Owasp

22
Réalisé par: Hamed Khaoula OWASP Top 10 Mobile risques et solutions

description

Présentation élaborée par Mlle. Khawla Hamed dans le cadre des sessions de Lightning Talks à l'Orange Developer Center.

Transcript of Owasp

Page 1: Owasp

Réalisé par: Hamed Khaoula

OWASP Top 10 Mobile risques et solutions

Page 2: Owasp

2

Plan

• Introduction

• Définition

• Top 10 Mobile, risques et solutions.

• Conclusion

Page 3: Owasp

3

Introduction

Les terminaux mobiles, qui recèlent d’un nombre de données exponentiel

(contacts, données de géolocalisation, mails, identifiants, etc.) sont très

souvent volés.

Comment assurer la sécurité d’une application mobile?

Page 4: Owasp

4

Définition:OWASP

• Open Web Application Security Project (OWASP): est une organisation

mondiale sans but lucratif axée sur l'amélioration de la sécurité des

logiciels.

OWASP Top 10 risques des mobiles:

• Vision multi-plateforme :Android, IOS, Nokia, Windows, ...

• Concentrer sur les risques plutôt que les vulnérabilités.

Page 5: Owasp

5

Risques

M1 - Stockage de données non sécurisé

M2 - Contrôles serveur défaillants

M3 - Protection insuffisante lors du transport de données

M4 - Injection client

M5 - Authentification et habilitation défaillante

M6 - Mauvaise gestion des sessions

M7- Utilisation de données d’entrée pour effectuer des décisions sécurité.

M8 - Perte de données via des canaux cachés

M9 - Chiffrement défectueux

M10 - Perte d’information sensible

Page 6: Owasp

6

M1 - Stockage de données non sécurisé

Impact

• Perte de confidentialité sur les données,

• Divulgation d’authentifiants,

• Violation de vie privée.

Les données sensibles ne sont pas protégées.

Généralement du à :

• Défaut de chiffrement des données,

• Permissions globales ou faibles,

• Non suivi des bonnes pratiques de la plateforme.

Page 7: Owasp

7

Exemple

Page 8: Owasp

8

M1 – Prévention

1. Ne stocker que ce qui est réellement nécessaire.

2. Ne jamais stocker des données sur des éléments publics (SD-

Card...)

3. Ne pas donner des droits en “world writeable” ou “world readable”

Page 9: Owasp

9

M2 - Contrôles serveur défaillants

Impact

• Perte de confidentialité sur des données

• Perte d’intégrité sur des données

S’applique uniquement auxservices de backend.

M2- Prévention

1. Comprendre les nouveaux risques induits par les applications mobiles sur les architectures existantes

2. OWASP Top 10, Cloud Top 10, Web Services Top 10

Page 10: Owasp

10

M3 - Protection insuffisante lors du transport de données

Impact

• Attaques MITM• Modification des

données transmises• Perte de

confidentialité

M3 – Prévention

1. Vérifier que les données sensibles quittent l’appareil chiffrées.2. Ne pas ignorer les erreurs de sécurité !

Perte complète de chiffrement des données transmises.

Faible chiffrement des données transmises.

Fort chiffrement, mais oubli des alertes sécurité

Page 11: Owasp

11

M4 - Injection Client

Impact• Compromission de l’appareil

• Fraude à l’appel

• Augmentation de privilèges

Utilisation des fonctions denavigateurs dans les applications

On retrouve les vulnérabilitésconnues: Injection XSS et HTML,SQL Injection

M4 – Prévention

1. Valider les données d’entrée avant utilisation2. Nettoyer les données en sortie avant affichage.3. Utilisation des requêtes paramétrées pour les appels bases de

données.

Page 12: Owasp

12

M5 - Authentification et habilitation défaillante

Impact

• Elévation de privilèges

• Accès non autorisé.

Se reposer sur des élémentsthéoriquement inchangeables, maispouvant être compromis (IMEI,…)

Les identifiants matériels persistentaprès les resets ou les nettoyages dedonnées.

M5 – Prévention

1. Ajouter des informations contextuelles en cas d’implémentation d’authentification multifacteur.

2. Ne jamais utiliser l’ID machine ou l’ID opérateur (subscriber ID), comme élément unique d’authentification.

Page 13: Owasp

13

M6 - Mauvaise gestion des sessions

Impact

• Elévation de privilèges

• Accès non autorisé

• Contournement des licences et des éléments de paiements

Le maintien de session applicative se fait via: HTTP cookies, OAuth tokens,SSO authentication services.

Très mauvaise idée d’utiliser l’ID matériel comme identification de session.

M6 – Prévention

1. Redemander aux utilisateurs de se ré-authentifier plus souvent.

2. S’assurer que les ID/token peuvent être révoqués en cas de perte.

Page 14: Owasp

14

M7 - Utilisation de données d’entrée pour effectuer des décisions sécurité.

