WAITING 2012 #5 : Sécurité, hacking et OWASP

Internet ne cesse de bousculer notre vie en prenant de plus en plus d’importance. Avec l’écrasante suprématie de Facebook et sa politique sur la vie privée controversé, la volonté de se faire de plus en plus remarquer sur Youtube pour devenir une star, les achats en 1 click et l’ergonomie simplifié, on en oublie parfois que l’on publie notre vie privée et nos informations personnelles sur la toile. Certaines personnes malveillantes le savent très bien. La sécurisation des systèmes n’a jamais été aussi primordiale.

Pour cette année, on peut notamment citer les attaques d’Anonymous sur le PlayStation Network de Sony (jeux en ligne mais aussi achats) qui a provoqué la fuite de nombreuses coordonnées bancaires. Récemment, l’UMP aussi aura fait les frais d’hacktivistes qui ont pu mettre la main sur des données personnelles relatives à environ 1.000 membres du parti, dont des ministres et députés, pour les publier sur le net.

 

 

Attention, il ne faut pas confondre Hackers et Crackers. Comme dirait Eric Steven Raymond (célèbre hacker américain), « les hackers construisent les choses, les crackers (pirates) les démolissent ». Beaucoup de Hackers ont contribué à l’amélioration de la sécurité des systèmes informatiques en rendant publique leurs travaux. Ces profils sont d’ailleurs parfois engagés par des sociétés comme Apple ou Microsoft…

 

Open Web Application Security Project

 

OWASP (Open Web Application Security Project) est une communauté libre travaillant sur la sécurité des applications Web.

OWASP est aujourd'hui reconnu dans le monde de la sécurité des systèmes d'information pour ses travaux sur les applications Web. Le  projet le plus connu est le Top Ten OWASP qui une liste des Dix Risques de Sécurité Applicatifs Web les Plus Critiques. Ce classement fait référence aujourd'hui dans le domaine de la sécurité et est cité par divers organismes (DoD, PCI Security Standard).

On peut citer aussi WebGoat, plateforme de formation permettant à un utilisateur d'apprendre à exploiter les vulnérabilités les plus courantes, le proxy WebScarab…

Par ailleurs, OWASP organise régulièrement des meetings un peu partout dans le monde. Durant ces rendez-vous, des intervenants issus du monde de la sécurité présentent un produit, une faille, un projet OWASP, etc.

Le sujet du jour est ce fameux Top 10, publié en 2010 pour sa dernière version mais toujours d’actualité. L'objectif du Top 10 est de promouvoir la sensibilisation relative à la sécurité applicative en identifiant certains des risques les plus critiques rencontrés par les entreprises.

Certains points peuvent paraitre évidents pour un développeur rigoureux mais il est toujours bon de les rappeler, même s’ils n’ont pas l’envergure des cas cités précédemment.

 

 

Un peu de technique

 

1. Injection

2. Cross-Site Scripting (XSS)

Bien faire attention qu’un utilisateur ne puisse pas envoyer des données ou requêtes malveillantes afin de prendre le contrôle du script. Toute donnée soumise doit être correctement validée et encodée.

 

3. Violation de Gestion d’Authenfication et de Session

Bien vérifier la gestion des sessions. Ne pas oublier de la vérifier sur toute les pages concernées, même celles non visibles par l’utilisateur. Cette recommandation concerne aussi le cryptage et stockage des mots de passe. Attention aussi aux scripts qui permettent de modifier ou mettre à jour son mot de passe.

 

4. Références directes non sécurisées à un Objet

Les objets d’exécution interne (fichier, dossier, enregistrement dans la BDD, clés) ne doivent pas être exposés.

 

5. Falsification de requête intersite (CSRF)

Les liens ne doivent pas contenir de variables et jetons prévisibles, sinon un petit malin pourrait créer une URL contenant une requête. Bien utiliser les champs cachés.

 

6. Mauvaise configuration Sécurité

Paramètres bien définis, maintenance, mises à jour. Supprimer l’inutile et le superflu. Bien comprendre les frameworks et librairies utlisés.

 

7. Stockage Cryptographique non Sécurisé

Chiffrer les données sensibles type mot de passe, cartes de crédit et informations personnelles. Seuls les utilisateurs autorisés peuvent accéder à la copie décryptée des données.

 

8. Manque de Restriction d’Accès URL

Vérifier chaque page. Requiert-elle une authentification ?

 

9. Protection insuffisante de la couche Transport

Utiliser SSL et secure flag sur les pages utilisant des données sensibles.

 

10. Redirections et Renvois non validés

Les applications web réorientent et font suivre fréquemment les utilisateurs vers d'autres pages et sites web, et utilisent des données non fiables pour déterminer les pages de destination. Sans validation appropriée, les attaquants peuvent rediriger les victimes vers des sites de phishing ou de logiciel malveillant, ou utiliser les renvois pour accéder à des pages non autorisées.

 

Benjamin

Source : www.owasp.org