Drupal, les hackers, la sécurité & les (très) grands comptes

DRUPAL, LES HACKERS, LA SéCURITé& LES (TRèS) GRANDS COMPTES

jbguerraz@SKILLD:~$ whoami

● 13 ans d' IP– Vidéo : VOD & Live (Web, Mobiles & Télé)

– Voix & Vidéo sur IP / Télécommunications

– Applications clients/serveurs (Win/Mac/Linux/Mobiles)

– Sites Web

● Dont 6 ans de Drupal● Dir. Tech & Co-fondateur de Skilld

La sEcurité, hier, C'était ...

1ère icône :

la défense gouvernementalemade in US'

<source label="Washington Post" href="http://wapo.st/1wvGybr" />


2ème icône

Le standard sécurité du paiement par carte bancaire

<source label="Washington Post" href="http://wapo.st/1wvGybr" />


3èMe icône :

LA NOTRE ! :)

<source label="Presse Citron" href="http://bit.ly/1tORbEo" />

La sEcurité, aujourd'hui, qu'est-ce ?

ﾲ

2 milliards de dollarsde dommagespour Sony

Et ça continue !

<source label="La Tribune" href="http://bit.ly/1xUd8Gq" />

<source label="CNN" href="http://cnnmon.ie/1yDYPFR" />


40 Millions de numéros de cartes de crédits

70 millions de données personnelles

Et...

5 millions de dollars de DOMMAGES Pour target !

<source label="Silicon.fr" href="http://bit.ly/11mNeRu" />


20 Millions de numéros de cartes de crédits

40 % de la population sud coréenne

Et...

3 têtes qui s'offrent !

<source label="CNN" href="http://cnnmon.ie/1aob1nw" />


4.6 million de comptes (numéros de téléphone compris!)

90 000 photos

9 000 vidéos

<source label="The Verge" href="http://bit.ly/1gmPevh" />


150 million de comptes (N° de cartes de crédits compris)

Code source des produits Adobe« Adobe Acrobat, ColdFusion, ColdFusion Builder and other

Adobe products »

<source label="The Verge" href="http://bit.ly/1pXxJdX" />


Données personnelles de 4,5 million de PATIENTS

(numéros de sécurité sociale)

<source label="Reuters" href="http://reut.rs/1tkLkcN" />


PAR Volume PAR Sensibilité

Les plus grosses failles du monde !

<source label="InformationIsBeautiful" href="http://bit.ly/19xscQO" />

La sEcurité, demain, ce sera ?


Bulletin de sécurité

https://www.drupal.org/PSA-2014-003

<source label="BBC" href="http://bbc.in/1zm1N5N" />


Difficile ?

<source label="Tor Onions" href="%00" />


Difficile, vraiment ?

<source label="Mitnick Security" href="http://bit.ly/1oTMb5K" />

Préoccupations des Grands comptes ?

$


4,8 M€

3,89 M€

+20,5 %

2013

2014

Coût annuel du Cybercrime en France

<source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />


Virus, Vers, TrojansMalware

Attaque WebPhishing & Social

Enemi de l'intérieurCode malicieux

Matériel volé(d)DoS

Botnets

0

2

4

6

8

10

12

14

16

18

2013

2014

Répartition du coût du Cybercrime en France par type d'attaque



Répartition du coût du Cybercrime en France par type d'attaque

Virus, Vers, TrojansMalware

Attaque WebPhishing & Social

Enemi de l'intérieurCode malicieux

Matériel volé(d)DoS

Botnets

0

2

4

6

8

10

12

14

16

18

2013

2014



Détection Restauration Containment Investigation Ex-post response Incident mngt0

5

10

15

20

25

30

35

40

2013

2014

Répartition du coût du Cybercrime en France par source d'activités



Impact sur la clientèle / la marque ?

Perte de clientèle (%) post-piratage par pays

France : CHAMPIONS du monde !

FR IT UK US JP DE AU ID BZ AB0

0,5

1

1,5

2

2,5

3

3,5

4

4,5

5

2013

2014


Comment vendre Drupal ?

