M. Olivier GREOLI
Transcription
M. Olivier GREOLI
Aspects sécuritaires liés aux sites web Aspects sécuritaires liés aux sites web la sécurité informatique… Aspects sécuritaires liés aux sites web Olivier Greoli Critic s.p.r.l. http://critic.be … couvre 3 objectifs : • intégrité tout document sur votre site web doit rester identique à l’original • confidentialité certaines parties de votre site web ne doivent pas être accessibles à tous • disponibilité votre site web c’est une de vos vitrines et celleci doit être accessible à tout moment 15 mai 2003 • règles et procédures pour éviter le chaos sur votre site web • définir des actions en cas d’intrusion, il est souvent trop tard (qui dispose d’une sauvegarde des données, qui établit les procédures de restauration des données du site web) • sensibiliser les utilisateurs sécurité signifie souvent contraintes, plutôt que de les imposer il vaut mieux éclairer les utilisateurs sur les risques des mauvaises pratiques (mot de passe trop simple par exemple). 15 mai 2003 Agora 2003 3 le niveau de sécurité de votre site web, c’est le niveau de sécurité du maillon le plus faible. « une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue ». 15 mai 2003 – – – – – sensibilisation des utilisateurs sécurité logique (au niveau des données) sécurité des télécommunications sécurité des applications sécurité physique 15 mai 2003 Agora 2003 5 Agora 2003 4 identification des risques Aspects sécuritaires liés aux sites web Aspects sécuritaires liés aux sites web un contexte global La sécurité d’un serveur web doit être envisagée dans un contexte global : 2 le maillon le plus faible Aspects sécuritaires liés aux sites web Aspects sécuritaires liés aux sites web mettre en place une politique de sécurité Agora 2003 Le risque en terme de sécurité d’un serveur web est généralement caractérisé par l'équation suivante : risque = 15 mai 2003 menace x vulnérabilité contre-mesures Agora 2003 6 1 Aspects sécuritaires liés aux sites web Aspects sécuritaires liés aux sites web Méthodologie d’une intrusion sur un serveur web 15 mai 2003 Agora 2003 7 15 mai 2003 Agora 2003 8 Qu’est-ce qui motive un hacker ? l’acte politique Aspects sécuritaires liés aux sites web Aspects sécuritaires liés aux sites web Qu’est-ce qui motive le hacker ? l’argent la gloire Qu’est-ce qui motive le hacker ? 19/4/2003 : defacing du site web de Madonna plus d’info sur : http://www.thesmokinggun.com/archive/madonnasplash1.html l’amour 15 mai 2003 Agora 2003 9 15 mai 2003 L’espace disque pour y stocker des fichiers illégaux (mp3, divx, …) 15 mai 2003 Agora 2003 10 Qu’est-ce qui motive un hacker ? Aspects sécuritaires liés aux sites web Aspects sécuritaires liés aux sites web Qu’est-ce qui motive un hacker ? Agora 2003 11 L’accès total à votre serveur ! (“root access”) 15 mai 2003 Agora 2003 12 2 €! €! un contrôle complet de votre serveur web €! “Root Access” 15 mai 2003 Agora 2003 Aspects sécuritaires liés aux sites web Aspects sécuritaires liés aux sites web Qu’est-ce que cela signifie ? 13 donné es fina ncière donné s es «p erson nelles » de plus en plus de données sensibles sont hébergées sur les serveurs web t crédi te de r a c e donn ros d ées c numé onfid entie lles 15 mai 2003 Agora 2003 14 Aspects sécuritaires liés aux sites web Aspects sécuritaires liés aux sites web tôt ou tard les hackers passeront à travers… même si les protections existent… Le web ligne de front des nouveaux virus polymorphiques utilisation de bug et “root kits” les attaquants de l’intérieur l’ingénérie sociale 15 mai 2003 Agora 2003 15 15 mai 2003 Agora 2003 16 la meilleure façon de se protéger : procéder de la même manière que les pirates 15 mai 2003 Agora 2003 17 Aspects sécuritaires liés aux sites web Aspects sécuritaires liés aux sites web D’où viennent ces vulnérabilités ? La sécurité des serveurs web est difficile car : - la plupart des entreprises changent continuellement la configuration de leurs serveurs web sans tester ces changement point de vue sécurité - la plupart de webmasters ont des droits d'administrateur sur les serveurs web sans expérience dans la sécurité - les serveurs web se sont transformés en de mélanges complexes de logiciels collés à l'aide de codes freeware et shareware, un véritable cauchemar de sécurité. 15 mai 2003 Agora 2003 18 3 est-ce que tout ceci touche le site web de mon entreprise ? commençons par distinguer les types de sites web… 15 mai 2003 Agora 2003 Aspects sécuritaires liés aux sites web Aspects sécuritaires liés aux sites web premier type de site : le site carte de visite 19 « notre site web est une simple présentation virtuelle de notre entreprise » un contenu mis à jour sur base mensuelle voire annuelle, le rapport annuel de l’entreprise, les services proposés… 15 mai 2003 « nous ne vendons « pas encore » sur internet mais l’information sur notre site doit être en permanence à jour pour les internautes » certaines pages sont mises à jour au gré des besoins de l’entreprise et de préférence sans difficulté d’utilisation pour le service communication. 