You are on page 1of 23
JSSI$Montpellier$.$2011$ RISQUES'ET'MENACES'DES' APPLICATIONS'WEB'

JSSI$Montpellier$.$2011$

RISQUES'ET'MENACES'DES'

APPLICATIONS'WEB'
APPLICATIONS'WEB'
Le#web# !   Utilisation$ "   Quotidienne$ "   Banalisée$ !   Un$navigateur$web$est$disponible$ "   Sur$tous$postes$de$travail$

Le#web#

!Utilisation$

"Quotidienne$ "Banalisée$

!Un$navigateur$web$est$disponible$

"Sur$tous$postes$de$travail$

!Personnel$ !Libre$service$

Les#smartphones#

Les#smartphones# !   Sont$de$plus$en$plus$utilisés$pour$naviguer$sur$ les$applications$web$ !   Ils$sont$synchronisés$directement$sur$le$PC$ d’entreprise$ !   Ils$peuvent$se$connecter$autant$d’un$réseau$ internet$à$la$maison$que$d’un$point$d’accès$ wifi$en$entreprise$(Rebond)$

!Sont$de$plus$en$plus$utilisés$pour$naviguer$sur$ les$applications$web$

!Ils$sont$synchronisés$directement$sur$le$PC$ d’entreprise$

!Ils$peuvent$se$connecter$autant$d’un$réseau$ internet$à$la$maison$que$d’un$point$d’accès$ wifi$en$entreprise$(Rebond)$

Utilisation#personnelle#

Utilisation#personnelle# !   Achats$sur$les$sites$de$e.commerce$ !   Consultation$de$comptes$bancaires$ !   Sites$de$rencontres$ !   Sites$d’informations$en$temps$réel$ !   Recherche$d’information$spécialisée$

!Achats$sur$les$sites$de$e.commerce$ !Consultation$de$comptes$bancaires$ !Sites$de$rencontres$ !Sites$d’informations$en$temps$réel$ !Recherche$d’information$spécialisée$ !Etc.$

Utilisation#professionnelle#

Utilisation#professionnelle# !   Consultation$d’un$site$partenaire$ "   Catalogue$ "   Informations$ "   Extranet$ "   Etc.$

!Consultation$d’un$site$partenaire$

"Catalogue$ "Informations$ "Extranet$ "Etc.$

!Applications$métier$

"Intranet$ "HR$/$Administration$ "Gestion$de$stock$ "Etc.$

Le#web# !   Est$devenu$un$reflexe$ !   Concerne$toutes$les$entreprises$et$tous$les$ salariés$

Le#web#

!Est$devenu$un$reflexe$ !Concerne$toutes$les$entreprises$et$tous$les$ salariés$

Quelles#intéractions#?#

Quelles#intéractions#?# !   Les$attaques$sur$les$applications$web$ "   La$publication$d’une$application$peut$ouvrir$une$ brèche$dans$le$système$d’information$ !   Les$attaques$sur$le$navigateur$web$ "   La$navigation$d’un$salarié$sur$un$site$contenant$un$ code$malicieux$ouvre$une$brèche$dans$le$système$ d’information$

!Les$attaques$sur$les$applications$web$

"La$publication$d’une$application$peut$ouvrir$une$ brèche$dans$le$système$d’information$

!Les$attaques$sur$le$navigateur$web$

"La$navigation$d’un$salarié$sur$un$site$contenant$un$ code$malicieux$ouvre$une$brèche$dans$le$système$ d’information$

Le#firewall#réseau#inutile#

Le#firewall#réseau#inutile#

Le#firewall#réseau#inutile#

Quels#sont#les#risques#?#

Quels#sont#les#risques#?# !   Fuite$d’informations$sensibles$ !   Atteinte$à$l’image$de$l’entreprise$ !   Impossibilité$de$travailler$( deni $de$service)$ !   Mise$en$cause$de$la$responsabilité$de$ l’entreprise$pour$le$mauvais$comportement$

