Soutenance stage M2 SSI

22
Sujet de stage: Audit de vulnérabilité et tests d’intrusion 4 Mars 31 Août 2013

description

Diapo pour ma soutenance orale lors de la présentation de mon stage de fin de Master 2 Sécurité des Systèmes d'Information réalisé au sein de Capgemini Services à Rennes. Soutenance ayant eu lieu le mardi 3 Septembre à l'université de Rennes 1.

Transcript of Soutenance stage M2 SSI

Page 1: Soutenance stage M2 SSI

Sujet de stage:Audit de vulnérabilité et

tests d’intrusion

4 Mars 31 Août 2013

Page 2: Soutenance stage M2 SSI

Copyright © Capgemini 2012. All Rights Reserved

Division

2

Contenu de la présentation

Présentation de Capgemini

Contexte et objectifs du stage

Tests d’intrusion au niveau applications web

Tests d‘intrusion systèmes et réseaux

Contrôle d’accès et gestion d’identités

Bilan du stage

Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013

Page 3: Soutenance stage M2 SSI

Copyright © Capgemini 2012. All Rights Reserved

Division

3Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013

Présentation de Capgemini

Notoriété internationale

Plus de 125 000 collaborateurs

Travaillent répartis à travers 44 pays

Rassemblent 100 langues

Et réalisent un chiffre d’affaires de 10 264 millions d’euros!

4 métiers

L’intégration de systèmes

L’infogérance

Les services informatiques de proximité

Le consulting

Centre de compétences

Custom Software Development Développement de systèmes

d’information spécifiques

Services Planifier, concevoir, développer, intégrer

et gérer les systèmes d’information

Offre Sécurité à Rennes

Gouvernance SSI Architectures de sécurité Sécurité dans les développements Audits de sécurité Gestion des identités Sécurité du cloud

Page 4: Soutenance stage M2 SSI

Contexte et objectifs du stage

Page 5: Soutenance stage M2 SSI

Copyright © Capgemini 2012. All Rights Reserved

Division

5Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013

Contexte et objectifs du stage

Contexte Objectifs

Entreprise Equipe Sécurité de Capgemini Services à Rennes

Offre Audits de sécurité Enrichir l’offre en créant l’axe Audits dynamiques de sécurité proposant des prestations de tests d’intrusion

Enrichir l’offre Sécurité

Page 6: Soutenance stage M2 SSI

Copyright © Capgemini 2012. All Rights Reserved

Division

6Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013

Contexte et objectifs du stage

Qu’est-ce qu’un test d’intrusion (pentest) ?

C’est une technique d’évaluation dynamique du niveau de sécurité de l’objet étudié.

L’auditeur, le pentester, bien que pouvant avoir différents niveaux de connaissance

sur la cible, se comporte comme un attaquant.

L’objectif étant de mettre en lumière les risques présentés par la cible et l’impact que

ceux-ci peuvent avoir pour le client s’ils sont exploités par un utilisateur malintentionné.

Page 7: Soutenance stage M2 SSI

Copyright © Capgemini 2012. All Rights Reserved

Division

7Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013

Contexte et objectifs du stage

Quels types de tests d’intrusions ?

En premier lieu: pentest d’applications web• 80 % des attaques actuelles*

• Prestation déjà demandée par des clients

En second lieu: pentest systèmes et réseaux• Configurations de sécurité

Ouverture: Contrôle d’accès et gestion d’identités

* source: Gartner

Page 8: Soutenance stage M2 SSI

Tests d’intrusion: Applications web

Page 9: Soutenance stage M2 SSI

Copyright © Capgemini 2012. All Rights Reserved

Division

9Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013

Tests d’intrusion au niveau applications web

Les applications web sont à 80% les cibles des attaquants

Applications de paiements, de partage, de gestion de données

personnelles, …

Besoin évident de sécurité

L’OWASP livre de nombreuses solutions pour sécuriser ces applications

Documents de références

Outils

Plateformes de tests

Page 10: Soutenance stage M2 SSI

Copyright © Capgemini 2012. All Rights Reserved

Division

10Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013

Tests d’intrusion au niveau applications web

Objectif: Réaliser une démarche outillée, utilisable par les membres de

l’équipe Sécurité, pour réaliser une prestation de pentest.

