![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3203168/devvswild.jpg)
Yoann Ono Dit Biot
CTO & Co-Founder SYNHACK
Pentester & Infosec Engineer
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/1577648/SHK_yoann_onoditbiot-1024x1024.png)
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3717375/Flag_of_Normandie.svg.png)
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/2053499/2000px-Nuclear_symbol.svg.png)
Disclaimer
CRYPTER
Anglicisme du mot "encrypt"
Non reconnu par l'académie française
CHIFFRER
Rendre impossible la lecture d'un document sans la clé
Par contre, on peut dire
DÉCRYPTER
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/2050941/my-brain-is-full-of-fuck.jpg)
DIGITAL
Tout ce qui se rapporte aux doigts
NUMÉRIQUE
Tout ce qui se rapporte à l'informatique
BREF
Le métier de développeur...
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3211661/work-from-home-large.png)
Pour moi, ça ressemble à un truc comme ça
Mais ça comporte quand même quelques risques...
À ceux qui nous ont quittés
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3203789/Debile_2.jpg)
Regis
Développeur chez Yahoo
Congédié en Septembre 2016 avec le reste de l'équipe IT.
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3203809/debile_1.jpg)
Kevin
Développeur chez Linkedin
Congédié en Mai 2016 avec le reste de l'équipe IT pour ne jamais avoir remarqué un piratage datant de 2011...
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3203826/Debile_3.jpg)
Britney
Développeuse chez VTech
Congédiée en Décembre 2015 après avoir mis en danger des milliers d'enfants.
Et bien d'autres
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3717424/MSFT_logo_rgb_C-Gray.3b156229.png)
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3717425/Picture-38.png)
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3203855/Tesla-Motors-logo.png)
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3203857/Dropbox-logo.jpg)
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3203860/badoo-logo.6.png)
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3203862/wplogoblue-notext-rgb.png)
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3203900/MySQL-Logo.png)
Pourquoi cette HÉCATOMBE ?
Parce qu'ils se foutaient de la sécurité.
(bah ouais...)
Pourquoi devrait-on s'en soucier ?
Parce que c'est la loi...
CNIL,
Code Pénal,
Code du travail
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3718515/saul.gif)
Liste des excuses entendues en mission
Excuse n°1: Moi on ne m'attaque pas!
Les attaques sont aujourd'hui automatisées
Une entreprise met en moyenne 200 jours à détecter une attaque
Sans compter le temps de "réparation"
Attaques de type: Advanced Persistent Threat (APT)
Excuse n°2: Je n'ai rien à cacher
Les pirates ne font pas que révéler des informations confidentielles
Utilisation des ressources (Espace disque, RAM, bande passante)
Chantage (DOS, Cryptolocker, Vol de données)
Espionnage (Concurence, Etat)
Défi technique
Excuse n°3: Je n'ai pas d'argent
La sécurité doit être adaptée au besoin de l'entreprise
Pour ce faire, il est possible d'effectuer un diagnostic de maturité
On compare la sécurité actuelle au besoin réel de l'entreprise
On peut se sécuriser à minima via l'utilisation de solutions Open Source
Mais d'abord c'est quoi la sécurité ?
CIA ça vous parle ? Parce qu'un logiciel doit couvrir cet acronyme
CIA
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3254122/faux_cia.png)
Confidentiality
Integrity
Availability
Aussi appelé DIC en français (si ça peut en aider certains...)
CIA(P)
Confidentiality
Integrity
Availability
Proof
Aussi appelé "Non répudiation"
Le but de la sécurité c'est:
- de garantir les 3 piliers de la sécurité (CIA)
- de protéger les utilisateurs de l'application
- de protéger le système d'information de l'entreprise
- d'avoir des solutions de repli en cas de problème
- de toujours être remise en cause
Le but de la sécurité ce n'est pas:
- d'être uniquement pour les sysadmins
- d'être magique
- d'être retro-actif
- de rattraper l'incompétence d'un
stagiairedéveloppeur - d'être sûre à 100%
La sécurité c'est une guerre
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/2049815/cc48c845-2704-4c31-bab4-daf8cd28adf3_high.jpg)
Une guerre asymétrique...
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/2050308/c7f13f07-aaf9-42b0-adc1-f362f6b90b27_high.jpg)
Par exemple, pour un simple blog...
