Please enable JavaScript.
Coggle requires JavaScript to display documents.
Sécurité informatique (DCO 3.5), Lorsqu’on augmente le niveau de sécurité,…
Sécurité informatique (DCO 3.5)
Sécuriser base de données
stocker physiquement dans un endroit sécurisé (dans le cas d'un cloud, le fournisseur se charge du stockage en lieu sûr)
Donner accès aux donnée au minimum de personnes nécéssaires avec le minimum de possibilité nécéssaire
Toujours utiliser la dernière version du système de gestion des bases de données
Garder une trace de toutes les connexions et savoir quelles personnes y ont accédé
enregistrer des mots de passe
Fonctions standard PHP : password_hash
enregistre mot de passe de manière crypté avec un chiffrement fort
Jamais les enregistrer en clair
droit base de donnée mySQL
Permission
Rôles
Risque /vulnérabilité d'une nouvelle installation mySQL
Sécuriser des formulaires
HTMLentites, filter_var avec les filtres Filter_Flag_XXX, Utilisation de la bibliothèque cURL
Créer des utilisateursm Créere des rôles et attribuer des droit au rôles, Crypter les données stockés sensibles, sauvegarder et duppliquer les données
Sécurité des données
Protection de l'intégrité et de la confidentialité des informations stockées : autant au niveau hardware que software
Surface d'attaque : sommes des vulnérabilité
Vulnérabilité = faiblesse dans un système informatique
Conséquence de manque dans la conception, la mise en oeuvre ou l'utilisation du site
Répertorié sur OWASP
CIA : Confidentialité, Intégrité, Disponibilité
Protection des informations contre les personnes non autorisées.
Fiabilité des données
utilisateurs ayant l'autorisation d'accéder aux données puissent le faire chaque fois que c'est nécessaire
Tout toujours rattaché à ces 3 entités
risque : est la probabilité que quelque chose de mauvais arrive. Probabilité qu’une vulnérabilité soit exploitée si elle n’est pas corrigée ou, au moins, sécurisée.
Sécurité des systèmes d'information
C'est l’ensemble des moyens techniques, organisationnels, juridique et humains nécessaires et mis en place pour conserver, rétablir et garantir la sécurité du système d’information
4 catégories d'attaque concernant les données :
Interception
Interruption
Modification
Fabrication
Protection des données
Protection des données recueillie sur internet
Régie par la loi
Protège contre le vol et/ou une mauvaise utilisation
Concerne nos droit concernant nos données
Attaques
XSS (cross site scripting)
injection de données volontairement dans un site web (message sur un forum par exemple) ou par des paramètre URL. Si les données ne sont pas interceptée, on peut s'en servir pour exécuter du code malveillant.
Risques :
La redirection de l'utilisateur
, qui se fait parfois de manière transparente. Le plus souvent dans un but d'hameçonnage.
Vol d'information
Actions sur le site faillible, à l'insu de la victime et sous son identité (
envoi de messages, suppression de données
...)
Rendre la
lecture d'une page difficile
(boucle infinie d'alertes par exemple).
Attaque non permanente (XSS réfléchi)
Technique d'attaque la plus courante
Attaque permanente (XSS stocké)
Protection
Retraiter systématiquement le code HTML produit par l'application avant l'envoi au navigateur
Supprimer l’intégralité du contenu HTML de la saisie dans le formulairegrâce aux striptags
ou neutraliser les caractères formant les balises HTML grâce aux HTMLSPECIALCHARS
PHP : htmlentities() et htmlspecialchars() pour éviter d’interpréter du code JS.
Perme de placer des scripts malveillant dans les pages web par ailleurs digne de confiance qui installent ensuite des logiciel malveillant dans les navigateurs web des utilisateur. Avec le cross site Scripting, les piratent ne ciblent ou ne redirigent pas les utilisateurs directement mais diffusent plutôt leurs logiciels malveillant à de nombreuse personne
Injection SQL
Exploite faille de sécurité d'une application interagissant avec une base données
Permet d'injecter dans la requête SQL en cours, un morceau de requête non prévu par le système
Risque : Vol des données
Solutions
Nettoyage
: nettoyer toutes les données afin de supprimer les chaine de caractère qui pourrait être exécutée sous forme de requête SQL par le système.