Pour cela: Nécessité de monter en compétences Etude du TOP 10 OWASP et des recommandations associées Lecture du Testing Guide Lecture de nombreux articles (SQL injection, XPath injection, XSS, …) Mise en pratique sur des plateformes de tests

• WebGoat, par l’OWASP

• Mutillidae, par le projet NOWASP

• Root-me, site de challenges

Page 11: Soutenance stage M2 SSI

Copyright © Capgemini 2012. All Rights Reserved

Division

11Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013

Tests d’intrusion au niveau applications web

Le livrable de démarche d’un test d’intrusion d’une application web

Suit les 4 grandes étapes d’un pentest

Couvre l’intégralité du TOP 10 OWASP

Présente de nombreux outils avec captures d’écran

Illustre des exemples d’exploitation de vulnérabilités

Enonce les recommandations et contre-mesures à suivre

Fournit des références vers des articles et scénarios d’attaques

Collecte d’informations

Recherche de vulnérabilités

Exploitation des vulnérabilités

Rendu d’un rapport

Page 12: Soutenance stage M2 SSI

Copyright © Capgemini 2012. All Rights Reserved

Division

12Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013

Tests d’intrusion au niveau applications web

Retour d’expérience: pentest d’une journée sur un projet client

Application web de paiement en ligne• Échange de données sensibles: nom, prénom, numéro de carte bleue, prix, …

Plusieurs vulnérabilités identifiées• Cross Site Request Forgery mais non exploitable

• Mauvaise configuration de sécurité:– Méthodes HTTP « dangereuses » autorisées

– Les paramètres peuvent être envoyés en GET ou POST

• Paramètres échangés non vérifiés– Modification acceptée de l’id du commerçant

– Modification acceptée du prix de la transaction

Page 13: Soutenance stage M2 SSI

Tests d’intrusion: Systèmes et Réseaux

Page 14: Soutenance stage M2 SSI

Copyright © Capgemini 2012. All Rights Reserved

Division

14Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013

Tests d’intrusion systèmes et réseaux

Objectif: Initier une démarche de test d’intrusion exploitable par les

membres de l’équipe Sécurité pour réaliser une prestation de pentest.

Documentation puis mise en pratique avec la plateforme Kioptrix* dont

l’objectif est d’acquérir les droits « root » sur la machine.

Plusieurs failles de sécurité affectent l’environnement de tests

il y a donc plusieurs méthodes pour atteindre l’objectif.

* kioptrix.com

Page 15: Soutenance stage M2 SSI

Copyright © Capgemini 2012. All Rights Reserved

Division

15Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013

3. Exploitation des vulnérabilitésTéléchargement, compilation et exécution d’un exploit pour l’augmentation de privilèges

3. Exploitation des vulnérabilitésInjection de commandes systèmes pour télécharger le script de remote shell configuré

3. Exploitation des vulnérabilitésInjection SQL pour passer l’authentification

Tests d’intrusion systèmes et réseaux

KIOPTRIX

Adresse IP

Ports ouverts

Nmap

SQLi

RCE

Reverse shellConsole d’admin

Serveur web

Netcat

apache

2. Recherche de vulnérabilitésAccès à la page d’accueil du serveur web

1. Collecte d’informationIdentification sur le réseau puis scan des ports, services et versions

2. Recherche de vulnérabilitésAnalyse du fonctionnement de la console d’administration.Injection de commandes systèmes « inoffensives »

2. Recherche de vulnérabilitésBases de données publiques des vulnérabilités connues

1. Collecte d’informationIdentification de la version de l’OS et du noyau Linux

root

Kernel

Exploitwget

Page 16: Soutenance stage M2 SSI

Contrôle d’accès et gestion d’identités

Page 17: Soutenance stage M2 SSI

Copyright © Capgemini 2012. All Rights Reserved

Division

17Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013

Contrôle d’accès et gestion d’identités

Objectif: Comprendre le mécanisme de Single Sign-On

Conception d’une architecture utilisant

Configuration du portail web-SSO: interface d’administration, politiques de sécurité…

Ajout de composants afin de simuler un environnement de production

Etude des échanges entre les acteurs

Principe de l’authentification unique:

un utilisateur ne s’identifie qu’une seule fois pour

accéder à différentes applications protégées.

Page 18: Soutenance stage M2 SSI

Copyright © Capgemini 2012. All Rights Reserved

Division

18Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013

Contrôle d’accès et gestion d’identités

Utilisateur

Admin réseau

12

34

5

6

7

8

9

Page 19: Soutenance stage M2 SSI

Bilan du stage

Page 20: Soutenance stage M2 SSI

Copyright © Capgemini 2012. All Rights Reserved

Division

20Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013

Bilan du stage

Atteinte des objectifs: Tests d’intrusion au niveau applications web

• Montée en compétences: outils et techniques de collecte d’informations, de recherche et d’exploitation de vulnérabilités.

• Document de démarche complet.

Tests d’intrusion systèmes et réseaux• Document de démarche commencé.

Contrôle d’accès et gestion d’identités• Mise en place d’un environnement de tests, semblable à un environnement de production pour la

solution OpenAM: compréhension du mécanisme d’authentification

Page 21: Soutenance stage M2 SSI

Copyright © Capgemini 2012. All Rights Reserved

Division

21Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013

Bilan du stage

Nombreuses connaissances acquises en pentest et IAM.

Mes livrables seront utilisés par l’équipe.

Très bon environnement de travail: locaux neufs et agréables.

Bonne ambiance au sein de l’équipe Sécurité.

Début le 23 Septembre

Page 22: Soutenance stage M2 SSI

The information contained in this presentation is proprietary.© 2012 Capgemini. All rights reserved.

www.capgemini.com