Upload
jbguerraz
View
592
Download
0
Embed Size (px)
DESCRIPTION
Les projets Drupal d'envergure s'intègrent toujours au sein d'un SI complexe avec de forts enjeux de sécurité. Pas une semaine sans un scandale d'intrusion, de piratage ou de problème de sécurité informatique, qui peuvent coûter des centaines de millions d'euros (cf. Sony). Comment vendre Drupal vis à vis des attentes et des craintes des grands comptes vis à vis de la sécurité ? Comment Drupal adresse les principaux risques identifiés OWASP ? Comment sécuriser une application Drupal au plus haut niveau ?
Citation preview
DRUPAL, LES HACKERS, LA SéCURITé& LES (TRèS) GRANDS COMPTES
jbguerraz@SKILLD:~$ whoami
● 13 ans d' IP– Vidéo : VOD & Live (Web, Mobiles & Télé)
– Voix & Vidéo sur IP / Télécommunications
– Applications clients/serveurs (Win/Mac/Linux/Mobiles)
– Sites Web
● Dont 6 ans de Drupal● Dir. Tech & Co-fondateur de Skilld
La sEcurité, hier, C'était ...
1ère icône :
la défense gouvernementalemade in US'
<source label="Washington Post" href="http://wapo.st/1wvGybr" />
La sEcurité, hier, C'était ...
2ème icône
Le standard sécurité du paiement par carte bancaire
<source label="Washington Post" href="http://wapo.st/1wvGybr" />
La sEcurité, hier, C'était ...
3èMe icône :
LA NOTRE ! :)
<source label="Presse Citron" href="http://bit.ly/1tORbEo" />
La sEcurité, aujourd'hui, qu'est-ce ?
ᄇ
2 milliards de dollarsde dommagespour Sony
Et ça continue !
<source label="La Tribune" href="http://bit.ly/1xUd8Gq" />
<source label="CNN" href="http://cnnmon.ie/1yDYPFR" />
La sEcurité, aujourd'hui, qu'est-ce ?
40 Millions de numéros de cartes de crédits
70 millions de données personnelles
Et...
5 millions de dollars de DOMMAGES Pour target !
<source label="Silicon.fr" href="http://bit.ly/11mNeRu" />
La sEcurité, aujourd'hui, qu'est-ce ?
20 Millions de numéros de cartes de crédits
40 % de la population sud coréenne
Et...
3 têtes qui s'offrent !
<source label="CNN" href="http://cnnmon.ie/1aob1nw" />
La sEcurité, aujourd'hui, qu'est-ce ?
4.6 million de comptes (numéros de téléphone compris!)
90 000 photos
9 000 vidéos
<source label="The Verge" href="http://bit.ly/1gmPevh" />
La sEcurité, aujourd'hui, qu'est-ce ?
150 million de comptes (N° de cartes de crédits compris)
Code source des produits Adobe« Adobe Acrobat, ColdFusion, ColdFusion Builder and other
Adobe products »
<source label="The Verge" href="http://bit.ly/1pXxJdX" />
La sEcurité, aujourd'hui, qu'est-ce ?
Données personnelles de 4,5 million de PATIENTS
(numéros de sécurité sociale)
<source label="Reuters" href="http://reut.rs/1tkLkcN" />
La sEcurité, aujourd'hui, qu'est-ce ?
PAR Volume PAR Sensibilité
Les plus grosses failles du monde !
<source label="InformationIsBeautiful" href="http://bit.ly/19xscQO" />
La sEcurité, demain, ce sera ?
La sEcurité, demain, ce sera ?
Bulletin de sécurité
https://www.drupal.org/PSA-2014-003
<source label="BBC" href="http://bbc.in/1zm1N5N" />
La sEcurité, demain, ce sera ?
Difficile ?
<source label="Tor Onions" href="%00" />
La sEcurité, demain, ce sera ?
Difficile, vraiment ?
<source label="Mitnick Security" href="http://bit.ly/1oTMb5K" />
Préoccupations des Grands comptes ?
$
Préoccupations des Grands comptes ?
4,8 M€
3,89 M€
+20,5 %
2013
2014
Coût annuel du Cybercrime en France
<source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Préoccupations des Grands comptes ?
Virus, Vers, TrojansMalware
Attaque WebPhishing & Social
Enemi de l'intérieurCode malicieux
Matériel volé(d)DoS
Botnets
0
2
4
6
8
10
12
14
16
18
2013
2014
Répartition du coût du Cybercrime en France par type d'attaque
<source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Préoccupations des Grands comptes ?
Répartition du coût du Cybercrime en France par type d'attaque
Virus, Vers, TrojansMalware
Attaque WebPhishing & Social
Enemi de l'intérieurCode malicieux
Matériel volé(d)DoS
Botnets
0
2
4
6
8
10
12
14
16
18
2013
2014
<source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Préoccupations des Grands comptes ?
