Jeudi, 20 août 2009 Sécurité informatique Cégep de St-Hyacinthe Par Hugo St-Louis

Jeudi, 20 août 2009

Sécurité informatique

Cégep de St-HyacintheCégep de St-Hyacinthe

Par Hugo St-Louis

Plan

Sécurité informatique Sécurité sous .NET Sécurité sous ASP.NET Appliquer la sécurité

Topologie d’une application webTopologie d’une application web

Problèmes de sécuritéProblèmes de sécurité

Logique de l’application– Logique de l’application maison– Logique des applications externes

Authentification Vérification des données usager

– SQL injection– Cross site scripting (xss)

Phishing (hameçonnage)

Solutions à la logique de Solutions à la logique de l’applicationl’application

Chaque attaque est différente Exploite la logique de l’application Difficile à détecter Exemples:

– Acheter un livre de -20$– Créer un million d’usagers et écrire des messages– Enlever le câble réseau au milieu d’une partie

d’échec Exploite une faille

– http://fr.wikipedia.org/wiki/Vulnérabilité_(informatique)– http://cve.mitre.org/data/downloads/

Solutions aux problèmes de Solutions aux problèmes de sécuritésécurité

Authentification– Canal de communication sécurisé (https)

Solutions aux problèmes Solutions aux problèmes d’authentificationd’authentification

Authentification– Réauthentification à

des intervalles sécurisés

– Permission des usagers

– Authentifier le client– Authentifier le

serveur

Vérification des données Vérification des données (SQL Injection)(SQL Injection)

Vérification des données Vérification des données (SQL Injection)(SQL Injection)

Vérification des donnéesVérification des données(SQL Injection)(SQL Injection)

Vérification des données(Cross site scripting (XSS))XSS))

Vérification des données(Cross site scripting (XSS))XSS))

Solution à la vérification des données

• Valider les données de l’usager sur le serveur Web et/ou sur le serveur d’applications

• Limiter la taille de l’entrée• Refuser les caractères spéciaux ‘ “ \ / ; - < >• Accepter seulement les caractères nécessaires• Utiliser les SQL Stored Procedures• Gérer les permissions sur la basé de données• usagers, rôles, permissions

Phishing (hameçonnage)Phishing (hameçonnage)

Solution au Phishing Solution au Phishing (hameçonnage)(hameçonnage)

•Filtrer le spam•Authentification du serveur•Éduquer les utilisateurs

Sécurité sous .NET

Autres techniques

Plan

Sécurité informatique Sécurité sous .NET Sécurité sous ASP.NET Appliquer la sécurité

Sécurité sous .NET

Lire le document et on en continue sur le même sujet la semaine prochaine

Sécurité sous .NET

Deux approches pour la gestion des droits des utilisateurs

Les rôles– Role de l’utilisateur. Similaire aux groupes. Meta

utilisateur. C’est le framework qui décide si un utilisateur a le droit d’effectuer certaines actions.

PrincipalPermission

Sécurité sous .NET

Une gestion de la sécurité avant d’exécuter du code

– CAS Bloquer le code malveillant 

Sécurité sous .NET

Comment contrer la Décompilation sous .net

– Déplacer le code vers les serveurs– Utiliser un obfuscateur de code– Compiler le code

Plan

Sécurité informatique Sécurité sous .NET Sécurité sous ASP.NET Appliquer la sécurité

Sécurité sous ASP.NET

Sécurité sous ASP.NET

Fonctionnement de la sécurité– Authentification– Autorisation

Rôles Permissions

Sécurité sous ASP.NET

Fonctionnement de la sécurité

Sécurité sous ASP.NET

Login par formulaire

– Lier le code du formulaire avec la gestion des rôles, permission, etc. (web.config)

Sécurité sous ASP.NET

Login par impersonnalisation– Base la validation par la gestion NTFS de

l’utilisateur et doit être filtré par IP dans IIS Intéressant pour les Intranets

Plan

Sécurité informatique Sécurité sous .NET Sécurité sous ASP.NET Appliquer la sécurité