[RDV Tech] Comment intégrer la sécurité dans les applications ?

banner RDV Tech OWASP

[RDV Tech] Comment intégrer la sécurité dans les applications ?

banner RDV Tech OWASP

Les 18 et 19 mai, Sébastien Gioria, chapter leader OWASP pour la France, a donné une formation dans les locaux d’Agile Partner sur la sensibilisation à la sécurité dans les applications.

En guise de mise en bouche, nous avons passé en revue un panorama d’attaques récentes de différentes ampleurs et des moyens utilisés. A partir de ces exemples, on constate que tout système d’information est vulnérable d’une manière ou d’une autre. Contrairement à l’idée populaire, les attaques « réussies » résultent de plusieurs vulnérabilités mises bout à bout (par exemple un serveur mal configuré qui laisse échapper des informations sur l’architecture permettant à l’attaquant d’identifier des vulnérabilités logicielles). Les impacts d’une attaque peuvent être variés : financier, pénal, perte ou vol d’information, la plus grave étant souvent l’atteinte à l’image de marque.

Dans la majorité des cas, une attaque informatique repose sur une faiblesse d’un logiciel (saisies utilisateur ou appels système mal contrôlées, paramétrage incorrect, …).

On peut distinguer 2 familles de langages de programmation ayant leurs propres faiblesses :

  • Les langages gérés qui sont pseudo-compilés (Java, .NET, Flash) ou interprétés (PHP) pour être indépendants de la plateforme matérielle
  • Les langages compilés (Assembleur, C, C++) fortement liés à une architecture

 

Pour les langages gérés, on rencontre des failles de type Injection SQL, XSS (Cross-site scripting) ou encore exécution de code arbitraire, tandis que les langages compilés sont sensibles à la corruption de la mémoire ou aux appels systèmes imprévus.

La découverte d’une faille peut résulter du travail de chercheurs, d’éditeurs de logiciel ou d’anonyme et peut représenter une valeur marchande importante. Une faille ne devient véritablement dangereuse qu’à partir du moment où il existe un programme en tirant partie.

Tout logiciel (à code source fermé comme ouvert) présente une surface d’attaque. Il est par conséquent primordial de tenir à jour tous les éléments du système d’information (système d’exploitation, service de publication web, application). On peut trouver sur internet toutes sortes d’outils permettant d’identifier des systèmes non-protégés (par exemple shodan.io qui permet de trouver toute sorte de systèmes connectés à internet) et de professionnels dont le travail consiste à trouver et / ou exploiter des failles (Zero Initiative Day, Zerodium).

Actuellement, les logiciels web sont les plus répandus et leur sécurisation représente le plus grand enjeu.

Lire l'article sur ITNation
Jérome Recht
No Comments

Post a Comment

Comment
Name
Email
Website