Drupal, les hackers, la sécurité & les (très) grands comptes
Transcript of Drupal, les hackers, la sécurité & les (très) grands comptes
DRUPAL, LES HACKERS, LA SéCURITé& LES (TRèS) GRANDS COMPTES
jbguerraz@SKILLD:~$ whoami
● 13 ans d' IP– Vidéo : VOD & Live (Web, Mobiles & Télé)
– Voix & Vidéo sur IP / Télécommunications
– Applications clients/serveurs (Win/Mac/Linux/Mobiles)
– Sites Web
● Dont 6 ans de Drupal● Dir. Tech & Co-fondateur de Skilld
La sEcurité, hier, C'était ...
1ère icône :
la défense gouvernementalemade in US'
<source label="Washington Post" href="http://wapo.st/1wvGybr" />
La sEcurité, hier, C'était ...
2ème icône
Le standard sécurité du paiement par carte bancaire
<source label="Washington Post" href="http://wapo.st/1wvGybr" />
La sEcurité, hier, C'était ...
3èMe icône :
LA NOTRE ! :)
<source label="Presse Citron" href="http://bit.ly/1tORbEo" />
La sEcurité, aujourd'hui, qu'est-ce ?
ᄇ
2 milliards de dollarsde dommagespour Sony
Et ça continue !
<source label="La Tribune" href="http://bit.ly/1xUd8Gq" />
<source label="CNN" href="http://cnnmon.ie/1yDYPFR" />
La sEcurité, aujourd'hui, qu'est-ce ?
40 Millions de numéros de cartes de crédits
70 millions de données personnelles
Et...
5 millions de dollars de DOMMAGES Pour target !
<source label="Silicon.fr" href="http://bit.ly/11mNeRu" />
La sEcurité, aujourd'hui, qu'est-ce ?
20 Millions de numéros de cartes de crédits
40 % de la population sud coréenne
Et...
3 têtes qui s'offrent !
<source label="CNN" href="http://cnnmon.ie/1aob1nw" />
La sEcurité, aujourd'hui, qu'est-ce ?
4.6 million de comptes (numéros de téléphone compris!)
90 000 photos
9 000 vidéos
<source label="The Verge" href="http://bit.ly/1gmPevh" />
La sEcurité, aujourd'hui, qu'est-ce ?
150 million de comptes (N° de cartes de crédits compris)
Code source des produits Adobe« Adobe Acrobat, ColdFusion, ColdFusion Builder and other
Adobe products »
<source label="The Verge" href="http://bit.ly/1pXxJdX" />
La sEcurité, aujourd'hui, qu'est-ce ?
Données personnelles de 4,5 million de PATIENTS
(numéros de sécurité sociale)
<source label="Reuters" href="http://reut.rs/1tkLkcN" />
La sEcurité, aujourd'hui, qu'est-ce ?
PAR Volume PAR Sensibilité
Les plus grosses failles du monde !
<source label="InformationIsBeautiful" href="http://bit.ly/19xscQO" />
La sEcurité, demain, ce sera ?
La sEcurité, demain, ce sera ?
Bulletin de sécurité
https://www.drupal.org/PSA-2014-003
<source label="BBC" href="http://bbc.in/1zm1N5N" />
La sEcurité, demain, ce sera ?
Difficile ?
<source label="Tor Onions" href="%00" />
La sEcurité, demain, ce sera ?
Difficile, vraiment ?
<source label="Mitnick Security" href="http://bit.ly/1oTMb5K" />
Préoccupations des Grands comptes ?
$
Préoccupations des Grands comptes ?
4,8 M€
3,89 M€
+20,5 %
2013
2014
Coût annuel du Cybercrime en France
<source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Préoccupations des Grands comptes ?
Virus, Vers, TrojansMalware
Attaque WebPhishing & Social
Enemi de l'intérieurCode malicieux
Matériel volé(d)DoS
Botnets
0
2
4
6
8
10
12
14
16
18
2013
2014
Répartition du coût du Cybercrime en France par type d'attaque
<source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Préoccupations des Grands comptes ?
Répartition du coût du Cybercrime en France par type d'attaque
Virus, Vers, TrojansMalware
Attaque WebPhishing & Social
Enemi de l'intérieurCode malicieux
Matériel volé(d)DoS
Botnets
0
2
4
6
8
10
12
14
16
18
2013
2014
<source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Préoccupations des Grands comptes ?
Détection Restauration Containment Investigation Ex-post response Incident mngt0
5
10
15
20
25
30
35
40
2013
2014
Répartition du coût du Cybercrime en France par source d'activités
<source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Préoccupations des Grands comptes ?
Détection Restauration Containment Investigation Ex-post response Incident mngt0
5
10
15
20
25
30
35
40
2013
2014
Répartition du coût du Cybercrime en France par source d'activités
<source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Préoccupations des Grands comptes ?