Détection Restauration Containment Investigation Ex-post response Incident mngt0
5
10
15
20
25
30
35
40
2013
2014
Répartition du coût du Cybercrime en France par source d'activités
<source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Préoccupations des Grands comptes ?
Détection Restauration Containment Investigation Ex-post response Incident mngt0
5
10
15
20
25
30
35
40
2013
2014
Répartition du coût du Cybercrime en France par source d'activités
<source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Préoccupations des Grands comptes ?
Impact sur la clientèle / la marque ?
Perte de clientèle (%) post-piratage par pays
France : CHAMPIONS du monde !
FR IT UK US JP DE AU ID BZ AB0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
2013
2014
<source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Comment vendre Drupal ?
Drupal est utilisé par plus de 130 nations ! (sur 197)
<source label="Acquia" href="http://bit.ly/1znS8bX" />
Comment vendre Drupal ?
Comment vendre Drupal ?
Comment vendre Drupal ?
Drupal security Team
Une équipe dédiée à la sécurité, depuis 2005,
composée de 43 personnes
~50% de la taille des équipes
concurrentes ?!
Comment vendre Drupal ?
Drupal security Team
Une capacité de communication et de mobilisation éprouvée
<source label="BBC" href="http://bbc.in/1zm1N5N" />
Comment vendre Drupal ?
La concurrence et la sécurité ?
Java :● Adobe Experience Manager (CQ5)
● HP Autonomy Teamsite● Jive● Lithium
.Net :● Sitecore● SDL Tridion● Ektron CMS
Comment vendre Drupal ?
La concurrence et la sécurité ?
Java :● Adobe Experience Manager (CQ5)
● HP Autonomy Teamsite● Jive● Lithium
.Net :● Sitecore● SDL Tridion● Ektron CMS
<source label="White Hat Sec" href="http://bit.ly/1EIFO98" />
<source label="VentureBeat" href="http://bit.ly/1zMsh0y" /><source label="La Tribune" href="http://bit.ly/113SdW4" />
Comment vendre Drupal ?
La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ?
La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ?
La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ?
La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ?
La concurrence et la sécurité ? - Adobe Experience Manager (Cq5)
1
Comment vendre Drupal ?
La concurrence et la sécurité ? - Adobe Experience Manager (Cq5)
Comment vendre Drupal ?
Dégager du budget pour renforcer la sécurité ?
OWASp, Kezako ?
Open Web Application Security Project
LA liste des 10 risques les plus CRITIQUES pour les applications web
(mise a jour chaque année !)
aussi, un ensemble :● D'outils
● De méthodes● De conseils
● ...
&
Une communauté !
OWASp, Kezako ?
● A1 – Injection
● A2 – Authentification & Sessions
● A3 – XSS
● A4 – références directes
● A5 – configurations
● A6 – Exposition de données sensibles
● A7 – Contrôle d'accès
● A8 – CSRF
● A9 – Dépendances
● A10 - Redirections
Drupal & Owasp : tu peux pas test !(euh...)
<source label="Drupal Security Report" href="http://bit.ly/1EIGBXI" />
Drupal & Owasp : tu peux pas test !(euh...)
XSS – la réponse Drupal ?
Trop c'est mieux que pas assez !
~
Mettez en « partout » ;)
~
P.S :t('utilisez les @placeholders
pour vos chaînes traductibles');
Drupal & Owasp : tu peux pas test !(euh...)
Access bypass – la réponse Drupal ?
<?phpfunction monmodule_menu() { $items['admin/monmodule/configuration'] = array( 'title' => 'Configuration de MonModule', 'page callback' => 'drupal_get_form', 'page arguments' => array('monmodule_config_form'), 'access arguments' => array('administer monmodule'), ); return $items;}?>
<?phpfunction monmodule_faitletrucquivabien() {… if(user_access('lapermissionquivabien')) { //Ok, faisons donc le truc qui va bien }…}?>
Drupal & Owasp : tu peux pas test !(euh...)
CSRF – la réponse Drupal ?
Les Jetons !
$csrf_token = drupal_get_token() ;
…
if(drupal_valid_token($csrf_token) ){ //Ok, let's do it !}
…
Offert par la form API, sans effort supplémentaire !
ET au besoin, pour le get :
Drupal & Owasp : tu peux pas test !(euh...)
SQL Injection – la réponse Drupal ?
PHP PDO « façon Drupal » : DBTNG
<?phpfunction monmodule_faitletrucquivabien() {… $arguments = array(':name' => $name, ':uid' => $uid); db_select('dbtng_example') ->fields('dbtng_example') ->where('uid = :uid AND name = :name', $arguments) ->execute();…}?>
● Seckit● Paranoia
● Google Authenticator Login● Two Factors Authentication
● Encrypt
● Flood control● Session limit● Auto log out
● Secure login / secure pages
(bien que... HTTPS uniquement !)
● Md5 check MODULES
Recommandez Un ou deux chiens de garde !
Les WAF A la rescousse !
+
=
We have met the enemy !
We have met the enemy !
DorkS
We have met the enemy !
GIThub
DorkS