Soutenance stage M2 SSI
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Soutenance stage M2 SSI

on

  • 2,181 views

Diapo pour ma soutenance orale lors de la présentation de mon stage de fin de Master 2 Sécurité des Systèmes d'Information réalisé au sein de Capgemini Services à Rennes. Soutenance ayant eu ...

Diapo pour ma soutenance orale lors de la présentation de mon stage de fin de Master 2 Sécurité des Systèmes d'Information réalisé au sein de Capgemini Services à Rennes. Soutenance ayant eu lieu le mardi 3 Septembre à l'université de Rennes 1.

Statistics

Views

Total Views
2,181
Views on SlideShare
2,133
Embed Views
48

Actions

Likes
1
Downloads
112
Comments
0

3 Embeds 48

http://www.guillaumeraimbault.fr 34
http://localhost 13
http://guillaumeraimbault.fr 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Soutenance stage M2 SSI Presentation Transcript

  • 1. Sujet de stage: Audit de vulnérabilité et tests d’intrusion 4 Mars  31 Août 2013
  • 2. Copyright © Capgemini 2012. All Rights Reserved Division Contenu de la présentation Présentation de Capgemini Contexte et objectifs du stage Tests d’intrusion au niveau applications web Tests d‘intrusion systèmes et réseaux Contrôle d’accès et gestion d’identités Bilan du stage 2 Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
  • 3. Copyright © Capgemini 2012. All Rights Reserved Division Présentation de Capgemini Notoriété internationale  Plus de 125 000 collaborateurs  Travaillent répartis à travers 44 pays  Rassemblent 100 langues  Et réalisent un chiffre d’affaires de 10 264 millions d’euros! 4 métiers  L’intégration de systèmes  L’infogérance  Les services informatiques de proximité  Le consulting Centre de compétences  Custom Software Development  Développement de systèmes d’information spécifiques  Services  Planifier, concevoir, développer, intégrer et gérer les systèmes d’information Offre Sécurité à Rennes  Gouvernance SSI  Architectures de sécurité  Sécurité dans les développements  Audits de sécurité  Gestion des identités  Sécurité du cloud 3 Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
  • 4. Contexte et objectifs du stage
  • 5. Copyright © Capgemini 2012. All Rights Reserved Division Contexte et objectifs du stage Contexte Objectifs Entreprise Equipe Sécurité de Capgemini Services à Rennes Offre Audits de sécurité Enrichir l’offre en créant l’axe Audits dynamiques de sécurité proposant des prestations de tests d’intrusion 5 Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
  • 6. Copyright © Capgemini 2012. All Rights Reserved Division Contexte et objectifs du stage Qu’est-ce qu’un test d’intrusion (pentest) ?  C’est une technique d’évaluation dynamique du niveau de sécurité de l’objet étudié.  L’auditeur, le pentester, bien que pouvant avoir différents niveaux de connaissance sur la cible, se comporte comme un attaquant.  L’objectif étant de mettre en lumière les risques présentés par la cible et l’impact que ceux-ci peuvent avoir pour le client s’ils sont exploités par un utilisateur malintentionné. 6 Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
  • 7. Copyright © Capgemini 2012. All Rights Reserved Division Contexte et objectifs du stage Quels types de tests d’intrusions ?  En premier lieu: pentest d’applications web • 80 % des attaques actuelles* • Prestation déjà demandée par des clients  En second lieu: pentest systèmes et réseaux • Configurations de sécurité Ouverture: Contrôle d’accès et gestion d’identités 7 Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013 * source: Gartner
  • 8. Tests d’intrusion: Applications web
  • 9. Copyright © Capgemini 2012. All Rights Reserved Division Tests d’intrusion au niveau applications web Les applications web sont à 80% les cibles des attaquants Applications de paiements, de partage, de gestion de données personnelles, …  Besoin évident de sécurité L’OWASP livre de nombreuses solutions pour sécuriser ces applications  Documents de références  Outils  Plateformes de tests 9 Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
  • 10. Copyright © Capgemini 2012. All Rights Reserved Division Tests d’intrusion au niveau applications web Objectif: Réaliser une démarche outillée, utilisable par les membres de l’équipe Sécurité, pour réaliser une prestation de pentest. Pour cela: Nécessité de monter en compétences  Etude du TOP 10 OWASP et des recommandations associées  Lecture du Testing Guide  Lecture de nombreux articles (SQL injection, XPath injection, XSS, …)  Mise en pratique sur des plateformes de tests • WebGoat, par l’OWASP • Mutillidae, par le projet NOWASP • Root-me, site de challenges 10 Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
