Un regard sur les bonnes pratiques d'implémentation Eric Mittelette Eric Vernié Microsoft France - DPE.

Slides:



Advertisements
Présentations similaires
ACCUEIL DES NOUVEAUX UTILISATEURS DES RÉSEAUX INFORMATIQUES
Advertisements

1 HPC pour les opérations. Sommaire Quelques rappels sur Windows Compute Cluster Server Déploiement de Compute Cluster Administration de Compute cluster.
Sécurisez vos applications à l'aide de Microsoft .NET Framework
Botnet, défense en profondeur
On ne va pas se quitter comme ça !. Windows Presentation Foundation (Avalon) Windows Communication Foundation (Indigo) Windows Workflow Foundation Atlas.
SDL Trustworthy Computing Security Development Lifecycle Synthèse E. Mittelette, E Vernié
Modélisation des menaces
Découverte de SQL Server par la pratique pour les administrateurs expérimentés Module 6 : Protection des données Bertrand Audras Microsoft Technology Center.
ASP.NET 2.0 et la sécurité Nicolas CLERC
Conclusion Rencontres ASP.NET : Développement Rapide dApplications Web.
Test et Développement Visual Studio Team System Eric Mittelette – Benjamin Gauthey – Yann Faure DevDays 2006 Equipé aujourdhui, prêt pour demain !
1 HPC pour les opérations. Administration Compute Cluster Server.
ESUP-FWA Connexion simplifiée à Apogée & Harpège via l'ENT
Internet.
Conception de la sécurité pour un réseau Microsoft
Guillaume CACHO Pierre-Louis BROUCHUD
Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003
C.
INTRODUCTION.
Cryptographie basée sur les codes
Sécurité Informatique
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
Les Redirections et renvois non validés
Démarche Analyse des OGL et des Méthodes Objectifs : Activités :
SECURITE DU SYSTEME D’INFORMATION (SSI)
Restriction daccès aux logiciels et aux matériels Problème de licence Nicolas CHABANOLES Matière : SRR Lieu: UFRIMA.
LA SÉCURITE DU RÉSEAU Stéphane Le Gars – Mars
Récursivité.
Eric Vernié - Microsoft Yann Faure - Bewise Etude de cas FMStocks 2000.
Amélioration de la sécurité des données à l'aide de SQL Server 2005
Développement Rapide dApplications Web avec.NET « Mon premier site »
Introduction à la conception de Bases de Données Relationnelles
Bonnes pratiques et top Issues Ce quapporte Vista Démos!
Les instructions PHP pour l'accès à une base de données MySql
ASP.NET Par: Hugo St-Louis. C ARACTÉRISTIQUES A SP. NET Évolution, successeur plus flexible quASP (Active Server Pages). Pages web dynamiques permettant.
Jeudi, 20 août 2009 Sécurité informatique Cégep de St-Hyacinthe Par Hugo St-Louis.
Développement Sécurisé Tour Novembre-Décembre 2005 Eric Mittelette, Eric Vernié Microsoft France – DPE Novembre.
Connecteur Team Foundation Server Project Server
Module 3 : Création d'un domaine Windows 2000
“Si vous ne pouvez expliquer un concept à un enfant de six ans, c’est que vous ne le comprenez pas complètement” - Albert Einstein.
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
Développement dapplication avec base de données Semaine 10 : WCF avec Entité Framework Automne 2013.
les nouvelles générations)
Gestion 100% réalisée par le système Les API du système permettent de : Savoir si le mot de passe est actif Declare Function GetPasswordStatus Lib "Coredll"
Retour dexpérience Supportech INSA.NET Daniel Boteanu – Michaël Piffret.
S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits d’accès Utilisation des contrôles de.
Eric Vernié, Développer une application en couches avec Visual Basic.NET 2005.
2 Développer, tester et déployer un site web avec WebMatrix (RIA101) Christine Dubois 9 février 2011.
SDL en une slide Modélisation des menaces Démo…interactive!
Windows Sharepoint Services “v3“ (1/6) Les nouveautés Stéphane Crozatier Relation Technique Editeurs de Logiciels DPE - Microsoft France
CENTRALISATION DES CANDIDATS LOCATAIRES
Module 8 : Surveillance des performances de SQL Server
Introduction au développement Office 2007
Le protocole d’authentification
Sécurité et confidentialité dans Microsoft Internet Explorer William Keener Développement de contenu Global Service Automation Microsoft Corporation.
Erreurs commises couramment dans le domaine de la sécurité 1.Sensibilisation aux questions de sécurité 2.Suivi des incidents 3.Gestion déficiente des.
L’identité numérique.
2 Le futur de VB et l’asynchronisme [LAN101] 08/02 14h30 Patrice Lamarche GPI
Outil de conception d’applications WPF Anciennement « Interactive Designer » Orienté « intégrateur graphistes » Particularité : Blend tm est une application.
Buffer Overflow When Data Become Instructions Vendredi, 1er mars 2002 : Sart-Tilman.
Module 3 : Création d'un domaine Windows 2000
22 Retour d’expérience sur le ver Conficker 8 février 2010 Jean Gautier Security Support Engineer Microsoft France.
1 Visual Studio 2005 Tools For Office: Présentation et Démonstrations.
22 Fun with Fuzzing : les outils SDL SEC306 Eric Vernié Division Plateforme et Ecosystème Microsoft France Eric Mittelette Division.
Sécurité des systèmes d’information: Web Security & Honeypots
LES BASES DE DONNEES PRÉSENTÉ PAR CATHY ET THIBAULT.
31/05/2007Projet Master 11 Présentation ludique de la recherche opérationnelle à la fête de la science Année universitaire 2006/2007 Sylvain FIX Julien.
(fait son épicerie les jeudi). Cross site Scripting est l'attaque web la plus commune.
Transcription de la présentation:

Un regard sur les bonnes pratiques d'implémentation Eric Mittelette Eric Vernié Microsoft France - DPE

Les 10 grandes r è gles de s é curit é Qu'un d é veloppeur doit conna î tre pour prot é ger son code Se méfier des entrées utilisateur Se protéger contre les saturations de tampon Éviter les scripts inter-site N'exigez pas d'autorisations d'administrateur système (sa) Attention au code de cryptage ! Réduisez votre profil d'attaque Utilisez le principe du moindre privilège Faites attention aux modes de défaillance L'emprunt d'identité est fragile Écrivez des applications que les non-administrateurs puissent réellement utiliser

Agenda « Top 10 » des questions de sécurité Contrôler les saisies Problèmes liés à la localisation Protéger un secret Utiliser la cryptographie Problèmes de déni de service Contrôler lexécution du code Sécurité et gestion des rôles Propriétés intellectuelle

Toute saisie est source de problème Point fondamental lors de la conception Identifier au plus tôt saisie,règles de saisie Saisie et Buffer overrun dans le code C/C++ Les formes canoniques (piège dans les url) Saisie et base de données (Sql injection) Saisie sur le Web et XSS (cross scripting site) Denis de service et robustesse des codes

void UnSafe (const char* uncheckedData) { int anotherLocalVariable; strcpy (localVariable, uncheckedData); } char localVariable[4]; Exemple de débordement de la pile Haut de la pile char[4] int Adresse de retour

Débordement de segments de mémoire Remplace les donn é es stock é es dans le segment Plus difficile à exploiter qu'un d é bordement de m é moire tampon Données Pointeur Données Pointeur strcpy xxxxxxx xxxxxxx

Problèmes liés à la localisation La localisation peut être une source de faille de sécurité. Notamment en C/C++ et lors de la manipulation des chaines UNICODE MultiByteToWideChar() Outil danalyse statique de code /Analyse et VS2005 (C++)

Protéger un secret Identifier les données « secrètes » de lapplication Chaîne de connexion Saisie dun mot de passe SecureString Gestion des mots de passe dans.NET vs natif Utiliser la cryptographie et choisir la bonne approche… Ne pas ré inventer la roue Rester à jour des hack et parades

Utiliser la Cryptographie Différents algorithmes Symétrique – asymétrique Hash Signature, et certificat.NET encapsule certains dentre eux Cas concrets: Comment transmettre un secret à un utilisateur Gérer le mot de passe de lutilisateur

Problème de Déni de service Lattaque vise a mettre a genoux les application serveur Buffer énorme, recherche de faille technique, hack sur les services du serveur… Utilisation abusive du compte sa pour une base de données Menaces et contre mesure :

Contrôle de lexécution du code.NET Code Access Security Initiative.NET de contrôle de lexécution dun code Tout code appartient a un groupe de code, un groupe de code va posséder un jeu dautorisation. On peut créer ses jeux de permission Entit é de s é curit é Description Strat é gie Définie par les administrateurs Appliquée au moment de l'exécution Simplifie l'administration Contient des autorisations Contient des groupes de codes Groupe de codes Associe des composants similaires Basé sur les preuves Lié à un ou plusieurs jeux d'autorisations Jeu d'autorisations Est un ensemble d'autorisations accordées

Gestion des rôles applicatifs.NET Notion d Identificateur et de Rôles Comparable au mécanisme COM+ Rôle et users peuvent être des comptes/groupes NT ou créé par la logique applicative Couplage « de fait » avec ActiveDirectory… Et/ou Rôles Applicatifs Role Based Security est traité au même niveau que Code Access Security Même mécanisme dinterception/Eception Utilise lObjet : PrincipalPermission Lapplication en cours doit en avoir les droits… Lapplication en cours doit en avoir les droits… Le rôle est porté par la thread dexécution…

Protection de la propriété intellectuelle Le code MSIL est lisible, et lon peut y comprendre les algorithmes utilisés Les Obfuscator sont la réponse Attention aux idées reçue sur.NET Dé assemblage et code natif… 7/html/vxoriDesignConsiderationsForDistributedApplications.asp

Conclusion Restons vigilant ! Cycle itératifs sur la sécurité dés la phase de conception jusquà la phase de maintenance… Créer une équipe sécurité, penser à la formation et mise a jour annuelle des développeurs Séquiper doutils de test et de mesures…

Microsoft Confidential – NDA Material Sur MSDN, retrouvez tout un ensemble de ressources liées à la sécurité pour les développeurs Les meilleures articles techniques en français Les Webcasts (vidéos de formation) enregistrées lors des Rencontres Sécurité de décembre 2005, et ceux, à venir, des Journées Microsoft de la Sécurité Des cours en ligne, en français et gratuits Les derniers bulletins de sécurité Et le jeu concours « Sale bug ! » Chaque mois, un bug caché dans une portion de code Le mois suivant, la solution sur le site avec des liens vers des articles pour en savoir plus Et des lots à gagner, tout au long de lannée