L'essentiel de Ruby on Rails

Connaître les failles classiques d'un site web

TESTEZ LINKEDIN LEARNING GRATUITEMENT ET SANS ENGAGEMENT

Tester maintenant Afficher tous les abonnements
Principe fondamental de sécurité : ne jamais faire confiance à ses utilisateurs. Découvrez les failles habituelles des sites web, et notamment le Top 10 OWASP (Open Web Application Security Project).
06:56

Transcription

Ayant un passé conséquent dans la sécurité Web, et cette discipline étant toujours présente quotidiennement dans mon travail, je souhaitais vous sensibiliser aux différentes vulnérabilités existantes au niveau des applications Web. Tout d'abord, soyons clairs. Un système sans failles n'existe pas, car tout a été conçu par l'homme, qui est lui-même la première cause de vulnérabilités du système informatique et des réseaux. L'utilisateur légitime et non malveillant sera même responsable de 80 % des incidents de sécurité. La sécurité n'a pas toujours été aussi évoluée et importante qu'aujourd'hui. Avant 1980, cela consistait uniquement en des préventions et des contrôles d'accès à des systèmes ou données. Dans les années 80, 90 sont apparus les premiers détecteurs d'intrusion ainsi que les premières études des virus malveillants pour la réalisation d'antivirus et de page de sécurité. En 2000, les attaques ont pris une nouvelle dimension avec l'apparition de virus efficaces et redoutables, capables de se dupliquer et de se propager à travers le réseau Internet. Aussi appelés worms, ces virus font toujours parler d'eux aujourd'hui et peuvent faire tomber des sociétés entières. En 2005, la sécurité est devenue plus active, apparaissent les contre-mesures et la lutte informatique, qu'elles soient offensives comme la tringle des hackers ou fermeture de serveurs de pirates, ou défensives, comme le bannissement automatique des systèmes piratés. En 2010, en tout cas aux alentours de 2010, car tout le monde n'est pas forcément d'accord sur cette date, a été découvert la première véritable cyberguerre, c'est-à-dire, des actes malveillants visant spécialement des organismes d'État. Un des inconvénients majeurs de la sécurité, est que la loi est souvent en retard par rapport à l'évolution des attaques. Ainsi, ce n'est qu'en 2012 qu'est apparu le premier manuel de droit applicable à la cyberguerre. Avant de poursuivre, j'aimerais balayer quelques idées reçues que j'ai souvent entendues. Premièrement, la sécurité absolue n'existe pas. Même un PC éteint dans une pièce vérouillée et gardé par six serveurs n'est pas parfaitement sécurisé. Vous avez un petit robot enfermé dans cette pièce ? Un pirate peut en prendre le contrôle et allumer le PC. J'exagère à peine. Il est établi, que 1,5 millions personnes sont piratées chaque jour. C'est un chiffre énorme. Cela me permet, surtout de vous faire comprendre que le piratage est un problème quotidien et non pas anecdotique. Les pirates doués, ceux qui sont vraiment bons, et peuvent effectuer de gros dégâts, ne sont pas nombreux. La plupart des pirates sont de bidouilleurs et sont très souvent eux-mêmes piratés par les gros, puisqu'ils utilisent des logiciels développés par d'autres pirates aux piratés. Un système peu piraté n'est pas plus sécurisé qu'un autre. Je dirais même au contraire. Non, ce n'est pas parce que macOS semble être moins piraté que Windows que Mac est plus sécurisé. C'est surtout que les PC sont bien plus nombreux dans le monde et représente donc un marché plus lucratif pour les pirates. Enfin, une faille connue n'est pas forcément exploitée. L'exploitation d'une faille de sécurité nécessite souvent, mais pas toujours, des connaissances et compétences conséquentes. Ainsi, une faille ne peut être exploitée par le premier venu. Regardant maintenant de plus près les failles qui nous intéresse, celles s'appliquant aux sites Web. OWASP, ou Open Web Application Security Project, est une communauté en ligne travaillant sur la sécurité Web. Libre et ouverte à tous, cette communauté à pour vocation de publier des recommandations pour la sécurité des applications Web. En outre, elle présente également des outils de test d'intrusion et fourni des tutorielles pour controller le niveau de sécurité d'une application. L'un de ses projets phare, est le Top 10 Project. Il s'agit là de recenser les 10 attaques les plus répandues dans le monde sur les applications Web. La dernière publication de ce projet date de 2013. La prochaine est prévue pour cette année. Globalement, cela évolue peu d'une publication à une autre. En 2013, nous avions donc les attaques suivantes, dans ce Top 10. Injection de code, notamment injection Escuel, qui permet de faire exécuter par implication Web du code malveillant pour récupérer des données confidentielles ou modifier des données, ou voir les supprimer carrément. Ensuite, les failles d'authentification, ou de session, concernent toutes les attaques consistant à usurper l'identité de quelqu'un, ou à voler la session