ASFWS 2011 - Développement applicatif & sécurité: Menaces, bonnes pratiques, retour...
-
Upload
application-security-forum-western-switzerland -
Category
Technology
-
view
884 -
download
2
description
Transcript of ASFWS 2011 - Développement applicatif & sécurité: Menaces, bonnes pratiques, retour...
![Page 1: ASFWS 2011 - Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience](https://reader035.fdocuments.net/reader035/viewer/2022062704/555a878bd8b42abb628b4f3d/html5/thumbnails/1.jpg)
1
Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience.
Stéphane AdamisteApplication Security Forum 2011 – Western Switzerland
27.10.2011
![Page 2: ASFWS 2011 - Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience](https://reader035.fdocuments.net/reader035/viewer/2022062704/555a878bd8b42abb628b4f3d/html5/thumbnails/2.jpg)
2
Avant-propos
• Qui suis-je? Pourquoi suis-je ici?• Terminologie
– Application ~ application web
27.10.2011
![Page 3: ASFWS 2011 - Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience](https://reader035.fdocuments.net/reader035/viewer/2022062704/555a878bd8b42abb628b4f3d/html5/thumbnails/3.jpg)
3
Le paradoxe de l’apostrophe
27.10.2011
![Page 4: ASFWS 2011 - Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience](https://reader035.fdocuments.net/reader035/viewer/2022062704/555a878bd8b42abb628b4f3d/html5/thumbnails/4.jpg)
4
12 ans plus tard…
• 2011 Data Breach Investigations Report (DBIR)• Verizon, United States Secret Service (USSS),
Dutch National High Tech Crime Unit (NHTCU)• ~800 cas de vol de données
27.10.2011
“SQL injection attacks, cross-site scripting, authentication bypass, and exploitation ofsession variables contributed to nearly half of breaches attributed to hacking or network intrusion.”
![Page 5: ASFWS 2011 - Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience](https://reader035.fdocuments.net/reader035/viewer/2022062704/555a878bd8b42abb628b4f3d/html5/thumbnails/5.jpg)
5
Typologie de menaces
27.10.2011
> Attaques directes sur application web
> Vol de données> Defacement
> Usurpation d’identité> DoS / Demande de rançon
> Intrusion dans réseau interne
> Modification du code dans le but de diffuser du contenu malveillant
> Bug logiciel / bug progiciel
> Dégradation des performances / panne> Problème de traitement des données
> Pollution de code source (trojan, bombe logique)
> Attaque des systèmes de gestion des versions (SVN)
![Page 6: ASFWS 2011 - Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience](https://reader035.fdocuments.net/reader035/viewer/2022062704/555a878bd8b42abb628b4f3d/html5/thumbnails/6.jpg)
6
Impact
27.10.2011
Financier
Productivité
Réputation
Légal
Santé/vie
> Vol de données
> Defacement
> Usurpation d’dentité
> Intrusion dans réseau interne
> Modification du code dans le but de diffuser du contenu malveillant
> Dégradation des performances / panne
> Problème de traitement des données> Attaque des systèmes de gestion des versions (SVN)
Systématique
Fréquent
Rare
> DoS / Demande de rançon
![Page 7: ASFWS 2011 - Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience](https://reader035.fdocuments.net/reader035/viewer/2022062704/555a878bd8b42abb628b4f3d/html5/thumbnails/7.jpg)
727.10.2011
Sécurité dans le développement
applicatif
Stratégies de
sécurité
Business de la
sécurité
Pourquoi en est-on là?
![Page 8: ASFWS 2011 - Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience](https://reader035.fdocuments.net/reader035/viewer/2022062704/555a878bd8b42abb628b4f3d/html5/thumbnails/8.jpg)
8
Business de la sécurité
27.10.2011
![Page 9: ASFWS 2011 - Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience](https://reader035.fdocuments.net/reader035/viewer/2022062704/555a878bd8b42abb628b4f3d/html5/thumbnails/9.jpg)
9
Business de la sécurité
• Discours marketing– Solutions miracles– Propos simplificateurs
• Recherche du profit– Vente de produits– Conflits d’intérêt– Charlatanisme
-> Galvaudage du terme «sécurité»
27.10.2011
![Page 10: ASFWS 2011 - Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience](https://reader035.fdocuments.net/reader035/viewer/2022062704/555a878bd8b42abb628b4f3d/html5/thumbnails/10.jpg)
10
Stratégie de sécurité
• L’expertise sécurité se concentre au niveau du réseau
• La gestion des risques informationnels n’est pas formalisée, d’où une mauvaise prise en compte de l’évolution des risques:– La webification des services entraîne une
augmentation de la surface d’attaque– La complexité accrue des technologies augmente le
risque de failles• Le profit avant la sécurité27.10.2011
![Page 11: ASFWS 2011 - Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience](https://reader035.fdocuments.net/reader035/viewer/2022062704/555a878bd8b42abb628b4f3d/html5/thumbnails/11.jpg)
11
Sécurité dans le développement applicatif
27.10.2011
Sujet de la sécurité peu et mal abordé en avant vente
AArchitecture conçue par des férus de technologie
Lacunes dans le projet impactant la sécurité
![Page 12: ASFWS 2011 - Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience](https://reader035.fdocuments.net/reader035/viewer/2022062704/555a878bd8b42abb628b4f3d/html5/thumbnails/12.jpg)
12
TP: Créer une fonction «remember me»
27.10.2011
• Solution:– Si l’utilisateur coche la case «remember me»,
l’application envoie un cookie aléatoire– A la prochaine connexion, l’application vérifie la
présence du cookie
Si quelqu’un vole le téléphone, il n’a pas besoin du mot de passe!!!
