Support de présentation de la conférence du 17 Novembre 2009, organisée chez Microsoft et animée par Blue acacia, portant sur les best practices en matière de sécurité sur le développement et l’hébergement de sites Internet.

1. ALEXANDRE NEY, Emilien TREHET et FRANCOIS SUTTER LA SECURITE SUR LE WEBBest Practice en matière de sécurité de sites web

2. Sommaire Introduction 1 04 Leçon numéro 1 : Sensibiliser ses équipes 2 06 Leçon numéro 2 : Sécuriser les URL 3 08 Leçon numéro 3 : Protéger les formulaires génériques des attaques JavaScript 4 10 Leçon numéro 4 : Verrouiller les formulaires d’identification 5 16 Leçon numéro 5 : Contrôler son CMS 6 21 Leçon numéro 6 : Protéger ses bases de données 7 24 Leçon numéro 7 : Sécuriser ses passerelles 8 26 Leçon numéro 8 : Protéger ses serveurs d’hébergement 9 30 Leçon numéro 9 : Protéger son réseau local 10 33 Fin 11 37 BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 3

4. Croissance organique (de 33 personnes en 2008 à 54 personnes actuellement),

5. Un parc serveur important (40 machines dédiées) / Plus de 2.000 urls hébergées,

8. Langages (.Net)

10. LECON NUMERO 1 : Sensibiliser ses équipes

13. Méthode de développement (MVC)

16. Exemple : http://www.aeroclub-st-tropez.com/aeroclub_st_tropez.asp?langue=fr&rubrique=1&id=8 and true

17. LECON NUMERO 3 : Protéger les formulaires génériques des attaques JavaScript

21. Contrôle de caractères interdits via une liste d’expressions surveillées (%, script, drop table, …) pour éviter l’injection SQL.

23. Envoi d’une alerte e-mail à l’administrateur du site et au responsable sécurité de Blue acacia,

25. LECON NUMERO 3 / Exemples de scripts BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 15 1) DEFINITION D’UNE LISTE DE CARACTERE INTERDITS (script, nvarchar, drop table, …) 2) CONTRÔLE SUR LEUR SYNTAXE (ascii, base 64, binaire, avec et sans espace, …) 3) ENCODAGE DES CARACTERES EN BASE DE DONNEES 4) RECUPERATION DE L’ADRESSE IP (même masquée derrière un proxy)

30. LECON NUMERO 4 : Verrouiller les formulaires d’identification

35. Privilégier une url complexe, un alias ou une authentification forte.

38. Proposer du reset de mot de passe plutôt que de l’envoi par mail.

39. Stocker les adresse IP des personnes identifiées et prévoir un système de surveillance et d’alertes.

42. LECON NUMERO 5 : Contrôler son CMS

44. LECON NUMERO 5 / Contrôler son CMS BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 25 AUDITER LE CODE DU CMS METTRE DES SESSIONS SECURISES SUR TOUTES LES PAGES D’UN CMS 3) VERIFIER QUE LE CMS N’OUTREPASSE PAS LES DROITS SERVEURS (Navigation anonyme, arborescence libre, upload d’exécutables)

45. LECON NUMERO 6 : Protéger ses bases de données

48. Vérification de l’emplacement de stockage des répertoires des dump. Un hébergeur très connu stocke ses dump MySQL sur un même répertoire intitulé /code&sql/ Le répertoire est accessible en navigation anonyme et que la syntaxe du dump est identique.

49. LECON NUMERO 6 / Protéger ses bases de données BLUE ACACIA - Conférence Microsoft Web et Ateliers pratiques - Session sur la sécurité - Indice A 28 A la différence de MySQL, SQL server ne peut pas être accédé depuis le port 80 avec un simple navigateur. Il faut une couche logicielle (SQL Server Management Studio) ou un connecteur Access. Toute connexion laisse donc des traces.

50. LECON NUMERO 7 : Sécuriser ses passerelles

52. Recherche de la passerelle amfphpdans le code extrait

53. Accès direct à la passerelle via le navigateur

55. Accès aux newsletters envoyées

56. Accès aux répertoire images

57. Accès aux fichiers XML de chaque utilisateurs …

58. Plus embêtant : accès à la liste des inscrits de la base (nom, login, e-mail, mot de passe, …)

59. accès aux sessions (avec la possibilité de créer une session par exemple …)

60. Accès au code source avec la possibilité d’ « overwrite files ». On peut par exemple, directement modifier le code source de la page PHP qui ouvre les sessions des utilisateurs inscrits et sauvegarder les modifications de la page php : ce qui ferait planter le système d’authentification.

62. Vider la mémoire cache

63. Utiliser un logiciel permettant d’unlocker le cache du navigateur utilisé

64. Lancer en ligne l’écoute d’un fichier

65. Récupérer et copier le fichier « plugtmp.php »

67. Vider la mémoire cache

68. Utiliser un logiciel permettant d’unlocker le cache du navigateur utilisé

69. Lancer en ligne l’écoute d’un fichier

71. Utiliser de l’authentification sécurisée (le FMS récupère l’id de la session, la transmet au serveur qui vérifie son existence et donne en retour une nouvelle clé unique au FMS qui la diffuse à son tour au client).

73. LECON NUMERO 8 : Protéger ses serveurs d’hébergement

75. Blocage des ports

76. Hébergement normal : blocage de tous les ports sauf le port 80 (web)

77. Hébergement SSL : blocage de tous les ports sauf les ports 80 (web) et 443 (SSL)

78. Messagerie : blocage de tous les ports sauf le smtp

80. Protection contre la manipulation des variables dans l’URL

82. Protection disques dur (Raid) : Protection électrique, Double alimentation, Matériel auto protégé.

83. Protection thermique.

84. Paramétrage

85. Bios protégé par mot de passe / Interdiction de boot sur cédérom et USB.

86. Compte administrateur par défaut désactivé (surveillé par l’IDS).

87. Réseau étanche

90. Firewall (Solution PFsense).

91. Filtrage des url (Solution Microsoft : Internet Security & Acceleration Server).

92. Antivirus (Solution Kaspersky).

93. Wifi

94. Avant : SSID masqué par brouilleur.

95. Maintenant : réglage de la portée par orientation de la diffusion et de la puissance du signal.

96. Clé WPA 2.

97. RJ45 : Seule chose autorisée : accès au web (Si client en visite : réseau web étanche à part).

98. VPN (Solution Microsoft)

99. Groupe direction (3 associés et directeur technique) : accès permanent.

101. Organisation par services et métiers (direction, commercial, réseaux, …).

103. Migration progressive vers Windows Seven.

104. Actuellement 31 postes sur les 61.

105. Migration totale avant la fin de l’année.

106. Antivirus (Solution Kaspersky)

107. Serveurs

108. Usage interne (Intranet, Comptabilité, …) : Mot de passe changé tous les mois (15 caractères complexes).

110. Disques cryptés avec un mot de passe (Solution Microsoft : Windows BitLocker).

111. Désactivation du stockage de masse USB (interdiction des périphériques USB).

112. Politique cédérom : Si cd d’installation : pas de pb car aucun droits / Si cd de contenu : autorisé.

113. Mots de passe : Min 7 caractères (alpha/numériques/spéciaux) / Obligation de changer tous les mois.

114. Méthode de travail

115. VSS pour les sites .Net (Solution Microsoft : Visual SourceSafe).

116. SVN pour les sites Flash et Php (Solution Subversion).

117. FTP : non accessible de l’extérieur (sauf demande du client).

118. Données backupées (Solution Microsoft : System Center Data Protection Manager 2007 SP1)

119. Retour arrière possible sur 2 semaines.