  • 11. Copyright © Capgemini 2012. All Rights Reserved Division Tests d’intrusion au niveau applications web Le livrable de démarche d’un test d’intrusion d’une application web  Suit les 4 grandes étapes d’un pentest  Couvre l’intégralité du TOP 10 OWASP  Présente de nombreux outils avec captures d’écran  Illustre des exemples d’exploitation de vulnérabilités  Enonce les recommandations et contre-mesures à suivre  Fournit des références vers des articles et scénarios d’attaques 11 Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013 Collecte d’informations Recherche de vulnérabilités Exploitation des vulnérabilités Rendu d’un rapport
  • 12. Copyright © Capgemini 2012. All Rights Reserved Division Tests d’intrusion au niveau applications web Retour d’expérience: pentest d’une journée sur un projet client  Application web de paiement en ligne • Échange de données sensibles: nom, prénom, numéro de carte bleue, prix, …  Plusieurs vulnérabilités identifiées • Cross Site Request Forgery mais non exploitable • Mauvaise configuration de sécurité: – Méthodes HTTP « dangereuses » autorisées – Les paramètres peuvent être envoyés en GET ou POST • Paramètres échangés non vérifiés – Modification acceptée de l’id du commerçant – Modification acceptée du prix de la transaction 12 Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
  • 13. Tests d’intrusion: Systèmes et Réseaux
  • 14. Copyright © Capgemini 2012. All Rights Reserved Division Tests d’intrusion systèmes et réseaux Objectif: Initier une démarche de test d’intrusion exploitable par les membres de l’équipe Sécurité pour réaliser une prestation de pentest. Documentation puis mise en pratique avec la plateforme Kioptrix* dont l’objectif est d’acquérir les droits « root » sur la machine. Plusieurs failles de sécurité affectent l’environnement de tests  il y a donc plusieurs méthodes pour atteindre l’objectif. 14 Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013 * kioptrix.com
  • 15. Copyright © Capgemini 2012. All Rights Reserved Division 3. Exploitation des vulnérabilités Téléchargement, compilation et exécution d’un exploit pour l’augmentation de privilèges 3. Exploitation des vulnérabilités Injection de commandes systèmes pour télécharger le script de remote shell configuré 3. Exploitation des vulnérabilités Injection SQL pour passer l’authentification Tests d’intrusion systèmes et réseaux 15 Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013 Adresse IP Ports ouverts Nmap SQLi RCE Reverse shell Console d’admin Serveur web Netcat apache 2. Recherche de vulnérabilités Accès à la page d’accueil du serveur web 1. Collecte d’information Identification sur le réseau puis scan des ports, services et versions 2. Recherche de vulnérabilités Analyse du fonctionnement de la console d’administration. Injection de commandes systèmes « inoffensives » 2. Recherche de vulnérabilités Bases de données publiques des vulnérabilités connues 1. Collecte d’information Identification de la version de l’OS et du noyau Linux root Kernel Exploit wget
  • 16. Contrôle d’accès et gestion d’identités
  • 17. Copyright © Capgemini 2012. All Rights Reserved Division Contrôle d’accès et gestion d’identités Objectif: Comprendre le mécanisme de Single Sign-On Conception d’une architecture utilisant  Configuration du portail web-SSO: interface d’administration, politiques de sécurité…  Ajout de composants afin de simuler un environnement de production  Etude des échanges entre les acteurs 17 Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013  Principe de l’authentification unique: un utilisateur ne s’identifie qu’une seule fois pour accéder à différentes applications protégées.
  • 18. Copyright © Capgemini 2012. All Rights Reserved Division Contrôle d’accès et gestion d’identités 18 Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013 Utilisateur Admin réseau 1 2 3 4 5 6 7 8 9
  • 19. Bilan du stage
  • 20. Copyright © Capgemini 2012. All Rights Reserved Division Bilan du stage Atteinte des objectifs:  Tests d’intrusion au niveau applications web • Montée en compétences: outils et techniques de collecte d’informations, de recherche et d’exploitation de vulnérabilités. • Document de démarche complet.  Tests d’intrusion systèmes et réseaux • Document de démarche commencé.  Contrôle d’accès et gestion d’identités • Mise en place d’un environnement de tests, semblable à un environnement de production pour la solution OpenAM: compréhension du mécanisme d’authentification 20 Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013
  • 21. Copyright © Capgemini 2012. All Rights Reserved Division Bilan du stage Nombreuses connaissances acquises en pentest et IAM. Mes livrables seront utilisés par l’équipe. Très bon environnement de travail: locaux neufs et agréables. Bonne ambiance au sein de l’équipe Sécurité. 21 Audit de vulnérabilités et tests d’intrusion, par Guillaume Raimbault, le 3 Septembre 2013  Début le 23 Septembre
  • 22. The information contained in this presentation is proprietary. © 2012 Capgemini. All rights reserved. www.capgemini.com