1 / 11

Faille informatique

Faille informatique. A9 – Protection insuffisante de la couche transport. Introduction. Mise en situation : Un méchant cracker du cegep intercepte les packets de sous-réseau de la classe. Un étudiant de sa classe fait des transactions sur un site non-sécurisé

questa
Download Presentation

Faille informatique

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Faille informatique A9 – Protection insuffisante de la couche transport

  2. Introduction • Mise en situation : • Un méchant cracker du cegep intercepte les packets de sous-réseau de la classe. • Un étudiant de sa classe fait des transactions sur un site non-sécurisé • Le vilain cracker intercepte ses informations personnelles non-encryptés et les utilise d’une façon très malicieuse!!!

  3. Modèle OSI

  4. Présentation du problème • Site pas bien sécurisé : • Interception couche transport • Protocoles TCP, UDP • Logiciel WireShark • Lecture du contenu des packets en clair • NAS • # carte crédit • Mot de passe (pire quand compte admin)

  5. Environnement affectés • Absence de • Authentification SSL • SSL pour ressources des pages et services privés • Cookies sécurisé (secure flag) • Certificat légitime et correctement configuré

  6. Exemple de cas • Aucun SSL : • Surveillance du trafic réseau (avec WireShark) • Observer cookie de session • SSL mal configuré (avertissement certificat) : • Sites sosies peuvent être alors confondus (phishing) • Connexion BD directe (ODBC) • Tout le traffic est en clair

  7. Éviter cette faille • SSL pour toutes pages sensibles • Secure flag pour les cookies sensibles • SSL utilisant des algorithmes forts (FIPS 140-2) • Certificat valide, non expiré, correspondant à tous les domaines du site • Connexions back-end chiffrées

  8. Éviter cette faille ASP.NET • Interdire les cookies quand pas SSL : <system.web> <httpCookieshttpOnlyCookies="true" requireSSL="true" lockItem="true" /> </system.web>

  9. Conclusion • Internet Accessible de Partout • DONC • Important Protéger Contenu • SSL / Cookies sécurisés

  10. Références • Document de coup de klaxon (Pouitpouit): • http://coupdeklaxon.ca/wp-content/uploads/2012/12/OWASP-Top-10-2010-French.pdf • Un peu de WIKIPEDIA

  11. Auteur Pascal Lamoureux @ paslam.com QUESTION?

More Related