Soutenance mémoire
Télécharger le fichier pdf d’un mémoire de fin d’études
Cryptologie
« La cryptologie est à la fois une science et une technologie. Science, dont les principes les plus récents sont encore l’occasion de nouvelles découvertes. Technologie, utile et néces-saire dans l’industrie de la sécurité et pour tous ceux qui veulent protéger leur information.
Si le but traditionnel de la cryptographie est d’élaborer des méthodes permettant de transmettre des données de manière confidentielle, la cryptographie moderne s’attaque plus généralement aux problèmes de sécurité des communications.
La cryptologie comporte deux branches la cryptographie et la cryptanalyse.
– Cryptographie : traditionnellement c’est l’étude des méthodes permettant de transmettre des données de manière confidentielle. Afin de protéger un message, on lui applique une transformation qui le rend incompréhensible ; c’est ce qu’on appelle le chiffrement, qui, à partir d’un texte clair donne un texte chiffré ou cryptogramme.
Inversement le déchiffrement est l’action qui permet de reconstruire le texte clair à partir du texte chiffré.
Dans la cryptographie moderne, les transformations en question sont des fonctions mathématiques, appelées algorithmes cryptographiques, qui dépendent d’un paramètre appelé clé.
– Cryptanalyse : à l’inverse, c’est l’étude des procédés cryptographiques dans le but de trouver des faiblesses et, en particulier, de pouvoir décrypter des textes chiffrés. Le décryptement est l’action consistant à retrouver le texte en clair sans connaitre la clé de déchiffrement.
Objectifs de sécurité
La cryptologie couvre couramment quatre grandes fonctions de sécurité :
– Confidentialité : il s’agit de garantir le secret de l’information transmise ou archivée. En général, on utilise le chiffrement au moyen d’une clé symétrique.
– Authentification (L’identification) : il s’agit de garantir l’origine d’une information. En général, on utilise la signature numérique avec un couple de clés dont celle permettant de créer
les signatures est gardée secrète, et dont l’autre permettant de vérifier la signature est rendue publique. Le courrier électronique, un bon de commande transmis en ligne, un acte administratif peuvent être signes pour prouver leur origine et engager le signataire, à l’identique d’un paraphe sur le papier.
– L’identification : il s’agit de garantir l’identité et la qualité d’une personne qui souhaite accéder à des informations ou à des ressources matérielles.
En général, on utilise le contrôle d’accès par mot de passe. Pour consulter son courrier élec-tronique, pour se connecter à un ordinateur distant, ou pour entrer dans un lieu protège, on peut ainsi s’assurer de l’identité du demandeur.
– Intégrité : il s’agit de garantir l’intégrité, c’est-à-dire l’absence de modification d’un message ou d’un document. On peut utiliser la signature numérique sous sa forme symétrique ou asymétrique, ou encore le chiffrement.
Il est particulièrement important que, dans toute négociation et accord contractuel, on puisse vérifier qu’aucune modification du document électronique n’a été faite.
– Non-répudiation : il s’agit de garantir qu’aucun des partenaires d’une transaction ne pourra nier d’y avoir participée. » 9
Le concept de supervision de la sécurité
Qu’est-ce qu’un SIEM et pour quoi?
Selon IBM10, on peut définir un SIEM comme suit :
« En cybersécurité, SIEM (Security Information and Event Management) ou gestion des informations et des événements de sécurité est considérée comme une série de technologies chargées de fournir l’analyse, l’atténuation des menaces et la journalisation des événements de sécurité sur un réseau déterminé. Un SIEM fournit une vue générale de toutes les infrastructures, avec des données spécifiques sur les événements de sécurité, et l’atténuation de ces infrastructures. » La (Figure 2) montre l’un des plus important avantage d’un SIEM, la vue globale qui nous permet d’assurer une meilleure analyses des incidents cybersécurité.
Un SIEM combine deux outil de supervision de la sécurité. Le SIM (Security Informa-tion Management) et le SEM (Security Event Management). Le SEM couvre la première partie, cette partie permet de collecter les fichiers de journalisation ou le trafic réseau de plusieurs source (Serveur, IDS/IPS, Firewall, terminaux). Le SIM couvre la deuxième partie, cette partie permet l’analyse des données traitées par le SEM. (Tableau1) résume l’anatomie d’un SIEM.