15 mai 2003 Agora 2003 21 « notre site web va nous permettre de vendre directement aux consommateurs » le site web devient vital pour l’entreprise, la plupart des clients vont basculer leur mode de shopping par le site de l’entreprise… moteur de recherche dans le catalogue, possibilité de paiement en ligne via cartes de crédit… 15 mai 2003 15 mai 2003 Agora 2003 23 Agora 2003 22 quatrième type de site : l’extranet Aspects sécuritaires liés aux sites web Aspects sécuritaires liés aux sites web troisième type de site : l’e-commerce Il vaut mieux penser « Payment Service Provider » dès qu’il s’agit de s’occuper de la phase de transaction bancaire 20 troisième type de site : l’e-commerce Aspects sécuritaires liés aux sites web Aspects sécuritaires liés aux sites web deuxième type de site : le site dynamique Agora 2003 « nos partenaires commerciaux ont besoin d’accéder au plus vite à nos données, le web nous paraît la solution… » Souvent lié à un ERP (Enterprise Resource Planning), ce type de site ouvre une partie de votre intranet vers des partenaires privilégiés 15 mai 2003 Agora 2003 24 4 différentes solutions d’hébergement pour votre site web « nous devons partager des informations avec nos employés qu’ils soient à Liège, Namur ou Charleroi… » Répertoire téléphonique, procédures, accès convivial aux bases de données client, gestion du helpdesk, dictionnaires technicocommerciaux, relevé des informations de production… 15 mai 2003 Agora 2003 Aspects sécuritaires liés aux sites web Aspects sécuritaires liés aux sites web cinquième type de site : l’intranet 25 le hosting (colocation) avantages : • pléthore de fournisseurs • coût très réduit inconvénients : • aucune maîtrise de la politique de sécurité (confiance totale en son ISP) • sauvegardes à effectuer régulièrement par soi-même • compromission de confidentialité (plusieurs utilisateurs accèdent au même serveur) • garantie limitée de disponibilité de votre site 15 mai 2003 le housing (mise en place d’un serveur dans un data center) avantages : • une maîtrise de la politique de sécurité modulées selon l’ISP • un service de sauvegarde est souvent proposé • Disaster Recovery Plan (DRP) • Service Level Agreement (SLA) : fiabilité et performances • Compromission de sécurité très réduite (vous êtes seul à bord) • Sécurité du réseau gérée par l’ISP inconvénients : • coût de l’hébergement • coût du hardware • gestion de la sécurité au sein de votre serveur par vos soins • la tentation d’utiliser des solutions non conventionnelles par votre webmaster 15 mai 2003 Agora 2003 l’in-house (mise en place d’un serveur dans votre société) avantages : • une maîtrise complète de la politique de sécurité • une liaison facile avec vos autres serveurs inconvénients : • coût du hardware • coût de la liaison permanente et de l’éventuel SLA • coût de la maîtrise complète de la politique de sécurité : – – – – s’assurer de la sauvegarde des données établir un DRP prennant en compte le serveur web compromission de sécurité (le serveur est accessible aux employés) s’assurer de la sécurité du réseau interne de votre entreprise : il suffit qu’un employé reçoive un virus dans sa messagerie… – mise à jour permanente contre les nouvelles failles • 27 la tentation d’utiliser des solutions non conventionnelles par votre webmaster 15 mai 2003 durabilité « est-ce que le produit proposé est utilisé par beaucoup de sociétés » - transposabilité « si demain je ne suis plus content de mon fournisseur de service, puis je facilement déménager mon site ? » - DRP « si je simule un effacement complet de mon site web, est-ce que mon fournisseur de service sait le restaurer…» - solutions de sauvegarde en ligne « Est-ce que les données sont cryptées ? Puis -je avoir confiance en un tiers ?» - coûts du matériel et des licences « Que coûte le matériel, le système de sauvegarde, les licences de l’operating system » 15 mai 2003 Agora 2003 29 Agora 2003 28 Quelques questions à se poser… Aspects sécuritaires liés aux sites web Aspects sécuritaires liés aux sites web Quelques questions à se poser… - 26 différentes solutions d’hébergement pour votre site web Aspects sécuritaires liés aux sites web Aspects sécuritaires liés aux sites web différentes solutions d’hébergement pour votre site web Agora 2003 - nom de domaine « suis-je bien le propriétaire du nom de domaine societe.com ? » « quand dois-je renouveller mon nom de domaine ? » - e-mail @societe.com « puis-je avoir confiance en mon fournisseur de service internet quant à la confidentialité de ma correspondance ? » - saturation de la bande passante « est-ce que le surf de mes employés ne va pas saturer la liaison de mon site web ? » 15 mai 2003 Agora 2003 30 5 Aspects sécuritaires liés aux sites web plus d’informations ? http://critic.be 15 mai 2003 Agora 2003 31 6