L'insécurité des Applications Web The OWASP Foundation

Slides:



Advertisements
Présentations similaires
OWASP Genève Spring Avril 2009
Advertisements

OWASP Application Security Verification Standard 2009 Microsoft TechDays 8 Février 2010 Paris Palais des congrès Sébastien Gioria (French Chapter Leader.
OWASP et l’exigence PCI 6.5
Le Groupe  ses ACTIVITES :
La charte d'usage des TIC : une obligation pour les EPLE
Botnet, défense en profondeur
Quelques conseils pour être au net avec le Net
Une solution personnalisable et extensible
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation.
Sébastien OSSIR Paris le 08 Juillet 2008
Copyright © 2007 – La fondation OWASP Ce document est disponible sour la license Creative Commons SA 2.5 Traduction Francaise © Sébastien GIORIA.
Conception de la sécurité pour un réseau Microsoft
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
D2 : Sécurité de l'information et des systèmes d'information
Thierry Sobanski – HEI Lille
Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003
Vue d'ensemble Création de comptes d'utilisateurs
La politique de Sécurité
Le point sur l’incubateur
Copyright © 2006 – ESUP-Portail ESUP-Days, Paris, 22 juin 2006 Le cycle de vie des projets Ou comment contribuer au projet ESUP-Portail.
Un peu de sécurité Modal Web Modal Baptiste DESPREZ
C2i Être responsable à l'ère du numérique
COLLOQUE DU 25 MAI 2007 L'ARCHIVAGE ÉLECTRONIQUE FACE À SES RESPONSABILITÉS ORGANISÉ PAR © Commission nationale de l'informatique et des libertés Intervention.
Sécurité Informatique Module 01
Organisation du système d’information comptable et de gestion
Failles de sécurité INJECTION
DECOUVREZ LA NOUVELLE LIGNE 30 WINDOWS V9
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
Les Redirections et renvois non validés
Plateforme de gestion de données de capteurs
Cycle de vie d’une vulnérabilité
Gestion des risques Contrôle Interne
Etude des Technologies du Web services
SECURITE DU SYSTEME D’INFORMATION (SSI)
Développement dapplications web Initiation à la sécurité 1.
Module 1 : Préparation de l'administration d'un serveur
1 LINFORMATION, CAPITAL IMMATÉRIEL DE LENTREPRISE SSTIC – 6 JUIN 2012 Garance MATHIAS Avocat 9 rue Notre Dame de Lorette PARIS Tel / .
Applications Chapitre B17 et C18
0 NOUVEAUTÉS LES PREMIERS SCEAUX FRANÇAIS DÉLIVRÉS PAR WEBTRUST FRANCE.
B2i Lycée Circulaire BO n°31 du 29/08/2013.
L’attaque rebond Réunion de crise
Section 4 : Paiement, sécurité et certifications des sites marchands
Jeudi, 20 août 2009 Sécurité informatique Cégep de St-Hyacinthe Par Hugo St-Louis.
© Petko ValtchevUniversité de Montréal Janvier IFT 2251 Génie Logiciel Notions de Base Hiver 2002 Petko Valtchev.
PhP-MySQL Pagora 2012/2013 CTD 1 - Presentation de moi ^^
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
Une approche documentaire de la diffusion sur Internet Journée WebÉducation Martin Sévigny / Irosoft / 14 mai 2009
Novembre – Décembre 2005 Version Conclusion État de lart de la sécurité informatique Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE.
Un outil paramétré sur mesure !
Nouvelles technologies de système de fichiers dans Microsoft Windows 2000 Salim Shaker Ingénieur de support technique Support technique serveur Microsoft.
Sécurité Les Virus Logiciels non sollicités et réalisant des opérations malveillantes ou destructrices Typologie –D’application :introduit par recopie.
Expose sur « logiciel teamviewer »
P. 1 Réunion des administrateurs l 03/05/2012 Déclaration des traitements comportant des données personnelles.
Erreurs commises couramment dans le domaine de la sécurité 1.Sensibilisation aux questions de sécurité 2.Suivi des incidents 3.Gestion déficiente des.
La.
CHARTE D’UTILISATION DE L’INTERNET, DES RESEAUX ET DES SERVICES MULTIMEDIA PREAMBULE Cette charte s’applique à tout utilisateur membre du personnel ou.
Introduction au Génie Logiciel
1 Copyright WebTrust France Nouveautés Copyright WebTrust France Les premiers sceaux français délivrés par WebTrust France.
Diffusion de la « culture Informatique et Libertés » par le C2i
Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels Me Isabelle Chvatal 25 septembre 2014 Réseau REPCAR.
Nov 2008 – UM31 Club de la Sécurité de l’Information Régional Gilles LUCATO Transferts LR.
Offre de service Sécurité des systèmes d’information
JeanDo Lénard – Fondamentaux de l'Internet – Hetic –30 Janvier 2007 page 1 Fondamentaux de l'Internet (FDI) JeanDo Lénard
11° Rencontres Médicales de L’Eure Messagerie Sécurisée de Santé
Me Jean Chartier – Président de la CAI au Québec et de l’AFAPDP Enjeux de la régulation : comment assurer une protection efficace des renseignements personnels.
Sécurité des Web Services
ISO 9001:2000 Interprétation Article 7 Réalisation du produit
Informatique et Libertés individuelles. 2 La CNIL La loi en vigueur Nous sommes surveillés ?
1 Interne Orange Accédez à votre système d'information depuis votre terminal mobile Nomalys.
Transcription de la présentation:

L'insécurité des Applications Web The OWASP Foundation Paris le 24 Septembre 2009 Sébastien GIORIA (sebastien.gioria@owasp.org) Ludovic PETIT (ludovic.petit@owasp.org) Chapter Leaders, OWASP France Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation http://www.owasp.org

CONCLUSION « Si vous pensez que l'éducation coûte cher, essayez donc l'ignorance » Abraham Lincoln

Agenda L’OWASP La sécurité Web - Mythes et réalités Le Cadre Légal Comment contrôler Et après ?

OWASP en France Un Conseil d’Administration (Association loi 1901) : Président, évangéliste et relations publiques : Sébastien Gioria Consultant indépendant en sécurité des systèmes d’informations. Président du CLUSIR Poitou-Charentes Vice-Président et responsable du projet de Traduction : Ludovic Petit. CISSP - Expert Sécurité chez SFR Secrétaire et Responsable des aspects Juridiques : Estelle Aimé. Avocate Un Bureau : Le Conseil d’Administration Romain Gaucher : Ex-chercheur au NIST, consultant chez Cigital Mathieu Estrade : Développeur Apache. Projets : Top 10 : traduit. Guides : en cours. Questionnaire a destination des RSSI : en cours. Groupe de travail de la sécurité applicative du CLUSIF Sensibilisation / Formations : Assurance (Java/PHP) Société d’EDI (JAVA) Opérateur Téléphonie mobile (PHP/WebServices) Ministère de l’intérieur / SGDN Conférences dans des écoles Ministère de la santé Banques / Assurances Interventions : Infosecurity OSSIR Microsoft TechDays PCI-Global CERT-IST

L’OWASP (Open Web Application Security Project) Indépendant des fournisseurs et des gouvernements. Objectif principal : produire des outils, documents et standards dédiés à la sécurité des applicative. Tous les documents, standards, outils sont fournis sur la base du modèle open-source. Organisation : Réunion d’experts indépendants en sécurité informatique Communauté mondiale (plus de 100 chapitres) réunie en une fondation américaine pour supporter son action. L’adhésion est gratuite et ouverte à tous En France : une Association. Le point d’entrée est le wiki http://www.owasp.org

Les ressources de l’OWASP Un Wiki, des Ouvrages, un Podcast, des Vidéos, des conférences, une Communauté active.

Les publications Toutes les publications sont disponibles sur le site de l’OWASP: http://www.owasp.org L’ensemble des documents est régi par la licence GFDL (GNU Free Documentation License) Les publications majeures : Le TOP 10 des vulnérabilités applicatives Le Guide de l’auditeur/du testeur Le Code Review Guide Le guide de conception d’applications Web sécurisées L’Application Security Verification Standard (ASVS) La FAQ de l’insécurité des Applications Web Building Guide Code Review Guide Testing Guide Application Security Desk Reference (ASDR) Le Top 10 fait référence à tous ces guides

Agenda L’OWASP La sécurité Web - Mythes et réalités Le Cadre Légal Comment contrôler Et après ?