Filtrage et validation :
exigence stricte au niveau des données des utilisateur (surtout en matière de format). La longueur et les attribut sont vérifiés avant d'être validé, la présence de code malveillant doit être filtré.
Limitation de la portée des commande SQL :
utiliser des commandes LIMIT dans les opérations SQL, cela permet de limiter la divulgation de donnée en cas d'attaque
utiliser les requêtes préparées
requêtes stockée en mémoire
peut être exécuter à loisir
n'existe que pour la durée de la session qui la crée
Type d'injection SQL : voire doc Kylian et Solange à relire
CSRF (Cross-site request Forgery)/XSRF
vulnérabilité des service d'authentification web
Transmettre à un utilisateur authentifié une requête HTTP falsifiée qui pointe un action interne au site afin qu'il l'exécuté sans en avoir conscience et en utilisant ces droits
Exemple : Supposons qu'Alice soit l'administratrice d'un forum et qu'elle soit connectée à celui-ci par un système de sessions. Malorie est un membre de ce même forum, elle veut supprimer un des messages du forum. Comme elle n'a pas les droits nécessaires avec son compte, elle utilise celui d'Alice grâce à une attaque de type CSRF.
étapes
Malorie arrive à connaitre le lien qui permet de supprimer le message en question.
Malorie envoie un message à Alice contenant une pseudo-image à afficher (qui est en fait un script). L'URL de l'image est le lien vers le script permettant de supprimer le message désiré.
Alice doit avoir une session ouverte dans son navigateur pour le site visé par Malorie. C'est une condition requise pour que l'attaque réussisse de façon silencieuse sans requérir une demande d'authentification qui alerterait Alice. Cette session doit disposer des droits requis pour exécuter la requête destructrice de Malorie. Il n'est pas nécessaire qu'un onglet du navigateur soit ouvert sur le site cible ni même que le navigateur soit démarré. Il suffit que la session soit active.
Alice lit le message de Malorie, son navigateur utilise la session ouverte d'Alice et ne demande pas d'authentification interactive. Il tente de récupérer le contenu de l'image. En faisant cela, le navigateur actionne le lien et supprime le message, il récupère une page web texte comme contenu pour l'image. Ne reconnaissant pas le type d'image associé, il n'affiche pas d'image et Alice ne sait pas que Malorie vient de lui faire supprimer un message contre son gré.
implique un site qui repose sur l'authentification globale d'un utilisateur
envoie des requête http à l'insu de l'utilisateur qui est dupé pour déclencher ces actions
Prévention
demander des confirmations à l'utilisateur pour des actions critiques
Demander une confirmation de l'ancien mot de passe pour le changer
effectuer une vérification du référent dans les pages sensible
un risque en omettant de fermer notre sessions
Moyens de protection
Identification
Répond à la question "qui êtes vous ?", permet d'être reconnu par le système
Authentification
Facteur d'authentification : mémoriel (mot de passe), corporel (Empreinte), matériel (carte à puce), réactionnel
Authentification multifacteur -> base de l'authentification forte
Technologies : Mot de passe à usage unique (OTP), certificat numérique, biométrie.
Authentification forte : au moins 2 facteurs
Bon mot de passe : Long Au moins 12 ou 14 caractère, 4 types de caractère, anonyme, changer régulièrement, différent
Piratage de mot de passe : attaque par dictionnaire, phishing, force brut
Gestionnaire de mot de passe
Répond à la question "êtes vous vraiment cette personne ?", validation de l'identification. Ensembles des méthodes mises en oeuvre afin d’apporter la preuve qu’une identité est correcte.