Après que nous avons défini qu’est-ce qu’un SIEM, pour quoi alors les entreprises ou les institutions utilisent le SIEM ?
1- Le SIEM et l’outille principale d’un SOC, il peut fournir une vue générale de toutes les infrastructures en temps presque réel. Cette vue va permettre une détection plus rapide à des cyberattaques.
2- La conformité avec les standards comme le PCI DSS, HIPPA, FEERPA, GDPR et autres. 3- Autre utilisation : Pour assurer une meilleure maintenance des applications l’équipe de DevOps peut tracer à travers les logs ou des évènement, des incidents de sécurité les sources des problèmes et les réparer le plus rapidement possible.
Comment sécuriser ?
« Les SIEM utilisent des étapes de récupération, analyse et gestion de l’information, ce sont la collecte, la normalisation, l’agrégation, la corrélation, le reporting et la réponse.
Les équipements et logiciels de sécurité sont nombreux dans un système d’information, ils gèrent généralement de façon indépendante des informations de sécurité dites « locales ». Le principe de l’étape de collecte est de fournir au SIEM des données à traiter. Ces données peuvent être de nature diverse en fonction de l’équipement ou du logiciel, mais aussi être en-voyées de manières tout à fait différentes. On distingue deux modes de fonctionnement :
–Mode actif : Le SIEM possède un ou plusieurs agents déployés sur les équipements à super-viser. Ces agents ont pour fonction de récupérer les informations des équipements et logiciels de sécurité et de les envoyer au SIEM. Un élément de sécurité qui a été conçu nativement pour être un agent du SIEM est appelé une sonde.
–Mode passif : Le SIEM est en écoute directe sur les équipements à superviser. Pour cette méthode, c’est l’équipement ou le logiciel qui envoie des informations sans intermédiaire au SIEM. Les informations collectées viennent d’équipements et logiciels hétérogènes ayant pour la plupart leurs propres moyens de formater les données. Cette étape permet d’uniformiser les informations selon un format unique pour faciliter le traitement par le SIEM. Des formats ont été mis au point par IETF pour structurer les informations de sécurité et pouvoir les échanger et les traiter plus facilement, ce sont :
–IDMEF (Intrusion Detection Message Exchange Format) : C’est un standard, défini dans la RFC 4765, permettant l’interopérabilité entre les systèmes commerciaux, open-source et de recherche. Il est basé sur le format XML et est un format conçu pour définir les évènements et des alertes de sécurité. Il est également adapté pour le stockage en base de données, l’affichage et la gestion des informations.
Le format IDMEF permet de décrire les évènements de sécurité et Heartbeat. Selon un modèle hiérarchique, les évènements de sécurité sont décrits avec les sources et cibles des attaques mais aussi la sonde correspondante ainsi que les différents temps de création et de détection.
–IODEF (Incident Object Description and Exchange Format) : C’est un standard, défini dans la RFC 5070, représentant les informations de sécurité échangées entre les équipes CSIRTs (Computer Security Incident Response Teams). Il est basé sur le format XML et est un format conçu pour transmettre des incidents de sécurité entre les domaines administratifs et les parties qui ont une responsabilité opérationnelle. Ce modèle de données encode l’information des hôtes, des réseaux, des services.
Le format IDMEF est utilisé juste après la collecte, il permet ainsi aux informations normali-sées en évènements de sécurité d’être agrégées, corrélées, stockées en base de données et affi-chées.
L’agrégation est le premier traitement des évènements de sécurité. Il consiste en un regroupement d’évènements de sécurité selon certains critères. Ces critères sont généralement définis via des règles appelées règles d’agrégation et s’appliquent à des évènements ayant des similarités. Le rôle principal de l’agrégation est de réduire le nombre d’évènements en asso-ciant un « poids » à ceux-ci. Ainsi un regroupement de trois évènements de sécurité selon un critère défini sera un seul évènement avec un poids de trois. Cela facilite notamment le traite-ment de l’étape de corrélation, qui gère alors non plus des évènements individuels, mais des groupes d’évènements.
Corrélation
La corrélation correspond à l’analyse d’évènements selon certains critères. Ces critères sont généralement définis via des règles appelées règles de corrélation. Le but de cette étape est d’établir des relations entre évènements, pour ensuite pouvoir créer des alertes de corréla-tions, des incidents de sécurités, des rapports d’activité…
La corrélation se différencie sur plusieurs points:
–Auto-apprentissage et connaissances rapportées: Pour pouvoir fonctionner, les moteurs de corrélation ont besoin d’informations sur les systèmes et réseaux de l’infrastructure. Ces informations peuvent être collectées automatiquement et/ou saisies manuellement par un opé-rateur.