!Fuite$d’informations$sensibles$ !Atteinte$à$l’image$de$l’entreprise$ !Impossibilité$de$travailler$(deni$de$service)$ !Mise$en$cause$de$la$responsabilité$de$ l’entreprise$pour$le$mauvais$comportement$ d’un$salarié$?$ !…$

!La$liste$est$longue…$

Exposition#

Exposition#
Exposition#

Quelques#exemples#?#

Quelques#exemples#?# l’intrusion$sur$le$réseau$Playstation$lui$coutera$ 171$millions$de$$$ !   L’attaque$SQL$Injection$contre$TJX$aux$états$unis$ à$permis$de$détourner$172$millions$de$$$ !   Un$internaute$découvre$la$base$de$données$ utilisateurs$et$numéros$de$carte$de$crédit$de$chez$ tati $en$naviguant$simplement$sur$le$site.$ !   Le$coût$moyen$d’une$intrusion$est$de$1,5$millions$

! Sony$estime$que$la$facture$nale$suite$à$ l’intrusion$sur$le$réseau$Playstation$lui$coutera$

171$millions$de$$$

!L’attaque$SQL$Injection$contre$TJX$aux$états$unis$

à$permis$de$détourner$172$millions$de$$$

!Un$internaute$découvre$la$base$de$données$ utilisateurs$et$numéros$de$carte$de$crédit$de$chez$ tati$en$naviguant$simplement$sur$le$site.$

!Le$coût$moyen$d’une$intrusion$est$de$1,5$millions$

de$$$pour$une$entreprise$d’environ$2000$

personnes.$

Les#solutions#?# !   Traiter$la$sécurité$pendant$le$cycle$de$vie$de$ l’application$ "   Conception$/$mises$à$jour$ "   Tests$ "   Déploiement$ "  

Les#solutions#?#

!Traiter$la$sécurité$pendant$le$cycle$de$vie$de$ l’application$

"Conception$/$mises$à$jour$ "Tests$ "Déploiement$ "Exploitation$

!Sécuriser$la$navigation$des$salariés$

Ou#?# !   OWASP$ "   www.owasp.org $ "   Open$Web$Application$Security$Project$ !   WASC$ "  

Ou#?#

!OWASP$

"www.owasp.org$ "Open$Web$Application$Security$Project$

!WASC$

"www.webappsec.org$ "Web$Application$Security$Consortium$

Conception:#Eduquer#

Conception:#Eduquer# !   Eduquez$les$développeurs$si$l’application$est$ développée$en$interne$ "   Ex:$TOP10$OWASP:$ https://www.owasp.org/index.php/ Category:OWASP_Top_Ten_Project $ "   WASC$Threat$Classification:$ http:// projects.webappsec.org/w/page/13246978/Threat.

!Eduquez$les$développeurs$si$l’application$est$ développée$en$interne$

"Ex:$TOP10$OWASP:$ https://www.owasp.org/index.php/ Category:OWASP_Top_Ten_Project$

"WASC$Threat$Classification:$http://

projects.webappsec.org/w/page/13246978/Threat.

Classification$

Conception:#Guidelines#

Conception:#Guidelines# !   Développer$avec$des$librairies$de$sécurité$et$ guides$de$bonnes$pratiques$ "   https:// www.owasp.org/ index.php / Category:OWASP_Enterprise_Security_API$

!Développer$avec$des$librairies$de$sécurité$et$ guides$de$bonnes$pratiques$

"https://www.owasp.org/index.php/ Category:OWASP_Enterprise_Security_API$

Conception:#SSII#

Conception:#SSII# !   Rédigez$un$contrat$de$prestation$de$service$ contenant$des$objectifs$sécurité$quand$ l’application$est$développée$par$une$SSII$ "   Ex:$ https:// www.owasp.org/ index.php / Category:OWASP_Legal_Project$ $

!Rédigez$un$contrat$de$prestation$de$service$ contenant$des$objectifs$sécurité$quand$ l’application$est$développée$par$une$SSII$

"Ex:$https://www.owasp.org/index.php/ Category:OWASP_Legal_Project$

$

Les#tests# !   Audit$de$code$régulier$sur$les$applications$ web$à$l’aide$de$logiciels$d’analyse$statique$ !   Audit$de$vulnérabilités$à$l’aide$d’un$scanner$ "   Les$critères$de$choix:$ http:// projects.webappsec.org /w/page/13246986/Web. Application.Security.Scanner.Evaluation.Criteria$ !