Impact sur la clientèle / la marque ?
Perte de clientèle (%) post-piratage par pays
France : CHAMPIONS du monde !
FR IT UK US JP DE AU ID BZ AB0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
2013
2014
<source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
Comment vendre Drupal ?
Drupal est utilisé par plus de 130 nations ! (sur 197)
<source label="Acquia" href="http://bit.ly/1znS8bX" />
Comment vendre Drupal ?
Comment vendre Drupal ?
Comment vendre Drupal ?
Drupal security Team
Une équipe dédiée à la sécurité, depuis 2005,
composée de 43 personnes
~50% de la taille des équipes
concurrentes ?!
Comment vendre Drupal ?
Drupal security Team
Une capacité de communication et de mobilisation éprouvée
<source label="BBC" href="http://bbc.in/1zm1N5N" />
Comment vendre Drupal ?
La concurrence et la sécurité ?
Java :● Adobe Experience Manager (CQ5)
● HP Autonomy Teamsite● Jive● Lithium
.Net :● Sitecore● SDL Tridion● Ektron CMS
Comment vendre Drupal ?
La concurrence et la sécurité ?
Java :● Adobe Experience Manager (CQ5)
● HP Autonomy Teamsite● Jive● Lithium
.Net :● Sitecore● SDL Tridion● Ektron CMS
<source label="White Hat Sec" href="http://bit.ly/1EIFO98" />
<source label="VentureBeat" href="http://bit.ly/1zMsh0y" /><source label="La Tribune" href="http://bit.ly/113SdW4" />
Comment vendre Drupal ?
La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ?
La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ?
La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ?
La concurrence et la sécurité ? - SiteCore
Comment vendre Drupal ?
La concurrence et la sécurité ? - Adobe Experience Manager (Cq5)
1
Comment vendre Drupal ?
La concurrence et la sécurité ? - Adobe Experience Manager (Cq5)
Comment vendre Drupal ?
Dégager du budget pour renforcer la sécurité ?
OWASp, Kezako ?
Open Web Application Security Project
LA liste des 10 risques les plus CRITIQUES pour les applications web
(mise a jour chaque année !)
aussi, un ensemble :● D'outils
● De méthodes● De conseils
● ...
&
Une communauté !
OWASp, Kezako ?
● A1 – Injection
● A2 – Authentification & Sessions
● A3 – XSS
● A4 – références directes
● A5 – configurations
● A6 – Exposition de données sensibles
● A7 – Contrôle d'accès
● A8 – CSRF
● A9 – Dépendances
● A10 - Redirections
Drupal & Owasp : tu peux pas test !(euh...)
<source label="Drupal Security Report" href="http://bit.ly/1EIGBXI" />
Drupal & Owasp : tu peux pas test !(euh...)
XSS – la réponse Drupal ?
Trop c'est mieux que pas assez !
~
Mettez en « partout » ;)
~
P.S :t('utilisez les @placeholders
pour vos chaînes traductibles');
Drupal & Owasp : tu peux pas test !(euh...)
Access bypass – la réponse Drupal ?
<?phpfunction monmodule_menu() { $items['admin/monmodule/configuration'] = array( 'title' => 'Configuration de MonModule', 'page callback' => 'drupal_get_form', 'page arguments' => array('monmodule_config_form'), 'access arguments' => array('administer monmodule'), ); return $items;}?>
<?phpfunction monmodule_faitletrucquivabien() {… if(user_access('lapermissionquivabien')) { //Ok, faisons donc le truc qui va bien }…}?>
Drupal & Owasp : tu peux pas test !(euh...)
CSRF – la réponse Drupal ?
Les Jetons !
$csrf_token = drupal_get_token() ;
…
if(drupal_valid_token($csrf_token) ){ //Ok, let's do it !}
…
Offert par la form API, sans effort supplémentaire !
ET au besoin, pour le get :
Drupal & Owasp : tu peux pas test !(euh...)
SQL Injection – la réponse Drupal ?
PHP PDO « façon Drupal » : DBTNG
<?phpfunction monmodule_faitletrucquivabien() {… $arguments = array(':name' => $name, ':uid' => $uid); db_select('dbtng_example') ->fields('dbtng_example') ->where('uid = :uid AND name = :name', $arguments) ->execute();…}?>
● Seckit● Paranoia
● Google Authenticator Login● Two Factors Authentication
● Encrypt
● Flood control● Session limit● Auto log out
● Secure login / secure pages
(bien que... HTTPS uniquement !)
● Md5 check MODULES
Recommandez Un ou deux chiens de garde !
Les WAF A la rescousse !
+
=
We have met the enemy !
We have met the enemy !
DorkS
We have met the enemy !
GIThub
DorkS