A9 – Utilisation de composants avec des vulnérabilités connues Présenté par Mikael Andries-Gounant.

Slides:



Advertisements
Présentations similaires
Modélisation des menaces
Advertisements

Test utilisateur du portail Internet : SYNTHESE unesco.org Intervention réalisée par Laetitia Giannettini
Gestion de projet Présentation des membres de l’équipe
CARDIE.
TPE 2012/2013 En quoi la l é vitation peut-elle r é volutionner le transport ?
Le logiciel de gestion documentaire du SCD : Ex Libris
JI Les systèmes d’autorisation et d’authentification dans AMI Fabian Lambert.
BTS SIO OPTION SLAM Présentation des projets de stages et projets personnels Encadrés.
Création d’un site WEB 1 – Un site WEB c’est quoi ? 2 – Questions à se poser avant la construction d’un site WEB 3 – Principes de fonctionnement d’un site.
Motiver les élèves avec des échéanciers automatisés et personnalisés AQIFGA 2015 Cette présentation de David Larochelle est mise à disposition sous licence.
PPE2 La maison des ligues BEAUPEUX CharlySOUCHET Laurent GENDREAUD QuentinGAUTHIER AntoineDERIEN Alexandre.
Mediator 9 - Un outil de développement multimédia 3AC Techno/Informatique.
Développement d’application avec base de données Semaine 3 : Modifications avec Entité Framework Automne 2015.
Gabriel Dumouchel, doctorant Université de Montréal Atelier Jouvence 2011 Atelier Jouvence 2011.
Comment faire un exposé oral? Aide pour l’écologie numérique Présentation des projets EcoNum: 15 min + 10 min de questions Vincent Jassey.
Bonne Boîte Bonne Bouffe À Laval.... D’où vient le projet Good food box Toronto Table de Concertation NDG – Food Depot Repris par Moisson Montréal Présent.
1 Monopalme Projet 4 Info Spécifications LE LAY Olivier MAHE Jocelyn FORM Nicolas HENRY Gurvan BONNIN Thomas BASSAND Guillaume Décembre 2009 MONNIER Laurent.
Un projet porté par. 2 Concept Room: une démarche collaborative innovante.
Le rôle et les responsabilités du chef d’équipe Compétences Appliquer et faire appliquer les règles de sécurité au sein de l’équipe Version actualisée.
Freeplane Free mind mapping and knowledge ree mind mapping and knowledge Freeplane Free mind mapping and knowledge ree mind mapping and knowledge.
U6 : Parcours de professionnalisation Dimitri SANDRON Portfolio : dimitrisandron.fr Lundi 23 Mai 2016 – Lycée « La Martinière Duchère » - Lyon.
Tutoriel n°4 : Administration Technique Formation : profil Administrateur.
Opérations courantes Guillaume PHILIPPON. Sommaire Mise à jour des QWG Gestion des utilisateurs Ajout/Suppression d’un programme Préparation des « OS.
Ceci est la date Ceci est le titre de la présentation Ceci est le sous-titre PNAC Les titres sont normalement courts mais peuvent tenir sur deux lignes.
Développement d’application avec base de données Semaine 8 : WPF avec Entité Framework Automne 2015.
Le réseau web enit.org … Depuis 2003, l’Anienit - Association Nationale des Ingénieurs ENIT – à mis sur pied et finance un serveur web indépendant de l’école.
Faille de l’entreprise Robert Ogryzek et Kevin Lambert.
 Sensibiliser les gens du problème et des dangers des entrées par infraction.  Faire valoir leur technologie avant-gardiste.
Gérer l’information aux fins de transparence Le 15 novembre 2010 Monica Fuijkschot Directrice, Gestion de l’information.
INTRANET.SANTEFRANCAIS.CA ANTOINE DÉSILETS Coordonnateur au réseautage et Agent de communication Formation sur l’utilisation de l’Intranet 1.
1 CHEMINEMENTS DE CARRIÈRE Bienvenue…. Module 6 Gestion du rendement.
Le patrimoine mondial est une appellation attribuée à des lieux ou des biens, situés à travers le monde, possédant une valeur universelle extraordinaire.
Le Plug dans la cure des hernies inguinales chez l’adulte le Plug dans la cure des hernies inguinales chez l’adulte P 273 N. TAOUAGH, S. LOUDJEDI, A. BEREKSI,
Les méthodes de tests Les grands principes pour réaliser des tests efficaces.
Table Ronde Bulletins de Sécurité Hors-Cycle Mars 2016.
GUIDE UTILISATEUR POUR LA CONSULTATION D’AMAC PST / Février 2016 APPLICATION POUR LA MAITRISE DES AGENTS CHIMIQUES.
Inéquation Partie 2. x est plus grand que 12. Rappel : Les symboles utilisés x est plus grand ou égal à 12. x est plus petit que 12. x est plus petit.
Suivi Participatif et Évaluation des Projets Communautaires – Un Modèle Dakar, Sénégal Du 11 au 15 janvier 2010.
6 avril Orientation à Bouvent. 1.Accueil - Présentation de la matinée 2.Du réel au représenté 3.La CO : définition – déclinaisons scolaires 4.Le.
Du panier à la commande client Créer un panier Identification Validation de la commande Paiement Formulaire de création de compte Etats de la commande.
Evaluer un site internet Pour une recherche efficace Journées de rencontres locales des documentalistes de Loire Atlantique
UN PROCESSUS D’ARBITRAGE ADAPTÉ Présentation – Conférence des arbitres du Québec (23 avril 2016) Par Yves Girard CRHA Service des relations du travail.
Un guide d’aide à la mise en place d’Agenda 21 d’établissement scolaire Une aventure citoyenne et éducative en vue d’un développement durable S. Lagana.
A.I.P. Saint Michel 2011 A.I.P. Saint Michel 2011 Inside ASCOM v6 Nicolas CUVILLIER
Sals vélo Titouan OUVRARD Antoine BROSSIER Benjamin RUAU.
École Cardinal-Léger. 1. Accueil 2. Analyse des résultats 3. Discussion autour des défis à relever 4. Bilan des discussions 5. Bon été.
Human Task Service (2008) Oscar Barrios et François Charoy Human Task Service Service de tâches dans un système de gestion de workflow Oscar Barrios
On the analysis of CMMN expressiveness: revisiting workflow patterns Renata Carvalho Hafedh Mili.
Les limites de l’UML Présenté par : Samah Dekhil 1.
Modèle de présentation Transition énergétique Ce modèle est celui de la présentation du rapport d’atelier lors de la plénière du 8 février à Lyon. La durée.
Com. info., 7 avril 2011 Vincent Poireau 1. Rôle de la commission informatique Faire un bilan de l’informatique Evaluer les besoins des utilisateurs Proposer.
Violation de Gestion d'Authentification et de Session
Cours de Langage C Les structures
© Logica All rights reserved Veille secteur bancaire – Mars 2012 Emetteur Samuel Le Péchoux BSS, Pôle Conseil WST ProduitPour le paiement mobile,
Introduction Depuis le début des sites web les urls sont utilisé pour la navigation. Avec l’arrivée des bases de données, les urls ont prit de l’importance.
PROJET FIN D’ÉTUDE 4 ÈME ANNÉE OPTION : INGÉNIERIE DES SYSTÈMES AUTOMATISÉ ET CONTRÔLE QUALITÉ « SYSTÈME DE CONTRÔLE ET DE COMMANDE D’ACCÈS À DISTANCE.
Présenté par  Samira BELHORMA  Imane ZEHHAF. Introduction I. Définitions II. Quand et comment évaluer une compétence? III. Le contexte d’évaluation.
Système Intégré de Gestion de l’Etat Civil PROJET SIGIEC 1.
Universit é Mohamed Kheider de Biskra Facult é de science et technologie D é partement de g é nie é lectrique Sp é cialit é : t é l é communication Le.
INSCRIPTIONS SPORTIVES
1 L’examen de santé pour les seniors dans les Centres d’Examens de Santé (CES) : Un outil pour la prévention de la dépendance du sujet âgé. Par Bongue.
Les 6 étapes de la persuasion Jean-Noël Kapferer 1. Exposition et perception du msg 2. Décodage et traitement 3. Acceptation 4. Généralisation des effets.
1 Copyright EDF Ce document est la propriété d'EDF. Toute communication, reproduction, publication, même partielle, est interdite sauf autorisation.
Séminaire de clôture Jumelage Emploi Partenariat local pour l’emploi BILAN DU PROJET Slah Medini Ce projet est financé par l’Union européenne.
Section 1 : Le Conseil de l’Europe et les langues Section 2 : Le Centre européen pour les langues vivantes Section 3 : Justification de l’Appel et aperçu.
INFSO-RI Enabling Grids for E-sciencE Adaptation de GRIDSITE à WEBDAV Cédric Duprilot CNRS/IN2P3/LAL.
ONEMA/DCIEGPA du 17/10/ Interopérabilité Web de la toile Eaufrance GVI mai 2015.
Prévention des morsures canines des enfants de 3 à 6 ans
Présentation. Page 1 Page 2.
Transcription de la présentation:

A9 – Utilisation de composants avec des vulnérabilités connues Présenté par Mikael Andries-Gounant

Introduction Une équipe de développement peut utiliser un Framework pour se faciliter la tâche. Par contre, plus un Framework est populaire, plus il est la cible d’attaque.

Présentation du problème en 5 étapes Une faille est découverte. Une mise à jour se fait développer. La mise à jour sort. Les pirates regardent les détails de la mise à jour Les pirates attaquent.

Environnements affectés Tout les environnements peuvent être affectés, puisque la faille dépend des composants que le développeur a utilisé.

Exemple Sql Injection Découvert par Stefan Horst 5,1% des sites webs affecté –> environ 12 millions

Comment faire pour éviter cette faille Faire une liste de toutes les librairies ou composants utilisés. Consulter les sites web des éléments de la liste. Faire les mises à jours lorsqu’elle sortent. Supprimer tout composants non utilisé.

Sonatype Component Lifecycle Management (CLM) Un outil pour garder à jour ses composants. Identifie les composants, les versions utilisées ainsi que tout les dépendances (plugins etc..) Vérifie la sécurité de ces composants dans des bases de données publiques, vérifie les chaines de courriels des composants.

Conclusion Bien qu’il est plaisant d’utiliser des composants, librairies, etc… il ne faut pas se dire qu’ils sont parfait. Ils peuvent contenir des failles, ce n’est pas parce qu’elles n’ont pas été découverte ou déclarées publiquement qu’elle n’en possèdent pas.

Médiagraphie episode-9-utilisation-de-composants-vulnerables/ episode-9-utilisation-de-composants-vulnerables/ jYvMDYvODAvT1dBU1BfV2hpdGVwYXBlcl9GaW5hbC5wZGYiXV0/OWASP jYvMDYvODAvT1dBU1BfV2hpdGVwYXBlcl9GaW5hbC5wZGYiXV0/OWASP Using_Components_with_Known_Vulnerabilities Using_Components_with_Known_Vulnerabilities