La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Adrien Tasca Cégep de Saint-Hyacinthe MAUVAISE CONFIGURATION SÉCURITÉ

Présentations similaires


Présentation au sujet: "Adrien Tasca Cégep de Saint-Hyacinthe MAUVAISE CONFIGURATION SÉCURITÉ"— Transcription de la présentation:

1 Adrien Tasca Cégep de Saint-Hyacinthe MAUVAISE CONFIGURATION SÉCURITÉ

2 PLAN Intro Présentation du problème Environnement affectés Exemple de cas Comment faire pour éviter cette faille Conclusion

3 INTRODUCTION Une bonne sécurité exige une configuration sécurisée bien définie Lapplication, les serveurs dapplication, serveurs web, serveurs de base données ainsi que le contexte et la plate-forme doivent être bien configurés. Lorsquon programme une application, il ne faut rien laisser au hasard

4 PRÉSENTATION DU PROBLÈME Des nos jours, les programmeurs utilisent des outils pour programmer. Ces outils font appels à différentes composantes de larchitecture dune application web pour nous simplifier la vie. Le problème est que le programmeur moyen na aucune idée de ce qui passe derrière son code et il ne sy attarde pas car tout fonctionne bien et il est paresseux. Dans certains cas plutôt rares, certaines configurations par défault ont un mot de passe soit vide ou très simple, du genre « admin ». Tout les jours, des nouvelles failles sont découvertes et rendues publiques. Pour un développeur il est primordial de se tenir au courant des différentes failles qui pourraient éventuellement affecter une ou plusieurs composantes de larchitecture de son lapplication web

5 ENVIRONNEMENT AFFECTÉS Habituellement il sagit plus des petites et moyennes entreprises (PME) qui sont affectées car les développeurs se disent que personne ne va perdre sont temps à essayer des failles Il existe des outils qui scan le web à la recherche de serveurs possiblement piratables. Nimporte qui peut décider de sattaquer à nimporte quel site. Le but principal de lattaque nest pas toujours le site web en question. Il se peut que le pirate cherche à trouver des mots de passe dadresse courrriel pour envoyer du spam ou des demandes dargent à vos contacts sans parler du fait quune personne ayant accès à votre compte peut prendre le contrôle de plusieurs comptes à travers le web en utilisant loption « Jai oublié mon mot de passe » (Banques, Paypal, Ebay, Comptes Blizzard etc) Arthur nous avait dit lannée passée que quelquun essayait toutes les nuits de rentrer dans son site web (sans succès par contre car cest un patron) https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools

6 EXEMPLE DE CAS Exemple en 2009 : Les Pizza Dominos ont lancé une campagne dactions marketing et publicitaire pour gagner de nouveaux clients. Une application écrite en Flash fut ajoutée au site en ligne pour permettre aux clients de passer commande en ligne. Cette application, affichait un champ permettant dentrer un coupon pour recevoir une pizza pour 5$. Une nuit du week-end, un pirate a désassemblé lapplication Flash pour voir comment elle fonctionnait et saperçu que la validité du coupon était contrôlée par lapplication elle même. Pire encore, il a constaté que le plan marketing prévoyait même un coupon pour obtenir gratuitement une pizza. Comme le code se trouvait dans lapplication Flash, il lessaya sans délai et moins de 30 minutes plus tard, il se régalait dune pizza gratuite. Le pirate sempressa alors de poster le code coupon sur un forum. Ce nest que le lundi matin que lentreprise se rendit compte que son secret avait été percé et qu elle avait livré gratuitement pizza pour un coût denviron $. Heureusement pour une compagnie de cette taille, cela na pas porté de préjudice majeur, mais cela reste une somme qui aurait pu ne pas être perdue si le contrôle des coupons avait été réalisé sur le serveur.

7 EXEMPLE DE CAS #2 Il est important de gérer nous-même les pages derreurs Dans le cas dun serveur Apache, la page par défaut qui saffiche lorsquon demande une page non valide retourne la version du serveur Apache. Cette info est cruciale car si il sagit dune version dépassée moindrement, des failles sont disponibles sur le net et un pirate a simplement besoin den exploiter une pour avoir accès. De plus, dans un serveur Apache configuré selon les paramètres par default il est possible daccéder à lindex du serveur. Lindex regroupe les fichiers et différents répertoires du site internet, rendant certains fichiers accessibles alors quils contiennent des données parfois importantes. Il est important de restreindre laccès à ces pages.

8 COMMENT FAIRE POUR ÉVITER CETTE FAILLE La validation doit se faire du côté serveur, dans le cas de la compagnie Dominos, cétait lapplication qui déterminait si le code était valide ou non. Si ca avait été le serveur qui recoit le code et qui détermine si il est valide, Dominos naurait peut-être pas perdu environ 50,000$ en une fin de semaine Il faut mettre à jour régulièrement les différents composants dune application web car il y a tout le temps de nouvelles failles qui sont découvertes et exposées au public. Une faille est normalement exposée pour permettre aux développeurs de se protéger mais elle si vous nêtes pas assez rapide un pirate informatique peut exploiter la faille avant quelle soit bloquée

9 CONCLUSION Être prudent lors de la programmation Faire la validation du côté serveur et non du côté client. Restreindre laccès aux différentes pages du site internet Se tenir au courant des dernières failles et mettre a jour régulièrement les composantes Essayer soi-même dexploiter son site web est une bonne technique pour trouver des failles et les régler avant que quelquun dautre ne le fasse à votre place.

10 CRITÈRES DÉVALUATION Complétude Intro/Présentation du problème/Environnement affectés/Exemple de cas/Comment faire pour éviter cette faille/Conclusion Qualité de la présentation Cest une très belle présentation NOTE FINALE : 100%

11 RÉFÉRENCES https://aresu.dsi.cnrs.fr/spip.php?article148 dapplication-peut-affecter-la-securite-de-votre-reseau/ dapplication-peut-affecter-la-securite-de-votre-reseau/ https://cours.etsmtl.ca/mti719/documents/cours/Cours-06-OWASP.pdf https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools


Télécharger ppt "Adrien Tasca Cégep de Saint-Hyacinthe MAUVAISE CONFIGURATION SÉCURITÉ"

Présentations similaires


Annonces Google