–Temps réel et données retardées : Dans certains cas, les évènements bruts sont forgés et envoyés directement pour être corrélés en temps réel. Dans d’autres cas, les évènements sont d’abord stockés, et envoyés après un premier traitement (ex : agrégation), leur envoi peut être alors conditionné.
–Corrélation active et passive : La corrélation active a la possibilité de compléter les évène-ments reçus en recueillant des informations supplémentaires pour prendre des décisions. La corrélation passive est une corrélation qui ne peut pas interagir avec son environnement, elle reçoit des évènements et prend des décisions.
La « cross- correlation » est une corrélation capable d’associer et de prioriser les évènements de sécurité reçus, mais aussi d’autres informations (scanners de vulnérabilité, NMS…). C’est une corrélation active élargie à de nombreux outils.
Gestion des alertes
Il y a plusieurs façons pour un SIEM de gérer des alertes, plusieurs d’entre elles peuvent être utilisés simultanément :
–Le « reporting » : les rapports générés contiennent à la fois une synthèse des alertes et une vue d’ensemble de la sécurité du système à un instant T (statistiques, intrusions, vulnérabilités exploitées, classification des attaques) .
–Le stockage : les alertes, incidents et rapports peuvent être stockés dans des bases de données pour pouvoir être analysés ultérieurement par des moteurs de corrélation.
–La réponse : les mécanismes de réponse aux alertes doivent permettre de stopper une attaque ou de limiter ses effets de façon automatique. La réponse à une intrusion dépend de la politique de sécurité. »
Le Principe de CSIRT
« Un CERT (Computer Emergency Response Team) ou CSIRT (Computer security incident response team) est un groupe responsable à la réaction aux attaques ou incidents de sécurité informatique.
Il en existe divers types. Un CSIRT interne fait partie d’un organisme parent, tel qu’une administration, une entreprise, une université ou un réseau de recherche. Les CSIRT nationaux (un type de CSIRT interne), par exemple, supervisent le traitement des incidents à l’échelle de tout un pays. En général, les CSIRT internes se réunissent à intervalles réguliers au cours de l’année pour réaliser des tâches proactives, telles que des tests de reprise après désastre. Ils peuvent aussi se rassembler selon les besoins en cas d’atteinte à la sécurité. Les CSIRT externes fournissent des services payants de façon régulière ou ponctuelle.
Le CERT (Computer Emergency Readiness Team) dresse la liste des rôles suivants parmi les attributions des membres d’un CSIRT :
Directeur ou chef d’équipe.
Directeurs adjoints, superviseurs ou responsables de groupe.
Personnel de la hotline, du service d’assistance ou chargé du tri. Gestionnaires d’incidents.
Gestionnaires de vulnérabilité.
Personnel d’analyse des artefacts. Spécialiste de plateformes.
Formateurs.
Veille technologique.
Les services spécifiques fournis varient selon le CSIRT. Un incident de sécurité infor-matique peut impliquer une violation réelle ou présumée, ou bien l’acte consistant à provoquer volontairement une faille ou une violation. Les incidents les plus courants sont l’introduction de virus ou de vers dans un réseau, les attaques par déni de service (DoS, Denial of Service), la modification non autorisée de logiciels ou matériels et l’usurpation d’identité de personnes ou d’institutions. Le piratage peut être considéré comme un incident de sécurité, sauf si ses auteurs ont été volontairement embauchés dans le but précis de tester un ordinateur ou un ré-seau afin de détecter ses éventuelles failles. (Dans ce cas, les pirates peuvent appartenir au CSIRT et jouer un rôle préventif.) Les CSIRT peuvent proposer des services proactifs, tels que la formation des utilisateurs à la sécurité, en plus de répondre aux incidents.
Le temps de réponse est un facteur essentiel dans la constitution, la gestion et le dé-ploiement d’un CSIRT performant. En effet, une réaction rapide, bien ciblée et efficace peut réduire les dommages financiers, matériels et logiciels provoqués par un incident donné. Une autre considération importante porte sur la capacité du CSIRT à rechercher les responsables d’un incident afin de les mettre hors d’état de nuire et de les poursuivre en justice. Enfin, un troisième aspect concerne le « renforcement » des logiciels et de l’infrastructure dans le but de réduire le nombre d’incidents susceptibles de se produire à long terme.
