Nos services

samedi 20 août 2016

Testez la sécurité de vos applications

Les applications web et mobiles, de par leur complexité et les budgets restreints alloués à leur développement, contiennent souvent un grand nombre de vulnérabilités. 

C’est donc naturellement qu’elles sont les cibles privilégiées des hackers.



Types de vulnérabilité classés par fréquence d’observation - Selon une analyse des vulnérabilités découvertes en 2015 par la firme de sécurité White Hat security.

Si vous souhaitez sécuriser vos applications critiques, nous vous conseillons de tester leur sécurité tout au long de leurs cycles de vie : développement, test, production.

Pour réaliser ces tests, il existe plusieurs outils et méthodes adaptés à ces cycles ainsi qu’à vos challenges :

- Audit de code source automatisé (SAST - Static Application Security Testing)

- Audit dynamique automatisé (DAST - Dynamic Application Security Testing)

- Test d’intrusion réalisé par un « hacker éthique »

Dans cet article, nous vous expliquerons leurs points forts, leurs limites ainsi que les raisons pour lesquelles des audits automatisés SAST et DAST ne peuvent pas se substituer à des tests d’intrusions réalisés par un hacker éthique.



Audits SAST et DAST de l’application Webgoat écrite en .NET

Audit de code source automatisé (SAST)


L’audit du code source (SAST) de vos applications est important si vous souhaitez détecter et corriger leurs vulnérabilités pendant la phase de développement : plus tôt une vulnérabilité est découverte et moins elle sera couteuse à corriger.

Un audit SAST est non intrusif par nature. Vous pouvez donc scanner en toute sécurité vos applications les plus critiques sans risque d’impacter leur performance.

Un tel audit vous permet de détecter un grand nombre de vulnérabilités présentes dans le code source de vos applications



Exemple de vulnérabilité de type « Path manipulation » découverte par un audit « SAST » :


Un hacker peut se servir de cette vulnérabilité pour consulter le contenu de n’importe quel fichier présent sur le serveur hébergeant cette application : fichiers de configuration, documents confidentiels, etc.






Un audit SAST est particulièrement intéressant car il vous indique l’emplacement exact d’une vulnérabilité dans le code source :




Si la lecture du code source est complexe, vous pouvez consulter une vue simplifiée représentant l’exécution dynamique de votre application :


Audit dynamique avec scanner de vulnérabilité (DAST)


Un audit dynamique (DAST) consiste à se servir d’un scanner pour interagir avec l’application comme un hacker le ferait sur internet : en envoyant un grand nombre de requêtes malicieuses vers l’application auditée afin d’y trouver des failles.

Un scanner de vulnérabilité DAST permet de détecter un certain nombre de vulnérabilités pouvant être découvertes lors d’un audit de code source (SAST) sans pour autant atteindre la même efficacité.

Là ou un scanner de vulnérabilité DAST se démarque c’est dans sa capacité à découvrir des problèmes de configuration relatifs au serveur web sur lequel est installée l’application.



Un audit DAST est intrusif par nature. Il peut détériorer votre application. Il est donc préférable de scanner dynamiquement une application dans un environnement de pré production.

Si vous ne disposez pas d’un environnement de pré production, nous vous conseillons de réaliser un scan DAST léger couplé à un audit de code source (SAST). 

De cette manière vous découvrirez un maximum de vulnérabilités sans pour autant impacter votre application.

Exemple de vulnérabilité de type « Web Server Misconfiguration: Unprotected File » découverte par un audit « DAST » :


Un hacker peut se servir de cette configuration non sécurisée du serveur web pour consulter le code source d’une sauvegarde de l’application archivée sur le serveur :







Test d’intrusion


Les audits de code source (SAST) et les audits dynamiques (DAST) automatisés vous permettront de détecter un grand nombre de vulnérabilités. Cependant, il est important de noter que ces solutions ne pourront pas remplacer l’intelligence humaine. 

Des tests d’intrusion manuels réalisés par un hacker éthique vous permettront de découvrir des vulnérabilités inhérentes à la logique « métier » de vos applications et  ainsi que d’autres vulnérabilités plus difficilement détectables par des solutions automatisées.