Je suis protégé, j’ai un Firewall

Mon site Web est sécurisé puisque il est protégé par SSL/TLS

Seuls des génies de l’informatique savent exploiter les failles des applications Web Les outils sont de plus en plus simples d’emploi Une simple recherche sur Google permet de télécharger un logiciel permettant la récupération de bases de données. L’attaque d’un serveur web Français coute de 120$ à 1000$ dans le milieu « Underground »

Une faille sur une application interne n’est pas importante De part l’importance du web actuellement, cela peut être catastrophique. Nombre de navigateurs permettent la création d’onglets : Ils partagent tous la même politique de sécurité Ils peuvent fonctionner indépendamment de l’utilisateur (utilisation d’AJAX) La faille de clickjacking permet de générer des requêtes à l’insu de l’utilisateur Le pirate se trouve alors dans le réseau local…

Faiblesse des Applications Web 75 % 90 % 25 % 10 % % Attaques % Dépenses Etude du SANS (septembre 2009) http://www.sans.org/top-cyber-security-risks/ Application Web Eléments Réseaux Etude du GARTNER 2003 75% des attaques ciblent le niveau Applicatif 66% des applications web sont vulnérables "La veille d’un incident, le retour sur investissement d’un système de sécurité est nul. Le lendemain, il est infini." Dennis Hoffman, RSA

Agenda L’OWASP La sécurité Web - Mythes et réalités Le Cadre Légal Comment contrôler Et après ?

Disponibilité, Intégrité, Confidentialité La CNIL Disponibilité, Intégrité, Confidentialité Obligation d’information des personnes concernées (salariés, clients, fournisseurs, etc.) Obligation de déclaration des applications relatives au traitement de données personelles Principe de Proportionalité Obligation de transparence des finalités poursuivies Durée de rétention des Journaux d'Evènements (Logs) et anonymisation le respect du droit à l’oubli (politique de conservation des données) Ainsi, la « déclaration CNIL » n’est que l’une des obligations pesant sur l’entreprise.

La CNIL – Les sanctions Sanctions CNIL : - Avertissement, Mise en demeure - Sanctions pécuniaires (maximum 300 000 €) Sanctions judiciaires diverses Le défaut de respect de la loi Informatique et Liberté peut avoir des répercussions lors de l’exécution de contrats commerciaux ou des contrats de travail par exemple

Le dirigeant d'entreprise est pénalement responsable Responsable par négligence Le dirigeant d'entreprise est pénalement responsable Sanctions pénales (article 226-16 du Code pénal) - jusqu’à 5 ans d’emprisonnement - et 300 K€ d’amende « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende ». 17

PCI-DSS 6.5 – L’obligation (trop souvent) oubliée Develop all web applications (internal and external, and including web administrative access to application) based on secure coding guidelines such as the Open Web Application Security Project Guide. Cover prevention of common coding vulnerabilities in software development processes, to include the following http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

Les failles d’injection 6.5.1 : Cross Site Scripting XSS permet à des attaquants d'exécuter du script dans le navigateur de la victime afin de détourner des sessions utilisateur, défigurer des sites web, potentiellement introduire des vers, etc 6.5.2 : Failles d’injections L'injection se produit quand des données écrites par l'utilisateur sont envoyées à un interpréteur en tant qu'élément faisant partie d'une commande ou d'une requête. Les données hostiles de l'attaquant dupent l'interpréteur afin de l'amener à exécuter des commandes fortuites ou changer des données 6.5.3 : Execution de fichier malicieux Un code vulnérable à l'inclusion de fichier à distance permet à des attaquants d'inclure du code et des données hostiles, ayant pour résultat des attaques dévastatrices, telles la compromission totale d'un serveur. 6.5.5 : Falsification de requête inter-site (CSRF) Une attaque CSRF force le navigateur d'une victime authentifiée à envoyer une demande pré-authentifiée à une application web vulnérable, qui force alors le navigateur de la victime d'exécuter une action hostile à l'avantage de l'attaquant.   Disponibilité Intégrité Confidentialité