Les CSIRT peuvent être désignés par d’autres appellations : CIRC (Computer Incident Response Capability), CIRT (Computer Incident Response Team), IRC (Incident Response Center ou Incident Response Capability), IRT (Incident Response Team), SERT (Security Emergency Response Team) et SIRT (Security Incident Response Team). Les CSIRT internes utilisent souvent l’un de ces sigles avec un identifiant. Ainsi, le CSIRT national français, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, s’appelle le CERT-FR. »14
Les cyber pirates agissent selon un plan précis
Les attaques internes sont généralement exécutées en plusieurs étapes. Tout d’abord, une approche par phishing ou autre stratagème d’ingénierie sociale, permettant de récupérer un compte à droits limités. Ensuite, ces privilèges sont étendus via une collecte de mots de passe ou de hachage de mots de passe, et d’autres informations d’authentification.
La technique Pass-the-hashest alors utilisée pour se déplacer sur le réseau et accéder aux différents systèmes. Enfin, les données cibles ou autres ressources sont localisées et compromises.
Quelle que soit l’origine et l’intentionnalité de la compromission, se protéger contre les menaces internes nécessite de développer une véritable culture de la cybersécurité en interne, afin que les collaborateurs prennent conscience des risques et adoptent les bons réflexes (complexité et modification régulière des mots de passe, utilisation ou non du Cloud public, etc.)
Mais l’application du principe du moindre privilège (droits d’un utilisateur strictement limités aux besoins de son travail) reste essentielle afin de contenir au maximum les risques suite à la compromission d’un compte utilisateur : moins ce dernier aura de droits, moins l’attaque sera efficace. »15
Les Menaces externes
« Si les motivations à l’origine des cyberattaques sont extrêmement variables, leur impact s’avère souvent paralysant pour les entreprises, leurs clients ou même la société. En effet, nous avons récemment observé des attaques contre des infrastructures publiques vitales comme les hôpitaux et les aéroports.
Quelques types de menaces de cybersécurité restent omniprésents :
Ingénierie sociale
Exploiter les gens par le biais de l’ingénierie sociale comme les campagnes de phishing permet de pénétrer plus facilement dans un réseau bien protégé. L’analyse, les réponses et les rapports sur les violations peuvent prendre du temps pour n’importe quelle équipe de sécurité.
Dénis de service (DoS)
Ces cyberattaques se produisent lorsqu’un pirate inonde un site Web avec plus de trafic que le site ne peut en gérer. Les temps d’arrêt de l’activité sont désastreux. Ils peuvent nuire à la stabilité financière comme à la réputation de votre commerce. LogPoint vous aide à identifier les attaques destinées à compromettre la disponibilité de votre réseau et de votre système et générant un niveau d’activité extrêmement élevé.
Logiciels malveillants
Parmi les menaces de cybersécurité les plus courantes, les malwares sont les multiples formes de logiciels nuisibles qui s’exécutent lorsqu’un utilisateur les télécharge par erreur. LogPoint vous donne un aperçu des compromissions potentielles en surveillant la santé de vos systèmes via des scans d’intégrité et de vulnérabilité, des pare-feu et le suivi des accès aux ressources.
Abus de privilège
Les comptes à privilège peuvent être compromis lorsque les informations d’identification sont mal utilisées ou utilisées plusieurs fois. Que faire si la menace vient de l’intérieur même de l’entreprise ? La capacité à détecter les mouvements latéraux et les comportements suspects ou anormaux du réseau avant l’exfiltration peut être un moyen de défense contre une menace interne. LogPoint utilise l’analyse comportementale des utilisateurs et des entités (UEBA) et des schémas de conformité exhaustifs pour surveiller et détecter les fraudes survenant dans les applications d’entreprise, en incluant Account Directory et les services basés sur le cloud, tels qu’Azure, AWS et Salesforce.
Les attaques des applications Web
Les organisations financières privilégient rarement la sécurité des applications. Or, les applications comme SAP, Oracle et Microsoft sont souvent la cible d’attaques. Si vous êtes dans ce cas, il est grand temps d’y remédier.