Enfin, un testeur d’intrusion sera capable d’exploiter plusieurs vulnérabilités en chaine afin d’obtenir des résultats parfois impressionnant.

Un tel test permet de comprendre la dynamique qu’entretiennent des vulnérabilités entre elles afin de dresser un portrait réaliste de la sécurité de vos applications.



L’homme et la machine : plus fort ensemble 

Quels tests réaliser ?

Si votre budget vous le permet nous vous conseillons de réaliser ces 3 types de tests à la fois.

De cette manière vous obtiendrez une grande assurance que vos applications critiques sont dépourvues de vulnérabilités.

Si vous ne pouvez pas vous offrir ces 3 tests, nous vous conseillons de réaliser des tests d’intrusion manuels et de mettre en place un web application firewall pour protéger votre application. 

En effet, les web application firewalls sont capables de détecter et de stopper l’exploitation de la plupart des vulnérabilités pouvant être découvertes lors d’audits automatisés de code source (SAST) et d’audits automatisés dynamiques (DAST).

Pour aller plus loin

Statistiques des vulnérabilités découvertes par la firme de sécurité WhiteHat security

https://info.whitehatsec.com/rs/whitehatsecurity/images/2015-Stats-Report.pdf

DAST et SAST : définition selon Gartner :

http://www.gartner.com/it-glossary/dynamic-application-security-testing-dast/

http://www.gartner.com/it-glossary/static-application-security-testing-sast/

Nombreuses ressources pour sécuriser vos applications et serveurs web:

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

https://geekflare.com/apache-web-server-hardening-security/

http://www.tecmint.com/apache-security-tips/

https://benchmarks.cisecurity.org/downloads/browse/?category=benchmarks.servers.web.iis

Scanners de vulnérabilités gratuits :

https://cirt.net/Nikto2

https://github.com/Dionach/CMSmap

http://www.arachni-scanner.com/

http://w3af.org/


Des questions concernant cet article?

N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde. 

Vous pouvez aussi nous joindre à ce courriel :

info@oppidumsecurity.com


Ou nous parler via notre site internet :



https://oppidumsecurity.com/

jeudi 4 août 2016

Sécurisez vos communications internet lorsque vous êtes en déplacement

Lorsqu’on voyage il est pratique de se connecter aux wifi gratuits mis à notre disposition dans les hôtels, les aéroports, les cafés…

Cependant, lorsque nous nous connectons à un wifi, il est important de nous rappeler que nos communications peuvent être interceptées par l’administrateur du réseau ou par un hacker connecté sur le même réseau.

Nous vous présentons ci-dessous quelques conseils à suivre pour utiliser une connexion wifi en toute sécurité (par ordre d’efficacité) :


1- Ne vous connectez jamais de manière automatique aux points d’accès wifi







2- Utilisez une connexion VPN pour consulter internet. Des services VPN peuvent facilement être installés sur vos ordinateurs et mobiles. En un clic, vous rendrez vos communications confidentielles grâce au VPN. Un hacker présent sur le même réseau que vous sera alors dans l’incapacité d'intercepter vos communications.




3- Évitez de consulter des sites importants : sites de vos banques, boites emails, etc.

4- Ne consultez que des sites protégés par HTTPS. HTTPS assurera la confidentialité de vos communications avec ces sites.





5- A la moindre alerte de votre navigateur, déconnectez-vous du réseau wifi. Cela peut être le signe qu’un hacker essaie d’espionner vos communications.





Si vous ne suivez pas ces règles sachez que vos communications pourront être interceptées par des hackers. 

Ces derniers pourront alors espionner vos communications et prendre le contrôle temporaire ou définitif de vos comptes, ordinateurs et mobiles.



Pour aller plus loin :



http://arstechnica.com/security/2015/06/even-with-a-vpn-open-wi-fi-exposes-users/

http://www.cio.com/article/3101859/wi-fi/the-dangerous-cost-of-free-wi-fi.html


Des questions concernant cet article?


N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.