Les#tests#

!Audit$de$code$régulier$sur$les$applications$ web$à$l’aide$de$logiciels$d’analyse$statique$

!Audit$de$vulnérabilités$à$l’aide$d’un$scanner$

"Les$critères$de$choix:$http://

projects.webappsec.org/w/page/13246986/Web.

Application.Security.Scanner.Evaluation.Criteria$

!Tests$d’intrusions$ !Tests$logiciels$

"https://www.owasp.org/index.php/ Category:OWASP_Testing_Project$

Déploiement#

Déploiement# !   Utiliser$un$firewall$applicatif$web$ "   Blocage$des$attaques$connues$et$inconnues$ "   Comment$choisir$son$WAF:$ http:// projects.webappsec.org/w/page/13246985/Web. Application.Firewall.Evaluation.Criteria$

!Utiliser$un$firewall$applicatif$web$

"Blocage$des$attaques$connues$et$inconnues$

"Comment$choisir$son$WAF:$http://

projects.webappsec.org/w/page/13246985/Web.

Application.Firewall.Evaluation.Criteria$

Exploitation#

Exploitation# !   Réaction$en$cas$de$vulnérabilité$détectée$ grâce$au$firewall$applicatif$ !   Centralisation$des$logs$(Serveurs$web,$firewall$ applicatif,$firewall$réseau,$base$de$donnée)$ !   Archivage$et$rétention$(durée$légale$selon$le$ domaine$d’activité)$

!Réaction$en$cas$de$vulnérabilité$détectée$ grâce$au$firewall$applicatif$

!Centralisation$des$logs$(Serveurs$web,$firewall$ applicatif,$firewall$réseau,$base$de$donnée)$

!Archivage$et$rétention$(durée$légale$selon$le$ domaine$d’activité)$

WAF#et#virtual#Patching#

WAF#et#virtual#Patching#
WAF#et#virtual#Patching#

Sécuriser#la#navigation#

Sécuriser#la#navigation# !   Installation$d’un$proxy$filtrant$pour$les$flux$Web$ sortants$ "   Interdiction$de$naviguer$sur$des$sites$qui$ne$ concernent$pas$l’activité$de$l’entreprise$ "   Interdiction$de$naviguer$sur$des$sites$pouvant$fournir$ du$contenu$illégal$ !   Interdire$les$flux$autre$que$Web$de$sortir$du$

!Installation$d’un$proxy$filtrant$pour$les$flux$Web$ sortants$

"Interdiction$de$naviguer$sur$des$sites$qui$ne$ concernent$pas$l’activité$de$l’entreprise$

"Interdiction$de$naviguer$sur$des$sites$pouvant$fournir$ du$contenu$illégal$

!Interdire$les$flux$autre$que$Web$de$sortir$du$ réseau$

"Blocage$des$chevaux$de$troie$et$autres$virus$qui$ pourraient$faire$fuir$de$l’information.$

Sécuriser#les#identités# !   Contrôler$l’utilisation$des$identités$en$dehors$ de$l’entreprise$ "   Facebook$ "   LinkedIn $ "   Twitter$ "

Sécuriser#les#identités#

!Contrôler$l’utilisation$des$identités$en$dehors$ de$l’entreprise$

"Facebook$ "LinkedIn$ "Twitter$ "Etc.$

$

Questions#?#

Questions#?# mestrade@bee.ware.net$

mestrade@bee.ware.net$