Cyber-espionnage
Être capable de détecter une activité suspecte autour d’informations sensibles ou confidentielles est la première étape pour sécuriser votre infrastructure contre l’exfiltration de données.
LogPoint surveille l’infrastructure de votre entreprise en observant les comportements autour des applications d’entreprise telles que SAP et Oracle qui stockent souvent des informations clés, sujettes au sabotage et à l’espionnage.
Erreurs humaines
Les violations de données involontaires sont courantes dans le secteur de la santé, et par là même, la possibilité de laisser les données sensibles de votre patient largement ouvertes au public. De simples erreurs d’employés peuvent devenir des incidents coûteux qui nuiront aux finances et à la réputation de votre organisation.
LogPoint surveille les accès au réseau, les changements de politique, l’activité du système de fichiers et l’accès aux fichiers pour vous aider à identifier les erreurs de configuration, d’exécution et de suppression.
Menaces persistantes avancées (APT)
Les menaces persistantes avancées (APT) sont notoirement difficiles à tracer. Il est donc préférable d’éviter les coûts croissants découlant d’une compromission, en examinant les écarts par rapport à la norme.
Ransomwares
Les ransomwares ou rançongiciels sont une menace croissante de nos jours, en particulier dans le domaine de la santé. Dans la lutte contre les rançongiciels, la planification et la prévoyance sont déterminantes pour limiter l’impact et rétablir rapidement l’activité avec un minimum de perturbations. L’un des aspects les plus importants est le temps de détection. Plus un rançongiciel est actif longtemps dans une entreprise, plus l’impact et le coût de récupération sont importants.»16
Les Cyberattaques les plus répandus
« Chaque année, OWASP17 publie un classement qui identifie les vulnérabilités de sé-curité les plus critiques. OWASP fournit un nombre considérable de ressources gratuites dé-diées à l’amélioration de la sécurité des applications des organisations. L’un de leurs projets les plus connus est le projet OWASP Top 10, qui fournit des orientations consensuelles sur les dix risques les plus importants en matière de sécurité des applications.
INJECTION SQL
Les défauts d’injection résultent d’une défaillance classique du filtrage des entrées non fiables. Cela peut arriver lorsque vous transmettez des données non filtrées au serveur SQL (injection SQL), au navigateur (XSS) – nous en reparlerons au serveur LDAP (injection LDAP) ou ailleurs. Le problème ici est que l’attaquant peut injecter des commandes à ces entités, ce qui entraîne une perte de données et le piratage des navigateurs des clients.
AUTHENTIFICATION BRISÉE
Les fonctions d’application liées à l’authentification et à la gestion de session ne sont souvent pas implémentées correctement, ce qui permet aux attaquants de compromettre les mots de passe, les clés ou les jetons de session, ou d’exploiter d’autres vulnérabilités d’implémentation pour prendre pour acquis l’identité d’autres utilisateurs.
En d’autres termes, un attaquant peut obtenir un accès non autorisé aux données d’un utilisateur en raison de failles dans la mise en œuvre. Avant d’exploiter cette vulnérabilité, vous devez connaître quelques concepts:
Pourquoi avons-nous besoin d’une session et qu’est-ce qu’une session?
Qu’est-ce qu’un cookie?
Qu’est-ce que l’authentification?
EXPOSITION DE DONNÉES SENSIBLES
Cette vulnérabilité permet à un attaquant d’accéder à des données sensibles telles que des cartes de crédit, des identifiants fiscaux, des identifiants d’authentification, etc. pour commettre une fraude sur une carte de crédit, un vol d’identité ou tout autre crime. La perte de telles données peut avoir un impact important sur l’entreprise et nuire à sa réputation. Les données sensibles méritent une protection supplémentaire, telles que le cryptage à l’arrêt ou en transit, ainsi que des précautions spéciales en cas d’échange avec le navigateur.
ENTITÉS EXTERNES XML (XXE)
Entité externe XML (XXE) fait référence à un type spécifique de Contrefaçon de demande côté serveur (SSRF) attaque, par laquelle un attaquant peut provoquer un déni de service et accéder à des fichiers et services locaux ou distants en abusant d’une fonctionnalité largement disponible et rarement utilisée dans les analyseurs syntaxiques XML.
