La Sécurité par Sébastien Gioria, représentant OWASP

sécurité sites web

La Sécurité par Sébastien Gioria, représentant OWASP

Pour cette formation “Sécurité Web”, qui s’est déroulée dans nos locaux sur deux jours entiers, nous avons reçu Sébastien Gioria en tant que représentant France OWASP.

Sébastien est le fondateur d’AppSecFR, une société spécialisée dans la sécurité applicative. Il a débuté dans le domaine de la sécurité réseau, puis au fil de  temps et du contexte qui entoure le secteur informatique, il s’est aventuré sur la piste de la sécurité des sites web et des applications.

Effectivement, aujourd’hui la construction d’un site ou d’une application doit se faire de plus en plus rapidement. Ce qui en résulte la mise de côté des fondamentaux de la sécurité dès la base d’un projet. Et non, la sécurité à la fin du cycle de développement n’assure pas la fiabilité totale du produit. 

Et c’est particulièrement cette problématique qui a donné envie à Sébastien de pousser son expertise de la sécurité plus loin et ainsi de se diriger vers la prévention en s’impliquant dans la fondation OWASP.

 

 

Sébastien, peux-tu nous expliquer en quoi consiste OWASP ?

Open Web Application Security Project est un projet Open Source monté en 2001 aux Etats-Unis sur le principe des fondations Linux (un groupement d’acteurs, notamment d’entreprises, résultant d’une collaboration à un projet à but non lucratif). Le Groupe OWASP est née lorsqu’un développeur issu du secteur bancaire a trouvé, au fur et à mesure de son travail, que le niveau de sécurité des applications était effrayant. Il s’est donc questionné à ce sujet et a pensé à créer un outil orienté applications web. C’est ainsi qu’OWASP est arrivé, en même temps que les documentations, les outils etc., pour aider et accompagner les développeurs dans la sécurité. Car jusqu’à présent, les développeurs codaient et s’il y avait une faille dans leur code du point de vue de la sécurité, ils étaient sanctionnés. C’est à ce problème que répond OWASP aujourd’hui, dans le sens où l’association aide les développeurs à adopter les bonnes pratiques et à éviter les risques liés à la sécurité.  A partir de  2012/2013, les applications mobiles se sont fortement développées. Ces applications mobiles interrogent majoritairement les back-end de leurs sites web, avec des web services REST ou non, et c’est comme ça que se sont ouverts au sein d’OWASP d’autres catégories de projets. Toujours dans le but d’apporter aux développeurs les bests practices !

sécurité sites web

Donc en résumé, OWASP est une fondation américaine, ouverte à l’international, où on trouve des outils, de la documentation, des bibliothèques etc. qui apportent de l’aide au niveau sécurité.

 

 

Tu es venu nous donner une formation sur la sécurité application chez Agile Partner. Pourquoi donner ce type de formation aux développeurs ?

Dans les entreprises, les audits se sont multipliés. Et de plus en plus d’environnements sont règlementés, avec un côté de conformité. Nombreux sont les endroits où, au niveau sécurité, il existe simplement une case à cocher et commenter “est-ce que l’application comporte des failles ?”. Et c’est absolument dérisoire…

En France, le top 10 de l’OWASP a été récemment intégré dans un règlement spécifique (pour la gestion des cartes bancaires). Et donc suite à cela, on dénombre énormément de besoins car les applications n’étaient pas correctement développées pour être immunes à ces éléments. Les règlementations se sont donc endurcies pour inciter à former les développeurs, tout comme la chaine de développement, et ainsi éviter les mauvaises livraisons. Un business s’est donc formé là dessus. Un business qui vient en complément du service d’audit. En général, à la fin d’un audit, l’auditeur explique ce qu’il y a à corriger et comment le faire; là où OWASP prévient et éduque les développeurs en amont afin qu’ils n’aient plus à corriger par la suite.

 

C’est une forme de sensibilisation… ?

Il y a les deux en même temps: sensibilisation et information.

C’est comme pour d’autres sujets où il faut s’épuiser un certain temps avant que cela devienne un réflexe, automatique…

 

Quel est ton rôle exactement au sein de l’OWASP, Sébastien ?

Avant, il faut déjà comprendre comment la fondation fonctionne. OWASP est une fondation américaine au sein de laquelle un certain nombre de permanents est élu. Les Etats-Unis étant tellement grands, OWASP est représenté par plusieurs points de contacts au quatre coins du pays, et à l’international. C’est le rôle que je porte en France, chapter leader: je fais la promotion de la fondation, souvent à travers des évènements locaux, je réponds aux questions, je fais le relai et je donne de l’information. Toujours dans un but non lucratif. Si une société en France rencontre des besoins sur un sujet, je m’y rends pour sensibiliser à la sécurité et expliquer ce qu’est OWASP.

 

Suite à l’évolution de l’IoT, le sujet Smart Cities etc… comment se concrétise la sécurité dans ce domaine? 