Autorisation
Controle d'accès basé sur les rôles (RBAC)
Contrôle d'accès basé sur les attributs (ABAC)
Le système accorde certaines autorisation d'accès selon le statut de l'utilisateur
cumule l’identification et l’authentification afin d’accéder à un
service.
Cryptographie
Symétrique
Clé secrète
Asymétrique
Clé publique : clé de chiffrement
librement comuniquée
pour envoyer un message, besoin de clé publique du destinataire
Clé privée : clé de déchiffrement
non communiqueé
Pour lire message, besoin de sa propre clé privée
Voire schéma adrien/morgane
Permet prioritrairement de garantir la confidentialité
Anti-virus
Firewall
ou et quelle configuration
Un firewall sera placé sur le routeur ou du moins juste après dans la mesure où tout le trafic Internet le traverse
Il faudra ensuite créer ou configurer des règles qui détermineront quel type de communication pourra être effectuée depuis le réseau de l'entreprise et quels accès seront disponibles depuis Internet.
Défense en profondeur
Doctrine en Cybersécurité
Contient plusieurs mécanismes de défense : si un mécanisme échoue, un prochain prendra le relai. Multiplie les couches de protection
Augmente la sécurité d'un système dans son ensemble
Protocole HTTP/HTTPS
HTTP : permet de récupérer des ressources comme des documents HTML, A la base de toute échange de données sur le WEB
HTTP+S = protocole http avec couche de sécurité en plus - protocole http encapsulé dans une connexion sécurisée
3 objectifs : Authentification du serveur web, confidentialité des données, intégrité des données
Pour qu’un site puisse utiliser le protocole https,il doit obtenir un certificat SSL (payant) par un organisme reconnu par les navigateurs WEB.
Certificat SSL (Secure Socket Layer) : chiffre les données pendant leur transport entre le navigateur et le serveur. /TSL (Transporte Security Layer) : même fonction, une nouvelle version qui est généralement utilisée aujourd’hui.
par ex : sécurise les communication avec les clients d'un site web
lorsque je visite un site web, mon naviguateur consulte les sources de certificats que mon ordinateur possèdent et peut ainsi vérifier la validité du certificat présenté par le site web
Si mon Pc n'est pas à la bonne heure ou date, il se peut que mon navigateur n'accepte pas de m'afficher les pages web d'un site muni d'un certificat
a une date limite
C'est un protocole de type client-serveur - requêtes initiées par le destinataire
Bon mot de passe :
caractéristques
Unique.
• Long.
• Diversifié.
• Différent pour chaque système ou site.
• Utiliser des lettres, des chiffres et des caractères spéciaux.
• Transformer une phrase en mot de passe, par exemple : « Jaim3B3aucoupL3Chocol
t!:-S
»
Gestion mot de passe : Un générateur de mot de passe et un gestionnaire de mot de passe intégré comme celui d’Apple ou KeyPass, DashLane, LastPass.
Conditons pour que la sécurité IT soit mise en place et appliquée dans l'entreprise
Elle doit soutenir les objectifs et la mission de l’entreprise
Fait partie intégrale du management de l’entreprise (CSO)
Elle doit être rentable
Les rôles et responsabilités doivent être clairement établis et connus
Les propriétaires de système sont responsables de la sécurité même en dehors de leurs organisations
Elle exige une approche globale et intégrée
Elle doit être réévaluée périodiquement (au maximum tous les 18 mois)
Elle doit s’adapter à la culture de l’organisation
Signes système non sécurisé:
Patchs de sécurité non appliqué
Mots de passe faibles
Installation de programme depuis Internet
Pas d’anti-virus
Possibilité d’ouvrir des pièces jointes reçues sans contrôle
Utiliser un réseau sans fil non sécurisé.
Controle administratif : gèrent les règles de comportement des utilisateurs
Lorsqu’on augmente le niveau de sécurité, le niveau de productivité diminue
La facilité d'utilisation ou les fonctionnalité dimunent
Utiliser un services externe pour les paiements