Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
-
Upload
normandie-web-xperts -
Category
Technology
-
view
484 -
download
0
Transcript of Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
SECURISATION DES SERVEURS WEB
Quels sont les risques ?
La réalité du Hacking
Les problématiques opérateurs
Les problématiques hébergeur
Retour d’expérience FrameIP
Conclusion
Les questions réponses
Dégradation de l’Image Cela montre des faiblesses sur son système d’information qui se répercute sur son image « globale ».
Se pose aussi la problématique de confiance des clients et des partenaires qui doutent aussi de la
confidentialité.
Risques pour la production Le fait d’altérer un service peut sérieusement porter préjudice sur la production jusqu’à la rendre nulle.
Risques financiers En corrélation avec les impacts précédents (Perte de production, image de marque,….)
Fuite et/ou vol d’information (90% provient de l’intérieur) Expertise métier, méthodologie, outils, plan, R&D…
Risques Stratégiques pour l’entreprise
Mise en péril de l’activité si l’entreprise dépend de son système d’information
Bilan sur la sécurité: Une protection absolue n’existe pas, néanmoins une sécurité adaptée permet de se prémunir d’un ensemble de
problématiques et/ou de maladresses, de décourager un nombre important d’attaques et de minimiser les
conséquences d’erreurs ou d’agressions
Lorsque la politique de sécurité est bien maitrisée,
on se tourne alors vers une politique de qualité montrant ainsi la maturité du SI et indirectement de l’entreprise
Quels sont les risques ?
50% des grandes entreprises ont été victimes de piratage depuis 2005
Certaines entreprises sont sanctionnées par leurs clients après un piratage pour leur négligence (ex: USA Avril
2010 : ~375 K€ d’amende vol d’une base de données contenant des informations sur leurs clients)
Sur les 2.400 administrateurs de la sécurité informatique interrogés aux États-Unis, au Royaume-Uni, en
France, en Allemagne et au Japon, 77 % admettent avoir perdu des données en 2010. La France fait à peine
mieux : 70 % des 450 entreprises interrogées auraient été touchées par une fuite de données.
Wikileaks : Depuis Août 2010, Julian Assange, le créateur du site, a divulgué plus de 400 000 documents
confidentiels concernant 68 gouvernements.
Bercy: Décembre 2010, 150 PC ont été infiltrés suite une attaque sur le Ministère de l’Economie et des Finances afin de récupérer des informations
sur le G20.
Etat belge : Février 2011, différentes attaques ont été menées par les Anonymous sur le site du gouvernement Belge.
Cdiscount: Un hacker attaque le serveur de Cdiscount en Septembre 2010, indisponibilité durant quelques heures…
Banque : Phishing
IRAN : Piratage d’une centrale nucléaire en IRAN - « Stuxnet » prise de contrôle de système industriel
Russie : Impunité pour les Hackers en Russie
Espagne : Un hacker a profité d’une faille sur la page d’accueil du site officiel de la présidence espagnole de l’Union européenne pour remplacer José
Luis Zapatero par Mr Bean.
La réalité du Hacking
Man in the Midle :
Interception de communication/data.
DNS Spoofing ou DNS Poisoning : Redirection des flux vers une cible définie.
Attaque BGP : Attaque DDOS en SYN Flood sur le port 179
Injection de route
Saturation des tables
Non respect de l’antispoofing : Permettant l’usurpation
Les problématiques opérateurs
Ingénierie sociale : Utilisation de la crédulité des utilisateurs pour leur soutirer des informations .
Exploitation de la RFC 2616 : Hypertext Transfer Protocol -- HTTP/1.1
Inspection protocolaire
Firewall nouvelle génération :
Inspection applicative.
Analyse comportementale : @IP, requête, URL.
Saturation des logs : Ralentir la réaction de défense.
Se cacher.
DOS/ DDOS : Déni de service en mode distribué
Zombie et Communauté.
Les problématiques hébergeur
FrameIP a toujours trouvé des failles
et les a classées par Criticité / Probabilité / Impact
3 modes d’audit sécurité chez FrameIP :
1. Découverte
2. Exploitation
3. Déni de service
Quelques exemples :
Opérateur national :
L’audit avait pour but de montrer les limites de l’étanchéité du protocole MPLS
sur un réseau opérateur national.
Ville - Problème de virtualisation De multiples serveurs critiques exposés et accessibles de l’extérieur , plus de 3000 PC analysés en 2
jours
Industriel international : Base de données oracle
Conseil Général : Suite à une infection, nettoyage de 3000 postes en 72 heures.
Entreprises : Audit LAN, Problème WIFI , Sécurité de la téléphonie sur IP
écoles : Relais SMTP, problématique de Spam et « blacklistage », protection contre certains étudiants…
Retour d’expérience FrameIP
La sécurité absolue n’existe pas
Conclusion