 

Les cameras IP, Nabaztag, babyphones etc., c’est une horreur au niveau sécurité ! Tous ces outils récoltent des informations personnelles et les envoient dans le cloud. Du coup, cela mène à la problématique de la gestion des données. Aujourd’hui, pour offrir un nouveau service aux consommateurs, soit on tente de répondre à leurs besoins, soit on crée le besoin (exemple de l’iPhone notamment qui a réunit un nombre démesuré de produits en un seul et unique). C’est la même chose avec l’IoT. Demain, des choses fantastiques vont arriver sur le marché… Par exemple, les puces qui ont été créées pour retrouver et identifier les animaux utilisent la technologie NFC. Par contre, appliquer ce genre de technologies à des choses un peu plus importantes ou privées devient plus dangereux pour l’aspect sécurité, il faut faire attention !

sécurité sites web

 

Les soucis qu’il y a eu avec des réseaux de caméras IP, bon nombre de cas où celles-ci ont déjà été piratées, pourquoi en arriver là? Est-ce que la sécurité a disparu dans la conception du produit ?

Plusieurs possibilités:

  • soit l’entreprise dès le départ n’a pas pris l’aspect sécurité au sérieux
  • soit elle l’a pris au sérieux, mais le prix a tranché…
  • soit l’entreprise a préféré rapidement sortir le produit (pour être n#1 sur le marché) et a décidé de se préoccuper de la sécurité une fois le produit distribué…

 

 

En fait, plus les objets vont être performants et capables de gérer des services, plus il y aura des risques dus à leur détournement dans leur utilisation ? Et donc devenir dangereux d’un point de vue sécurité des données ?

Tout à fait ! C’est ce détournement de l’objet qui est dangereux. Par exemple, la caméra IP a été inventée dans le but d’enregistrer et diffuser de l’image. C’est sa fonction première. Le jour où une personne mal intentionnée l’utilise pour autre chose, comme le cas Mirai, pour envoyer des requêtes ailleurs, cela devient particulièrement dangereux. Mais cette vérité est vraie pour des tas de sujets de la vie quotidienne: un couteau, une paire de ciseaux…

 

Concrètement, quels sont les risques pour une SSII ?

Ils sont multiples:

  • des problèmes d’image de marque de prime abord
  • et malheureusement des procès en justice pour fuite de données parfois

En France, il existe un risque légal: il y a des réglementations européennes qui arrivent de plus en plus. Le Règlement Général de Protection des Données va obliger toutes les structures à se mettre à niveauLe problème étant que de nombreuses données circulent au sein d’une entreprise, et semblent parfois être insignifiantes (nom, date de naissance, n° de SS, montant du salaire etc.). Pour autant, quelqu’un de mal intentionné pourrait tout à fait les utiliser à mauvais escient. Il faut donc se montrer vigilant !

Si on applique cela au quotidien: une simple fiche de paie peut justifier l’ouverture d’un compte en banque. Pourtant, ce sont des papiers qui sont facilement trouvables chez tout le monde. Donc c’est très simple aujourd’hui pour un pirate, à partir du moment où il a quelques petites donnée, d’aller ouvrir un compte en banque de façon illégale et malhonnête.

Du coup, c’est pour cela aussi qu’aujourd’hui certaines données s’assurent ! Il existe des cyber assurances dont le but est de couvrir les dommages liées à la cyber sécurité.

Pour une activité de développement, il faut davantage cotiser auprès d’une cyber assurance pour être couvert niveau litige. Cela peut aller très loin parfois. L’exemple de WannaCry avec Renault l’a prouvé: deux usines n’ont pas fonctionné du weekend et cela a engendré une perte énorme.

C’est pour ces raisons aussi que le niveau de sécurité va augmenter:

  • à cause/grâce aux nouveaux usages qui vont de plus en plus loin dans l’exploitation de données,
  • et de la réglementation car les entreprises n’auront plus le choix que d’être vigilantes

 

 

Pour conclure Sébastien, aurais-tu des conseils pour les développeurs dans le cadre de la sécurité ?  Des bons usages ?  Des bonnes pratiques ?

La seule et bonne règle de base c’est de ne pas penser que c’est compliqué d’hacker une application, et donc ne pas se dire que cela n’arrivera jamais… Il faut être vigilant et prendre le sujet au sérieux !

 

sécurité sites web

 

 

Pour aller plus loin

Le TOP 10 des risques les plus critiques pour les applications web est LE document de sensibilisation pour la sécurité des applications Web mis à disposition par OWASP. Il représente un large consensus sur les risques de sécurité les plus critiques pour les applications Web. Les membres du projet comprennent une variété d’experts en sécurité du monde entier qui ont partagé leur expertise pour produire cette liste.

Maeva Pitou
No Comments

Post a Comment

Comment
Name
Email
Website