d'un utilisateur. La faille XSS, sous catégorie d'une injection de code, consister à insérer du code malveillant à l'intérieur de données d'une application Web, qui sera ensuite exécuté par les visiteurs. Dès qu'un utilisateur accède à cette donnée sur son navigateur, le code malveillant s'active et peut compromettre le système de l'utilisateur. En quatrième, nous avons des accès non restreints au niveau système. Un attaquant pourra alors récupérer des fichiers, ou des dossiers confidentiels. Puis ensuite, il y a mauvaise configuration de sécurité. Autrement dit, avoir un système gruyère, où des portes sont grandes ouvertes. Ensuite, nous avons la mauvaise protection des données sensibles. Beaucoup de site stock sans sécurité des informations, comme numéro de carte bancaire, identifiant, etc. J'ai moi-même un exemple concret où après on après avoir récupéré le code et la base de données d'une application existante d'un client, j'ai pu observer que l'ensemble des mots de passe utilisateur était stocké non cripté dans la base de données. Viens après, l'accès possible à un anonyme, ou mauvais filtrage d'accès pour les non connectés. Par exemple, dans notre application Best Topics, nous avons vérrouillé l'accès à la gestion des catégories, mais nous n'avons pas encore masqué le bouton d'accès à cette page de gestion. CSRF, ou Cross-Site Request Forgery, consite à transmettre à un utilisateur légitime et authentifié une requête HTTP malicieuse afin qu'il l'exécute sans en avoir conscience et en utilisant ces droits d'accès. L'utilisateur devient ainsi complice de la taxe sans même sans apercevoir. La non mise à jour des logiciels ou technologies utilisés est également une faille courante. Autrement dit, maintenez votre application et vos gènes à jour. Et si vous créez vous-même votre système d'authentification, assurez-vous de le rendre toujours plus robuste. Enfin, viennent les redirections légitimes depuis votre site. Par exemple, encore dans notre application Base Topics, nous avons ajouté dans les informations d'un profil un champ website. Si nous faisions une redirection automatique vers le site renseigné par ce champ, un utilisateur malveillant pourrait en profiter pour y insérer un site malveillant. Il existe aujourd'hui tant d'autres types d'attaques. Buffer overflow, DDos, RansomWare. Vous pouvez faire des recherches, vous apprendrez surement tout un tas de trucs. Je vous présente sur ce slide, quelques contre-mesures. Pour les virus, il y a évidemment les anti virus que vous connaissez surement. Les Honey Pot sont des systèmes volontairement ouverts et vulnérables pour que des virus s'y installent. Ainsi les experts pourront les étudier et mettre à jour leurs anti virus. Les Benevolent Worm fonctionnent comme des worms, sauf qu'ils sont utilisés pour supprimer des virus. Ces derniers sont à la limite de la légalité, d'ailleurs. Pour les injections de code, il existe des méthodes pour transformer du code injecté en code inoffensif. On appelle souvent cette méthode Sanitize. Le transtypage peut aussi être vu comme une contre-mesure. Par exemple, si pour un champ vous attendez un nombre, transformez le paramêtre au dessus de vos utilisateurs en nombre. Cela empêchera de l'injection de code sous forme de texte. Les tests d'intrusions sont également une contre-mesure efficace. Il s'agit d'effectuer des actes de piratage pour tester la sécurité d'un site mais d'une manière contrôlée, sans pour autant compromettre le système. Ces tests doivent être effectués en toute confidentialité, ils fournissent Infiné un rapport d'audit expliquant les failles découvertes et comment les corriger. Enfin, une des contre-mesures les plus efficaces et universelles est le backup, la sauvegarde de vos données sensibles sur un système tiers. Et si vous le pouvez, faites des backups de backups. Vous ne serrez jamais assez à l'abri. Terminons par une note plus légère. Nul besoin de devenir paranoïaque. Le simple fait de connaitre les risques existants, c'est déjà là une forte contre-mesure.

L'essentiel de Ruby on Rails

Concevez des applications web évolutives et intemporelles avec Ruby on Rails. Installez l’environnement, réalisez un projet de stack overflow, enrichissez-le, etc.

6h08 (85 vidéos)
Aucun commentaire n´est disponible actuellement

Votre formation est disponible en ligne avec option de téléchargement. Bonne nouvelle : vous ne devez pas choisir entre les deux. Dès que vous achetez une formation, vous disposez des deux options de consultation !

Le téléchargement vous permet de consulter la formation hors ligne et offre une interface plus conviviale. Si vous travaillez sur différents ordinateurs ou que vous ne voulez pas regarder la formation en une seule fois, connectez-vous sur cette page pour consulter en ligne les vidéos de la formation. Nous vous souhaitons un excellent apprentissage avec cette formation vidéo.

N'hésitez pas à nous contacter si vous avez des questions !