La fuite d’information 6.5.6 : Fuite d’information et traitement d’erreur incorrect Les applications peuvent involontairement divulguer des informations sur leur configuration, fonctionnements internes, ou violer la vie privée à travers toute une variété de problèmes applicatifs. Les attaquants utilisent cette faiblesse pour subtiliser des données sensibles ou effectuer des attaques plus sérieuses. 6.5.9 : Communications non sécurisées Les applications échouent fréquemment à chiffrer le trafic de réseau quand il est nécessaire de protéger des communications sensibles. 6.5.10 : Manque de restriction d’accès à une URL.   Fréquemment, une application protège seulement la fonctionnalité sensible en empêchant l'affichage des liens ou des URLs aux utilisateurs non autorisés. Les attaquants peuvent utiliser cette faiblesse pour accéder et effectuer des opérations non autorisées en accédant à ces URL directement. Disponibilité Intégrité Confidentialité

La mauvaise gestion de l’authentification 6.5.4 :Référence directe non sécurisée à un objet Une référence directe à un objet se produit quand un développeur expose une référence à un objet d'exécution interne, tel qu'un fichier, un dossier, un enregistrement de base de données, ou une clef, comme paramètre d'URL ou de formulaire. Les attaquants peuvent manipuler ces références pour avoir accès à d'autres objets sans autorisation. 6.5.7 : Violation de la gestion de l’authentification et des sessions Les droits d'accès aux comptes et les jetons de session sont souvent incorrectement protégés. Les attaquants compromettent les mots de passe, les clefs, ou les jetons d'authentification identités pour s'approprier les identités d'autres utilisateurs. 6.5.8 :Stockage cryptographique non Sécurisé. Les applications web utilisent rarement correctement les fonctions cryptographiques pour protéger les données et les droits d'accès. Les attaquants utilisent des données faiblement protégées pour perpétrer un vol d'identité et d'autres crimes, tels que la fraude à la carte de crédit.   Confidentialité Intégrité

Cout de la non-conformité Exemple: 50 000 carte de crédits volées Pénalité du PCI-SCC - $100,000 par incident, $500 000 si il n’y a pas eu d’audit interne. Remplacement des cartes - $500,000 Fraude aux transactions – $61,750,00 (moyenne 2004 des fraudes sur transactions $1,235 en 2004) Très très mauvais publicité !!!! 22

Agenda L’OWASP La sécurité Web - Mythes et réalités Le Cadre Légal Comment contrôler Et après ?

Le Saint Graal 24

Ajouter du contrôle dès les fondations The OWASP Secure Software Development Contract Annex http://www.owasp.org/index.php/Legal Un canevas contractuel pour les entreprises utilisant des MOA/MOE externes/externalisées. S’assurer qu’à toutes les étapes du cycle de développement une attention appropriée à la sécurité est apportée. « Compatible » avec le droit français.

Ne pas réinventer la roue Utilisez L’OWASP Enterprise Security API (ESAPI). http://www.owasp.org/index.php/ESAPI Un framework de sécurité pour les développeurs. Permettre de créer une application Web Sécurisée. Classes Java et .NET (PHP en cours). 10 ans de Recherche et Développement.

Ne pas réinventer la route Custom Enterprise Web Application OWASP Enterprise Security API Authenticator User AccessController AccessReferenceMap Validator Encoder HTTPUtilities Encryptor EncryptedProperties Randomizer Exception Handling Logger IntrusionDetector SecurityConfiguration Your Existing Enterprise Services or Libraries

Apporter de la confiance L’Application Security Verification Standard (ASVS) vous aidera a répondre à ces questions : Pouvez vous avoir confiance en votre application Web ? Quel niveau de confiance avoir en l’application? De quelles attaques est protégée votre application? Quelque soit votre maturité de SSI dans votre SDL : Etude/Scan de vulnérabilités Scan automatisé de code source Revue manuelle de code source Revue sécurité de l’architecture (fonctionnelle et technique) Tests sécurité spécifiques

Apporter de la confiance http://www.owasp.org/index.php/ASVS

Agenda L’OWASP La sécurité Web - Mythes et réalités Les obligations Comment contrôler Et après ?

La sécurité est d’abord et avant tout affaire de bon sens! Pas de recette Miracle Sensibiliser ou... sensibiliser. Mais sensibiliser! Mettre en place un cycle de développement sécurisé ! Auditer et Tester son code ! Vérifier le fonctionnement de son Application ! La sécurité est d’abord et avant tout affaire de bon sens!

CONCLUSION « Si vous pensez que l'éducation coûte cher, essayez donc l'ignorance » Abraham Lincoln

Rejoignez nous ! http://www.owasp.fr