Impact

• Utilisation de ressourcespayantes.

• Exfiltration de données

• Elévation de privilèges.

Peut être exploité pour passeroutre les permissions et lesmodèles de sécurité.

Des vecteurs d’attaques importants:• Applications malveillantes• Injection client

Page 15: Owasp

15

Exemple

• Gestion de skype dans l’URL sur IOS...

M7- Prévention

1. Vérifier les permissions lors de l’utilisation de données d’entrée.2. Demander à l’utilisateur une confirmation avant l’utilisation de fonctions sensibles.

Page 16: Owasp

16

M8 - Perte de données via des canaux cachés

Impact

• Perte définitive de données.

• Violation de la vie privée.

Mélange de fonctionnalités de la plateforme et de failles de programmation.

Les données sensibles se trouvent un peu partout:

• Web caches• Screenshots• Logs (system, crash)• …

Faire attention à ce que font les librairies tierces avec les données utilisateurs( publicité, analyse, ...)

Page 17: Owasp

17

M8- Prévention

1. Ne jamais stocker des authentifiants/passwords ou d’autresinformations sensibles dans les logs.

2. Debugger les applications avant mise enproduction pour vérifier les fichiers produits, modifiés, lus, ....

3. Porter une attention particulière aux librairies tierces.

Page 18: Owasp

18

M9 - Chiffrement défectueux

Impact

• Perte de confidentialité.• Elévation de privilèges• Contournement de la

logique métier.

2 catégories importantes:

Implémentations défectueuses vial’utilisation de librairies de chiffrement.

Implémentations personnelles dechiffrement.

M9- Prévention1.Le stockage de clef et des données chiffrées n’est pas correct.

2. Il vaut mieux utiliser des librairies connues de chiffrement que sa propre librairie....

Page 19: Owasp

19

M10 - Perte d’information sensible

Impact

• Perte d’authentifiants• Exposition de propriété intellectuelle

Il est assez simple de faire du reverse engineeringsur des applications mobiles...

Quelques informations classiquestrouvées :

• clefs d’API• Passwords

M10- Prévention

1. Pas de stockage des clefs d’API privées sur le client.2. Exécuter la logique métier propriétaire par le serveur .

Page 20: Owasp

20

Conclusion:

Une protection et une sécurisation des données est indispensable.

Nous venons d’identifier quelques problèmes, il est nécessaire de les corriger !

Les plateformes deviennent plus matures, les applications le doivent aussi...

Page 21: Owasp

21

Netographie

• http://www.owasp.org • http:// http://fr.slideshare.net/Eagle42/owasp-mobile-top10-les-10-

risques-sur-les-mobiles• http://fr.wikipedia.org/wiki/Open_Web_Application_Security_Project

Page 22: Owasp

Merci pour votre attention


The OWASP Foundation Sécurité des ... · •2014 : Archos -> 100'000 enregistrements diffusés •2015 : Magento -> 98'000 e-commerces vulnérables •2015 : OIT -> 54'000 comptes

The OWASP Foundation Sécurité des ... · •2014 : Archos -> 100'000 enregistrements diffusés •2015 : Magento -> 98'000 e-commerces vulnérables •2015 : OIT -> 54'000 comptes

OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis Nadeau

OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis Nadeau

OWASP Top 10 2017 - cours.etsmtl.ca de... · Ce qui a été ajouté A10 : 2017 –Insufficient Logging & Monitoring.L’OWASP dans son rapport rappelle qu’en moyenne 200 jours s’écoulent

OWASP Top 10 2017 - cours.etsmtl.ca de... · Ce qui a été ajouté A10 : 2017 –Insufficient Logging & Monitoring.L’OWASP dans son rapport rappelle qu’en moyenne 200 jours s’écoulent

A propos de · 2016-01-23 · les vulnérabilités et à vous concentrer sur léta lissement de contrôles solides de sécurité des applications, l [OWASP a publié le Standard de

A propos de · 2016-01-23 · les vulnérabilités et à vous concentrer sur léta lissement de contrôles solides de sécurité des applications, l [OWASP a publié le Standard de

SOPHIACONF 2015 - Telecom Valley · SOPHIACONF 2015 SCAN DE VULNERABILITE AVEC OPENVAS ... Confidentiel SecludIT . OpenVAS S S open owaspbwa OWASP Broken Web Applications Project

SOPHIACONF 2015 - Telecom Valley · SOPHIACONF 2015 SCAN DE VULNERABILITE AVEC OPENVAS ... Confidentiel SecludIT . OpenVAS S S open owaspbwa OWASP Broken Web Applications Project

Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)

Stratégies OWASP pour développer et exploiter des ...©curité-applicative-OWASP-diffusion.pdf · Partenariats avec OWASP Montréal et le HackFest (développeurs et pen-testers)

Stratégies OWASP pour développer et exploiter des ...©curité-applicative-OWASP-diffusion.pdf · Partenariats avec OWASP Montréal et le HackFest (développeurs et pen-testers)