XML est un format de données très utilisé que l’on trouve dans tout, des services Web (XML-RPC, SOAP, REST, etc.) aux documents (XML, HTML, DOCX) et aux fichiers d’image (SVG, données EXIF, etc.) qui utilisent XML. Naturellement, là où il y a XML, il y a un analyseur XML – tenez compte de cette pensée, nous y reviendrons bientôt.
Contrôle d’accès cassé
Le contrôle d’accès applique une stratégie empêchant les utilisateurs d’agir en dehors des autorisations prévues. Les défaillances conduisent généralement à la divulgation non autorisée d’informations, à la modification ou à la destruction de toutes les données, ou à l’exécution d’une fonction commerciale en dehors des limites de l’utilisateur. Les vulnérabilités courantes du contrôle d’accès incluent:
Contournement des contrôles de contrôle d’accès en modifiant l’URL, l’état de l’application interne ou la page HTML, ou simplement en utilisant un outil d’attaque d’API personnalisé
Permettant de changer la clé primaire en un autre enregistrement d’utili-sateur, permettant d’afficher ou de modifier le compte de quelqu’un d’autre.
Élévation de privilège. Agir en tant qu’utilisateur sans être connecté ou en tant qu’administrateur lorsqu’il est connecté en tant qu’utilisateur.
Manipulation de métadonnées, telle que la relecture ou l’altération d’un jeton de contrôle d’accès JSON Web Token (JWT) ou d’un cookie ou d’un champ mas-qué manipulé pour élever des privilèges ou abuser de l’invalidation de JWT
Une mauvaise configuration de CORS autorise un accès non autorisé à l’API.
Forcer l’accès aux pages authentifiées en tant qu’utilisateur non authen-tifié ou aux pages privilégiées en tant qu’utilisateur standard. Accéder à l’API avec des contrôles d’accès manquants pour POST, PUT et DELETE.
Mauvaises configurations de sécurité
Sécurité Une mauvaise configuration survient lorsque les paramètres de sécurité sont définis, mis en œuvre et conservés par défaut. Une bonne sécurité nécessite une configuration sécurisée définie et déployée pour l’application, le serveur Web, le serveur de base de données et la plate-forme. Il est également important que le logiciel soit à jour.
Mauvaise configuration du serveur ou de l’application Web entraînant diverses failles:
Débogage activé.
Autorisations de dossier incorrectes.
Utilisation de comptes ou de mots de passe par défaut.
Pages de configuration / configuration activées.
Toutes vos données pourraient être volées ou modifiées lentement au fil du temps.
Les architectures de sécurité des applications actuelles ne suivent pas la sécurité par défaut. Au contraire, les programmeurs doivent appliquer des mesures de sécurité pour éviter l’accès à des ressources privées ou confidentielles. Owasp top 10 liste (sécurité des applications web ouvertes) : Mauvaises configurations de sécurité
Cross-Site Scripting (XSS)
Le script intersite (XSS) est un code côté client attaque par injection. Un attaquant vise à exécuter des scripts malveillants dans un navigateur Web de la victime en incluant un code malveillant dans une page Web ou une application Web légitimes. L’attaque réelle se produit lorsque la victime visite la page Web ou l’application Web qui exécute le code malveillant. La page Web ou l’application Web devient un moyen de transmettre le script malveillant au navigateur de l’utilisateur. Les véhicules vulnérables couramment utilisés pour les attaques de script intersite sont les forums, les forums de discussion et les pages Web autorisant les commentaires.
Une page Web ou une application Web est vulnérable au XSS si elle utilise une entrée utilisateur non authentifiée dans la sortie générée. Cette entrée utilisateur doit ensuite être analysée par le navigateur de la victime. Les attaques XSS sont possibles dans VBScript, ActiveX, Flash et même CSS. Cependant, ils sont plus courants en JavaScript, principalement parce que JavaScript est fondamental pour la plupart des expériences de navigation.
Désérialisation non sécurisée
La plupart des risques critiques pour la sécurité des applications Web sont Désérialisation non sécurisée. Cette vulnérabilité se produit lorsque des données non fiables sont utilisées pour abuser de la logique d’une application ou d’une interface de programme d’application (API).
Par exemple, un attaquant peut rechercher un objet ou une structure de données dans l’intention de le manipuler à des fins malveillantes. OWASP a répertorié les types d’attaques principaux en tant qu’attaques par déni de service (DoS), contournements de l’authentification et attaques d’exécution de code / commande à distance, dans le cadre desquels les attaquants manipulent du code arbitraire lors de sa désérialisation.