Drupal est utilisé par plus de 130 nations ! (sur 197)

<source label="Acquia" href="http://bit.ly/1znS8bX" />


Drupal security Team

Une équipe dédiée à la sécurité, depuis 2005,

composée de 43 personnes

~50% de la taille des équipes

concurrentes ?!


Drupal security Team

Une capacité de communication et de mobilisation éprouvée

<source label="BBC" href="http://bbc.in/1zm1N5N" />


La concurrence et la sécurité ?

Java :● Adobe Experience Manager (CQ5)

● HP Autonomy Teamsite● Jive● Lithium

.Net :● Sitecore● SDL Tridion● Ektron CMS


La concurrence et la sécurité ?

Java :● Adobe Experience Manager (CQ5)

● HP Autonomy Teamsite● Jive● Lithium

.Net :● Sitecore● SDL Tridion● Ektron CMS

<source label="White Hat Sec" href="http://bit.ly/1EIFO98" />


La concurrence et la sécurité ? - SiteCore


La concurrence et la sécurité ? - Adobe Experience Manager (Cq5)

1


La concurrence et la sécurité ? - Adobe Experience Manager (Cq5)


Dégager du budget pour renforcer la sécurité ?

OWASp, Kezako ?

Open Web Application Security Project

LA liste des 10 risques les plus CRITIQUES pour les applications web

(mise a jour chaque année !)

aussi, un ensemble :● D'outils

● De méthodes● De conseils

● ...

&

Une communauté !

OWASp, Kezako ?

● A1 – Injection

● A2 – Authentification & Sessions

● A3 – XSS

● A4 – références directes

● A5 – configurations

● A6 – Exposition de données sensibles

● A7 – Contrôle d'accès

● A8 – CSRF

● A9 – Dépendances

● A10 - Redirections

Drupal & Owasp : tu peux pas test !(euh...)

<source label="Drupal Security Report" href="http://bit.ly/1EIGBXI" />


XSS – la réponse Drupal ?

Trop c'est mieux que pas assez !

~

Mettez en « partout » ;)

~

P.S :t('utilisez les @placeholders

pour vos chaînes traductibles');


Access bypass – la réponse Drupal ?

<?phpfunction monmodule_menu() { $items['admin/monmodule/configuration'] = array( 'title' => 'Configuration de MonModule', 'page callback' => 'drupal_get_form', 'page arguments' => array('monmodule_config_form'), 'access arguments' => array('administer monmodule'), ); return $items;}?>

<?phpfunction monmodule_faitletrucquivabien() {… if(user_access('lapermissionquivabien')) { //Ok, faisons donc le truc qui va bien }…}?>


CSRF – la réponse Drupal ?

Les Jetons !

$csrf_token = drupal_get_token() ;

…

if(drupal_valid_token($csrf_token) ){ //Ok, let's do it !}

…

Offert par la form API, sans effort supplémentaire !

ET au besoin, pour le get :


SQL Injection – la réponse Drupal ?

PHP PDO « façon Drupal » : DBTNG

<?phpfunction monmodule_faitletrucquivabien() {… $arguments = array(':name' => $name, ':uid' => $uid); db_select('dbtng_example') ->fields('dbtng_example') ->where('uid = :uid AND name = :name', $arguments) ->execute();…}?>

● Seckit● Paranoia

● Google Authenticator Login● Two Factors Authentication

● Encrypt

● Flood control● Session limit● Auto log out

● Secure login / secure pages

(bien que... HTTPS uniquement !)

● Md5 check MODULES

Recommandez Un ou deux chiens de garde !

Les WAF A la rescousse !

+

=

We have met the enemy !


Google

DorkS


GIThub

DorkS

Merci :-)

@[email protected]://www.skilld.fr

mailto:[email protected]

http://www.skilld.fr/

Drupal, les hackers, la sécurité & les (très) grands comptes

Internet

Transcript of Drupal, les hackers, la sécurité & les (très) grands comptes