Présentation Consulib V2 · 2020. 3. 7. · LA SÉCURITÉ COMME PRIORITÉ Développement effectué en France et suivant le « Open Web Application Security Project » (OWASP) Une

Présentation Consulib V2 · 2020. 3. 7. · LA SÉCURITÉ COMME PRIORITÉ Développement effectué en France et suivant le « Open Web Application Security Project » (OWASP) Une

OWASP Top 10 - 2010 FR · PDF fileinfrastructures" cri@ques" tant financières," que" médicales," ... ou@ls,"etorganismes,"y"compris"le"MITRE,"PCIDSS,"DISA,"FTC"

OWASP Top 10 - 2010 FR · PDF fileinfrastructures" cri@ques" tant financières," que" médicales," ... ou@ls,"etorganismes,"y"compris"le"MITRE,"PCIDSS,"DISA,"FTC"

La sécurité applicative & OWASP · Statistiques sur la sécurité applicative 70% des applications comportent au moins une vulnérabilité OWASP top 10 – Veracode 2018 15% des

La sécurité applicative & OWASP · Statistiques sur la sécurité applicative 70% des applications comportent au moins une vulnérabilité OWASP top 10 – Veracode 2018 15% des

Owasp geneva-201102-trouvez vosbugslepremier

Owasp geneva-201102-trouvez vosbugslepremier

Created by Colin Watson Version WebApp-1.02 JA OWASP-A1 ... · owasp-a7 機能レベルのアクセス 制御の欠落 owasp-a8 クロスサイトリクエ ストフォージェリ

Created by Colin Watson Version WebApp-1.02 JA OWASP-A1 ... · owasp-a7 機能レベルのアクセス 制御の欠落 owasp-a8 クロスサイトリクエ ストフォージェリ

OWASP Top10 2013 - Présentation aux RSSIA 2013

OWASP Top10 2013 - Présentation aux RSSIA 2013

Présentation Consulib V2 · LA SÉCURITÉ COMME PRIORITÉ Développement effectué en France et suivant le « Open Web Application Security Project » (OWASP) Une stratégie sécuritaire

Présentation Consulib V2 · LA SÉCURITÉ COMME PRIORITÉ Développement effectué en France et suivant le « Open Web Application Security Project » (OWASP) Une stratégie sécuritaire

OWASP SAMM · 19-10-2015  · sur Twitter: @starbuck3000 10/19/2015 OWASP Geneva Chapter -SAMM 2. Agenda •Contexte et problématique •Présentation de l’outil •Exemples de

OWASP SAMM · 19-10-2015  · sur Twitter: @starbuck3000 10/19/2015 OWASP Geneva Chapter -SAMM 2. Agenda •Contexte et problématique •Présentation de l’outil •Exemples de

La sécurité pour les développeurs - RMLL...OWASP 2013 Failles d'injection Violation d'authentification et de Session Cross-Site Scripting (XSS) Référence directe non sécurisée

La sécurité pour les développeurs - RMLL...OWASP 2013 Failles d'injection Violation d'authentification et de Session Cross-Site Scripting (XSS) Référence directe non sécurisée

The OWASP Foundation … · •Pour plus d'information: code pénal suisse art. 143, 143bis, 144bis et ... •Bonus: disposer d'une présentation sur le sujet en Français. 3 Workshop

The OWASP Foundation … · •Pour plus d'information: code pénal suisse art. 143, 143bis, 144bis et ... •Bonus: disposer d'une présentation sur le sujet en Français. 3 Workshop

La sécurité applicative & OWASP · 2 Mondiale / Non-lucrative / Bénévole / « Open source » / Neutre / Indépendante Mission : rendre la sécurité applicative visible + vous

La sécurité applicative & OWASP · 2 Mondiale / Non-lucrative / Bénévole / « Open source » / Neutre / Indépendante Mission : rendre la sécurité applicative visible + vous

OWASP Top Ten 2013 - ossir.org · OSSIR - OWASP Top Ten 2013 par Intrinsec sous licence CC-BY-NC-ND OWASP Top 10 –2010 (Précédent) OWASP Top 10 –2013 (Nouveau) 2010-A1 –Injection

OWASP Top Ten 2013 - ossir.org · OSSIR - OWASP Top Ten 2013 par Intrinsec sous licence CC-BY-NC-ND OWASP Top 10 –2010 (Précédent) OWASP Top 10 –2013 (Nouveau) 2010-A1 –Injection

Geoffrey Vaughan - OWASP...Threat 2 - Dangers ! What we are seeing is that with NFC enabled an attacker has access to a large potential of phone activities. ! NFC is also a relatively

Geoffrey Vaughan - OWASP...Threat 2 - Dangers ! What we are seeing is that with NFC enabled an attacker has access to a large potential of phone activities. ! NFC is also a relatively