Faille informatique

1. Faille informatique A9 – Protection insuffisante de la couche transport

2. Introduction • Mise en situation : • Un méchant cracker du cegep intercepte les packets de sous-réseau de la classe. • Un étudiant de sa classe fait des transactions sur un site non-sécurisé • Le vilain cracker intercepte ses informations personnelles non-encryptés et les utilise d’une façon très malicieuse!!!

3. Modèle OSI

4. Présentation du problème • Site pas bien sécurisé : • Interception couche transport • Protocoles TCP, UDP • Logiciel WireShark • Lecture du contenu des packets en clair • NAS • # carte crédit • Mot de passe (pire quand compte admin)

5. Environnement affectés • Absence de • Authentification SSL • SSL pour ressources des pages et services privés • Cookies sécurisé (secure flag) • Certificat légitime et correctement configuré

6. Exemple de cas • Aucun SSL : • Surveillance du trafic réseau (avec WireShark) • Observer cookie de session • SSL mal configuré (avertissement certificat) : • Sites sosies peuvent être alors confondus (phishing) • Connexion BD directe (ODBC) • Tout le traffic est en clair

7. Éviter cette faille • SSL pour toutes pages sensibles • Secure flag pour les cookies sensibles • SSL utilisant des algorithmes forts (FIPS 140-2) • Certificat valide, non expiré, correspondant à tous les domaines du site • Connexions back-end chiffrées

8. Éviter cette faille ASP.NET • Interdire les cookies quand pas SSL : <system.web> <httpCookieshttpOnlyCookies="true" requireSSL="true" lockItem="true" /> </system.web>

9. Conclusion • Internet Accessible de Partout • DONC • Important Protéger Contenu • SSL / Cookies sécurisés

10. Références • Document de coup de klaxon (Pouitpouit): • http://coupdeklaxon.ca/wp-content/uploads/2012/12/OWASP-Top-10-2010-French.pdf • Un peu de WIKIPEDIA

11. Auteur Pascal Lamoureux @ paslam.com QUESTION?