110 likes | 239 Views
Faille informatique. A9 – Protection insuffisante de la couche transport. Introduction. Mise en situation : Un méchant cracker du cegep intercepte les packets de sous-réseau de la classe. Un étudiant de sa classe fait des transactions sur un site non-sécurisé
E N D
Faille informatique A9 – Protection insuffisante de la couche transport
Introduction • Mise en situation : • Un méchant cracker du cegep intercepte les packets de sous-réseau de la classe. • Un étudiant de sa classe fait des transactions sur un site non-sécurisé • Le vilain cracker intercepte ses informations personnelles non-encryptés et les utilise d’une façon très malicieuse!!!
Présentation du problème • Site pas bien sécurisé : • Interception couche transport • Protocoles TCP, UDP • Logiciel WireShark • Lecture du contenu des packets en clair • NAS • # carte crédit • Mot de passe (pire quand compte admin)
Environnement affectés • Absence de • Authentification SSL • SSL pour ressources des pages et services privés • Cookies sécurisé (secure flag) • Certificat légitime et correctement configuré
Exemple de cas • Aucun SSL : • Surveillance du trafic réseau (avec WireShark) • Observer cookie de session • SSL mal configuré (avertissement certificat) : • Sites sosies peuvent être alors confondus (phishing) • Connexion BD directe (ODBC) • Tout le traffic est en clair
Éviter cette faille • SSL pour toutes pages sensibles • Secure flag pour les cookies sensibles • SSL utilisant des algorithmes forts (FIPS 140-2) • Certificat valide, non expiré, correspondant à tous les domaines du site • Connexions back-end chiffrées
Éviter cette faille ASP.NET • Interdire les cookies quand pas SSL : <system.web> <httpCookieshttpOnlyCookies="true" requireSSL="true" lockItem="true" /> </system.web>
Conclusion • Internet Accessible de Partout • DONC • Important Protéger Contenu • SSL / Cookies sécurisés
Références • Document de coup de klaxon (Pouitpouit): • http://coupdeklaxon.ca/wp-content/uploads/2012/12/OWASP-Top-10-2010-French.pdf • Un peu de WIKIPEDIA
Auteur Pascal Lamoureux @ paslam.com QUESTION?