= mot de passe stocké en clair côté serveur
![Page 13: ASFWS 2011 - Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience](https://reader035.fdocuments.net/reader035/viewer/2022062704/555a878bd8b42abb628b4f3d/html5/thumbnails/13.jpg)
13
Facteurs sécurité dans un projet
27.10.2011
Sécurité d’un projet de développement
Politiques de sécurité Menaces
Gestion de projet
Dépendances sécurité
ConvivialitéFonctionnalités de sécurité
![Page 14: ASFWS 2011 - Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience](https://reader035.fdocuments.net/reader035/viewer/2022062704/555a878bd8b42abb628b4f3d/html5/thumbnails/14.jpg)
14
Approche fonctionnalités/approche menace
27.10.2011
«Transparent Data Encryption provides easy and effective protection of stored data by transparently encrypting data (using AES with up to 256 bits or 3DES168) at the tablespace or column level»
SQL
Mesures de sécurité contre la menace du DBA malveillant: Chiffrement online + DBA n’a pas accès à
l’application Principe des 4 yeux (e.g. séparation du
mot de passe SA en deux parties) Loi du moindre privilège: DBA a des droits
de gestion mais pas d’écriture/lecture Journalisation des changements de
privilèges Logs stockés sur un serveur distant
Benutzer
![Page 15: ASFWS 2011 - Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience](https://reader035.fdocuments.net/reader035/viewer/2022062704/555a878bd8b42abb628b4f3d/html5/thumbnails/15.jpg)
15
Activités de sécurité dans le SDLC
27.10.2011
Sécurité dans la gestion de projet
Analyse des besoins Design Implémentation
& TestingRelease & Maintenance
Risk assessment
Analyse de menaces
Exigences de sécurité
Architecture sécurisée
Revue de code Revue de design Testing sécurité
Gestion des vulnérabilités
Gestion du changement
Maintien du niveau de sécurité des composants dans le temps
Déterminer: La criticité de l’application Les principaux enjeux du projet en termes de
sécuritéDéduire: Les zones d’attention particulières du projet La profondeur de l’action à mener La répartition des tâches et responsabilités
Procéder à une modélisation des menaces (i.e. Identifier les scénarios hostiles sur base d’un schéma de flux entre les composants).
De cette modélisation découlent les spécifications de sécurité à intégrer dans le design et l’architecture afin de mitiger les risques.
Vérification de l’adéquation entre les spécifications et l’implémentation effective de la solution (Revues sur plan, revue de configuration, tests d’intrusion)
![Page 16: ASFWS 2011 - Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience](https://reader035.fdocuments.net/reader035/viewer/2022062704/555a878bd8b42abb628b4f3d/html5/thumbnails/16.jpg)
16
Avantage d’une approche sécurité
• Assurance que le projet livré ne va pas augmenter le risque de compromission des données de l’organisation
• Approche risque: Optimisation de l’effort en fonction du niveau de risque acceptable pour l’organisation
• ROI• Effet structurant sur le projet. Par exemple:
– la modélisation des menaces permet d’orienter les choix de façon rationnelle dans le design, l’architecture, les options de configuration
– Les tests de sécurité permettent de détecter d’éventuelles défaillances dans les pratiques de codage suffisamment tôt pour permettre de corriger le tir sans remettre en cause le délai de livraison prévu
27.10.2011
![Page 17: ASFWS 2011 - Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience](https://reader035.fdocuments.net/reader035/viewer/2022062704/555a878bd8b42abb628b4f3d/html5/thumbnails/17.jpg)
Facteurs clés de succès
• Impliquer une ressource dédiée à la sécurité• Intégrer la sécurité dans la qualité• Utiliser l’existant• Mise en place de métriques
– Pour mesurer l’évolution• Taux de conformité avec les référentiels • % de développeurs formés• % d’applications couvertes• Etc.
– Pour justifier la démarche (ROI)• Temps passé à la correction des problèmes• Mesure des coûts liés à la résolution d’incidents
Projet
Enterprise
![Page 18: ASFWS 2011 - Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience](https://reader035.fdocuments.net/reader035/viewer/2022062704/555a878bd8b42abb628b4f3d/html5/thumbnails/18.jpg)
18
Utiliser l’existant
27.10.2011
Analyse des besoins Design Implémentation
& TestingRelease & Maintenance
OWASP Secure Software Contract Annex / SANS Application Development Security Procurement Language
OWASP Top 10 web applications security risks
OWASP Secure Coding Guide
Microsoft Web Application threat Modeling
OWASP Enterprise Security API’s
Security Ninja Secure Development Principles
OWASP Testing Guide
OWASP Application Security Verification Standard
SANS/CWE Top 25 programming errors
OWASP Code review guide