 %

25 %

10 %

% Attaques % Dépenses

D’après une étude du GARTNER75% des attaques ciblent le niveau Applicatif33% des applications web sont vulnérables

Application Web

Eléments Réseaux


Je suis protégé contre les attaques, j’ai un firewall

7


Mon site Web est sécurisé puisque il est protégé par SSL

8


Seuls des génies de l’informatique savent exploiter les failles des applications Web

9

Les outils sont de plus en plus simples d’emploi

Une simple recherche sur google, permet de télécharger un logiciel permettant la récupération de bases de données.

L’attaque d’un serveur web Français coute de 120$ à 1000$ dans le marché souterrain.


Une faille sur une application interne n’est pas importante

De part l’importance du web actuellement, cela peut être catastrophique.

Nombre de navigateurs permettant la création d’onglets : Ils partagent tous la même politique de sécurité Ils peuvent fonctionner indépendamment de

l’utilisateur (utilisation d’AJAX)La faille de clickjacking permet de générer des

requêtes à l’insu de l’utilisateur

10

Le pirate se trouve alors dans le réseau local….


Agenda


© 2009 - S.Gioria & OWASP© 2009 - S.Gioria && OWASP

L’OWASP (Open Web Application Security

Project) Indépendant des fournisseurs et des gouvernements.

Objectif principal : produire des outils, documents et standards dédiés à la sécurité des applicative.

Touts les documents, standards, outils sont fournis sur la base du modèle open-source. Organisation : Réunion d’experts

indépendants en sécurité informatique

Communauté mondiale (plus de 100 chapitres) réunie en une fondation américaine pour supporter son action. L’adhésion est gratuite et ouverte a tous

En France : une Association.

Le point d’entrée est le wiki http://www.owasp.org

http://www.owasp.org/


OWASP en FranceUn Conseil d’Administration (Association loi 1901) :

Président, évangéliste et relations publiques : Sébastien Gioria

Consultant indépendant en sécurité des systèmes d’informations. Président du CLUSIR Poitou-Charentes

Vice-Président et responsable du projet de Traduction : Ludovic Petit. Expert Sécurité chez SFR

Secrétaire et Responsable des aspects Juridiques : Estelle Aimé. Avocate

Un Bureau :

Le Conseil d’Administration

Romain Gaucher : Ex-chercheur au NIST, consultant chez Cigital

Mathieu Estrade : Développeur Apache.

Projets : Top 10 : traduit. Guides : en cours. Questionnaire a destination

des RSSI : en cours. Groupe de travail de la

sécurité applicative du CLUSIF

Interventions : Infosecurity OSSIR Microsoft TechDays PCI-Global CERT-IST

Sensibilisation / Formations : Assurance (Java/PHP) Société d’EDI (JAVA) Opérateur Téléphonie mobile

(PHP/WebServices) Ministère de l’intérieur – SGDN Conférences dans des écoles Ministère de la santé


Les outils de l’OWASP

18


Les publications Toutes les publications sont disponibles sur

le site de l’OWASP: http://www.owasp.org L’ensemble des documents est régi par la

licence GFDL (GNU Free Documentation License)

Les publications majeures : Le TOP 10 des vulnérabilités applicatives Le Guide de l’auditeur/du testeur Le Code Review Guide Le guide de conception d’applications

Web sécurisées La FAQ de l’insécurité des Applications

Web.

http://www.owasp.org/


Agenda



Le Top10 2007

17

www.owasp.org/index.php?title=Top_10_2007

http://www.owasp.org/index.php?title=Top_10_2007


A5 - Attaque CSRF

(1) L’utilisateur se rend sur un forum annodin(2) Une iframe embarquée sur le forum demande

au navigateur d'exécuter une requete sur un autre serveur

(3) Le mot de passe est changé


A7 – Violation de Session ou d’authentification


Agenda



OWASP Enterprise Security API (ESAPI)

Un framework de sécurité pour les développeurs

Permettre de créer une application Web Sécurisée

Classes Java et .NET Disponible sur le site

de l’OWASP


Pas de recette Miracle

Mettre en place un cycle de développement sécurisé !

Auditer et Tester son code ! Vérifier le fonctionnement de son

Application !

La sécurité est d’abord et avant tout affaire de bon sens, le maillon faible restant… l’Humain

Technology

Présentation Top10 CEGID Lyon