Pour bien comprendre la désérialisation non sécurisée, nous devons comprendre ce que sont en premier lieu la sérialisation et la désérialisation. Ce blog expliquera ce qu’il en est en détail, ce que signifie une désérialisation non sécurisée, son impact sur les applications et les meilleures pratiques pour l’empêcher. Nous aborderons ensuite quelques solutions pour prévenir la désérialisation non sécurisée.
Utilisation de composants avec des vulnérabilités connues
De nos jours, même les sites Web simples tels que les blogs personnels ont beaucoup de dépendances.Nous pouvons tous convenir que le fait de ne pas mettre à jour tous les logiciels du backend et du front-end d’un site Web entraînera sans aucun doute de lourdes menaces pour la sécurité, le plus tôt possible.
Par exemple, notre rapport de site Web piraté pour 2017 a une section dédiée autour des CMS obsolètes. Ce rapport montre qu’au moment de l’infection:
3% des sites Web WordPress étaient obsolètes;
8% de Joomla, les sites Web étaient obsolètes;
3% des sites Web Drupal étaient obsolètes;
3% dessites Web Magento étaient obsolètes.
La question est de savoir pourquoi nous ne mettons pas à jour notre logiciel à temps. Pourquoi est-ce encore un si gros problème aujourd’hui?
Il existe certaines possibilités, telles que:
Les webmasters / développeurs ne peuvent pas suivre le rythme des mises à jour; après tout, mettre à jour correctement prend du temps.
Un code hérité ne sera pas travailler sur les nouvelles versions de ses dépendances.
Cela peut paraître un peu trop dramatique, mais chaque fois que vous ignorez un avertissement de mise à jour, vous permettez peut-être à une vulnérabilité désormais connue de survivre dans votre système.Croyez-moi, les cybercriminels sont prompts à enquêter sur les logiciels et à mettre à jour les changelogs.
Quelle que soit la raison pour laquelle vous exécutez un logiciel obsolète sur votre application Web, vous ne pouvez pas le laisser sans protection. Les deux Sucuri et OWASP recommandent patches virtuels dans les cas où l’application de correctifs n’est pas possible.
Insuffisance de journalisation et de surveillance
L’enregistrement et la surveillance vont de pair. Il est peu utile de disposer de journaux adéquats s’ils ne font pas l’objet d’une surveillance adéquate.
Le problème de la journalisation et des surveillances insuffisantes concerne l’ensemble de l’infrastructure informatique et pas seulement l’application Web avec accès à Internet, comme le fait la solution. Pour cette raison, nous ne limiterons pas cette discussion à la journalisation et à la surveillance des applications Web. »18
|
Table des matières
Résumé
I. Le Cadre Théorique et Méthodologique
1 Présentation du projet
1.1 Introduction générale
1.2 Contexte
1.3 Problématique
1.4 Objectifs
1.5 Délimitation du champ de l’étude
2 Sécurité informatique
2.1 Généralités
2.1.1 Cryptologie
2.1.2 Objectifs de sécurité
2.2 Le concept de supervision de la sécurité
2.2.1 Qu’est-ce qu’un SIEM et pour quoi?
2.2.2 Comment sécuriser ?
2.3 Le Principe de CSIRT
3 Menaces et les Cyberattaques
3.1 Les Menaces internes
3.2 Les Menaces externes
3.3 Les Cyberattaques les plus répandus
II. Etudes Détaillées sur la Cybersécurité
4 La gestion des risques cybersécurité
4.1 Présentation de NIST FCS
4.2 Les composants du Framework
4.2.1 Framework Core
4.2.2 Implémentation Tiers
4.2.3 Framework Profile
III. Environnement et Mesure Préventive
5 Présentation de notre environnement
5.1 Framework Core
5.1.1 Identifier
5.1.2 Protéger
5.1.3 Détecter
5.1.4 Répondre
5.1.5 Rétablir
5.2 Choix de la solution
5.2.1 Etude comparative des solutions
5.2.2 Choix de la solution
5.3 Présentation de la solution
5.3.1 Les produits de base :
5.4 Mise en place de la solution
5.4.1 Les applications de Splunk
5.4.2 Détection des attaques
5.4.3 Alerter et prévenir
6 Recommandation
Conclusion
Bibliographie
Télécharger le rapport complet