Vous pouvez aussi nous joindre à ce courriel :


info@oppidumsecurity.com



Ou nous parler via notre site internet :


https://oppidumsecurity.com/

mardi 2 août 2016

Boostez la sécurité de vos sites internet avec un web application firewall

Dans l’article « Monitorez la sécurité de vos serveurs en temps réel » nous vous avions informé qu’un site internet peut devenir la cible des hackers et ce dès les premières minutes de sa mise en ligne.

Dans cet article, nous analyserons ensemble des attaques réelles dans le but d’identifier des actions simples que vous pouvez prendre pour protéger vos sites faces aux menaces les plus communément rencontrées sur internet.

Pour ce faire, nous allons analyser une semaine de statistiques d’attaques générées par le « web application firewall » qui inspecte le trafic des sites internet de nos clients :



Le web application firewall analyse le trafic envoyé vers les sites internet de nos clients.
Les requêtes identifiées comme malicieuses sont automatiquement bloquées.


Origines des attaques et contre-mesures :

Attaques

Nous observons que les attaques détectées et bloquées par le web application firewall proviennent majoritairement de l’Ukraine et de la Russie.


Contre-mesures

Notre client ne faisant pas de commerce avec ces pays, il serait approprié de bloquer tout trafic en provenance de ces pays.

Cette contre-mesure diminuerait de 87.19% les risques de hack de ses sites internet.

Types d’attaques et contre-mesures :

Attaques

Nous constatons que la plupart des « attaques » proviennent de « robots » scannant l’internet à des fins commerciales (moteurs de recherche, agrégateurs d’information) ou criminelles (recherches d’informations sensibles, de vulnérabilités, publications de spams, etc.)






Pour assouvir votre curiosité nous vous présentons ci-dessous quelques-uns de ces robots en action.

Robots connus par nos "sources d'intelligence" et catalogués comme « Robots spameurs » :




Robots tentant d’exploiter une vulnérabilité de type « SQL injection » afin de publier des messages de « spam » :





Robots scannant l’internet à la recherche de sites internet hébergeant une porte dérobée (backdoor) nommée SFX.php :




Contre-mesures :

Une manière de se protéger de ces robots « hackers » est de vous assurer que vos sites et serveurs web sont dépourvus de toutes vulnérabilités et qu’aucune information sensible (informations personnelles, arborescences de répertoires, interfaces d’administration, etc.) ne soit consultable par des utilisateurs non authentifiés.

Malheureusement, cette recommandation est utopiste car nous savons que des vulnérabilités peuvent être découvertes à tout moment dans des composants utilisés par vos sites et serveurs web.

Les hackers attaqueront ces vulnérabilités dès leurs publications avant même que vous n’ayez eu le temps de tester et de mettre en place des correctifs.



Liste des vulnérabilités du CMS WordPress rendues publiques entre 2004 et 2016 : 222 vulnérabilités

Pour vous défendre face à ces attaques nous vous conseillons donc d’être avant tout proactif (détecter et stopper les attaques) plutôt que réactif (auditer et corriger les vulnérabilités).

Pour atteindre cet objectif, l’installation d’un Web application firewall permettant de bloquer les requêtes malicieuses à destination de vos sites internet est fortement conseillée.

Ce dernier protégera vos sites et ce même si les correctifs de sécurité n’ont pas été installés (Virtual Patching).

Vous aurez alors du temps pour tester et installer les correctifs nécessaires pour assurer votre sécurité.

Pour plus d’informations :


Quelques web applications firewall disponibles sur le marché :

http://www.tomsitpro.com/articles/web-application-firewall-guide,2-988-2.html (solutions à installer dans une DMZ)

http://www.fromdev.com/2011/07/opensource-web-application-firewall-waf.html (open source)

https://www.cloudflare.com/ (cloud Saas)

https://www.incapsula.com/ (cloud Saas)

Listes de diffusion pour se tenir informé des vulnérabilités découvertes

http://www.cvedetails.com/

https://www.us-cert.gov/ncas

Scanners de vulnérabilités gratuits :



Des questions concernant cet article?

N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde. 


Vous pouvez aussi nous joindre à ce courriel :

info@oppidumsecurity.com


Ou nous parler via notre site internet :



https://oppidumsecurity.com/