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/2050311/2ef033e1-4cec-4a1a-8cf0-275188a84501_high.jpg)
..., c'est des vulnérabilités...
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3255459/cve_wp.png)
..., Beaucoup de vulnérabilités
Et parfois les gouvernements s'y mettent
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3718337/global.png)
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3718339/solaris.png)
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3718351/qualys.png)
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3718354/exploit.png)
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3718359/ars.png)
En plus les usages evoluent
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/2049795/ec23400c-6fe2-4e42-b83f-5c81ecff268c_high.jpg)
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3717375/Flag_of_Normandie.svg.png)
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3720280/flag.png)
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3720289/msm.jpg)
En plus les usages evoluent
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/2049975/e9d4f52e-bf5a-435e-a56a-58df55a05227_high.jpg)
Sans parler de ...
Micro-Services
Containers
NoSQL
Big Data
Go/Rust
WALL OF SHAME
(Vu de nos yeux vu)
Configuration Camera IP
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3263273/bosch.png)
Configuration tomcat par défaut
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3263394/tomcat_msf.png)
Données bancaires en ligne
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3718850/cheques_immo.png)
Fuites d'informations utilisateurs
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3266804/user_check.png)
Redirection non vérifiée
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3266809/xss_proxy2.png)
Gestion des droits d'une imprimante
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3264115/dell_192.168.202.50_smb.png)
Fuite de données médicales
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3271590/cortexte.png)
Intégrer la sécurité dans le cycle de vie d'un logiciel
Cycle de développement applicatif (SDLC)
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3205362/627x627-SftwareDev-Feature-HUSS.jpg)
Cycle de développement applicatif (SDLC)
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3253770/SDLC.png)
Il ne manque pas quelque chose ?!
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3718416/saymy.gif)
Prendre en compte la sécuri...Quoi?
Modèle "boite noire"
On développe, et on sécurise après
On fait un audit ou un test d'intrusion une fois le produit terminé
Du coup, on prend du retard si ça ne va pas.
Du coup on paye plus cher que prévu
Parfois on annule le projet
On déploie chez le client puis on s'en va
Il faut donc intégrer la sécurité plus tôt
Open SAMM
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3266716/pasted-from-clipboard.png)
Cycle de développement applicatif Sécurisé (SSDLC)
Le but:
- Intégrer la sécurité à chaque étape du développement
- Définir un niveau de sécurité minimal
- Maintenir ce niveau de sécurité minimal
- Anticiper la présence de failles
- Intégrer des tests liés à la sécurité
Cycle de développement applicatif Sécurisé (SSDLC)
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3266771/SSDLC2.png)
Du coup ça se matérialise comment ?
Définir les rôles
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3265097/pasted-from-clipboard.png)
Définir une surface d'attaque
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3265063/pasted-from-clipboard.png)
Analyse de risque
Méthode EBIOS
ou
Méthode Mehari
Le but est d'anticiper les risques pesant sur un projet
Un risque c'est la combinaison d'une probabilité et d'un impact
Security Guidelines: TOP 10 OWASP
# | Vulnerabilités |
---|---|
1 | Injections (SQL, LDAP, ...) |
2 | Authentification faible / Gestion incorrecte des sessions |
3 | Cross Site Scripting (XSS) |
4 | Réference directe non sécurisée à un objet |
5 | Configurations non sécurisées |
6 | Exposition de données sensibles |
7 | Mauvaise gestion des accès au niveau fonctionnel |
8 | Cross Site Request Forgery (CSRF) |
9 | Librairies tierces vulnérables |
10 | Redirections et renvois non validés |
Sécurité Continue
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3718429/continuous.gif)
Procédures
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3719655/procedure.gif)
Audit / Pentest
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3261766/mein_teil.gif)
Bug Bounty
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3265136/F4hQ8cU.gif)
Conférences & Entrainements
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3265159/pasted-from-clipboard.png)
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3265185/pasted-from-clipboard.png)
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3718449/sstic.png)
![](https://s3.amazonaws.com/media-p.slid.es/uploads/14086/images/3718487/joinus.png)
Des questions ?
Breizhcamp 2017
By Yoann Ono
Breizhcamp 2017
- 2,872