Modélisation des menaces

Modélisation des menaces

Eric MitteletteEric Vernié

Microsoft France - DPE

Types d'attaques courants

Échec de la connexion

Attaquesd'entreprise

Données confidentielles

Violations accidentellesde la sécurité

Attaquesautomatisées

Pirates

Virus, chevaux de Troie et vers

Déni de service (DoS)

DoS

Qu'est-ce que la modélisation des menaces ?

LaLa modélisationmodélisation desdes menacesmenaces estest uneune analyseanalyse baséebasée sursur lala sécuritésécurité dontdont lesles objectifsobjectifs sontsont lesles suivantssuivants  ::

Aider l'équipe produit à identifier les vulnérabilités Aider l'équipe produit à identifier les vulnérabilités du produitdu produitÉvaluer les menaces relatives à une applicationÉvaluer les menaces relatives à une application Réduire les risques globaux à l'égard de la sécuritéRéduire les risques globaux à l'égard de la sécuritéIdentifier les ressourcesIdentifier les ressourcesDécouvrir les vulnérabilitésDécouvrir les vulnérabilitésIdentifier les menacesIdentifier les menacesPermettre d'établir la base des spécifications Permettre d'établir la base des spécifications de conception en matière de sécuritéde conception en matière de sécurité

Avantages de la modélisation des menaces

PermetPermet dede mieuxmieux comprendrecomprendre votrevotre applicationapplication

Permet de rechercher Permet de rechercher les erreursles erreurs

Permet d'identifier les Permet d'identifier les erreurs de conception erreurs de conception complexescomplexes

Permet d'intégrer de Permet d'intégrer de nouveaux membres à l'équipenouveaux membres à l'équipe

Permet d'établir des programmes Permet d'établir des programmes de test de sécurité bien conçusde test de sécurité bien conçus

Risque

Vulnérabilité

Ressource

Processus de modélisation des menaces

Identifier les ressources1

Créer une vue d'ensemble de l'architecture2

Décomposer l'application3

Identifier les menaces4

Documenter les menaces5

Évaluer les menaces6

Processus de modélisation des menaces

Processus de modélisation des menaces Étape 1 : Identifier les ressources

ÉtablissezÉtablissez lala listeliste desdes ressourcesressources devantdevant être protégéesêtre protégées  ::

Données confidentielles, telles que les Données confidentielles, telles que les bases de données des clientsbases de données des clients

Pages WebPages Web

Disponibilité systèmeDisponibilité système

Tous les autres éléments qui, s'ils étaient Tous les autres éléments qui, s'ils étaient endommagés, pourraient empêcher le bon endommagés, pourraient empêcher le bon fonctionnement de votre applicationfonctionnement de votre application

Processus de modélisation des menaces Étape 2 : Créer une vue d'ensemble de l'architecture

IdentifierIdentifier cece queque faitfait l'applicationl'applicationCréer un diagramme de l'architectureCréer un diagramme de l'architecture

Identifier les technologiesIdentifier les technologies

Autorisations NTFS(authentification)

Autorisation de fichierAutorisation d'URL

Rôles .NET(authentification)

Rôle défini par l'utilisateur(authentification)

SSL(Confidentialité/

Intégrité)

Frontière sécurisée

Alice MirwaultLaura BartoliVictor Nahas

IISIIS

Authentificationanonyme

Authentificationpar formulaires

IPSec(Privé/Intégrité)

Frontière sécurisée

ASPNET(identité du processus)Microsoft

ASP.NETMicrosoft ASP.NET

Authentification de Microsoft® Windows

MicrosoftSQL Server

Processus de modélisation des menaces Étape 3 : Décomposer l'application

DécomposezDécomposez l'applicationl'application

Créez un profil de sécurité Créez un profil de sécurité basé sur les domaines de basé sur les domaines de vulnérabilité classiquesvulnérabilité classiques

Examinez les interactions Examinez les interactions entre les différents sous-entre les différents sous-systèmessystèmes

Utilisez les diagrammes Utilisez les diagrammes UML ou de flux de UML ou de flux de donnéesdonnées

IdentifierIdentifier lesles frontièresfrontières sécuriséessécurisées

IdentifierIdentifier lele fluxflux dede donnéesdonnées

IdentifierIdentifier lesles pointspoints d'entréed'entrée

IdentifierIdentifier lele codecode privilégiéprivilégié

DocumenterDocumenter lele profilprofil dede sécuritésécurité

Processus de modélisation des menaces Étape 4 : Identifier les menaces

ConstituezConstituez uneune équipeéquipe

Identifiez les menacesIdentifiez les menacesMenaces liées au réseauMenaces liées au réseau

Menaces liées aux hôtesMenaces liées aux hôtes

Menaces liées à l'applicationMenaces liées à l'application

Types de menaces Exemples

USurpation Falsification de messages électroniques Rediffusion de paquets d'authentification

FalsificaTion Modification des données lors d'une transmission Changement des données dans des fichiers

Répudiation Suppression d'un fichier important et déni de l'action Achat d'un produit et déni de l'action

Divulgation d'Informations

Exposition d'informations dans des messages d'erreur Exposition de code sur des sites Web

Deni de serviceSubmersion d'un réseau avec des paquets SYNSubmersion d'un réseau avec des paquets ICMP falsifiés

Elévation de privilèges

Exploitation du débordement de mémoire tampon pour obtenir des privilèges systèmeObtention illégale des privilèges d'administrateur

Processus de modélisation des menaces Identifier les menaces à l'aide de STRIDE

Menace n°1 (I)Voir les informations relatives aux salaires

1.1Le trafic n'est pas protégé

1.2L'intrus voitle trafic

1.2.1Espionner le trafic avec un analyseur de protocole

1.2.2Écouter le traficdu routeur

1.2.2.1Routeur non équipé d'un correctif

1.2.2.2Endommager le routeur

1.2.2.3Deviner le mot de passe du routeur

1.0 Voir les informations relatives aux salaires (I) 1.1 Le trafic n'est pas protégé (ET) 1.2 L'intrus voit le trafic 1.2.1 Espionner le trafic avec un analyseur de protocole 1.2.2 Écouter le trafic du routeur 1.2.2.1 Routeur non équipé d'un correctif (ET) 1.2.2.2 Endommager le routeur 1.2.2.3 Deviner le mot de passe du routeur

Processus de modélisation des menaces Identifier les menaces à l'aide d'organigrammes des menaces

Processus de modélisation des menaces Étape 5 : Documenter les menaces

DocumenterDocumenter lesles menacesmenaces àà l'aidel'aide d'und'un modèlemodèle  ::

Ne pas renseigner le champ Risque Ne pas renseigner le champ Risque (pour l'instant)(pour l'instant)

Description de la menace Injection de commandes SQL

Cible de la menace Composant de l'accès aux données

Risque

Techniques d'attaque L'intrus ajoute des commandes SQL au nom d'utilisateur utilisé pour former une requête SQL

Contre-mesures Utiliser une expression régulière pour valider le nom d'utilisateur et une procédure stockée avec des paramètres pour accéder à la base de données

Processus de modélisation des menaces Étape 6 : Évaluer les menaces

UtilisezUtilisez lala formuleformule suivantesuivante  :: Risque = Probabilité * Dommage potentielRisque = Probabilité * Dommage potentiel

Utilisez le modèle DREAD pour noter Utilisez le modèle DREAD pour noter les menacesles menaces

Dommage potentielDommage potentiel  

ReproductibilitéReproductibilité  

ExploitationExploitation      Utilisateurs AffectésAffectés  

DécouverteDécouverte  

Processus de modélisation des menacesExemple : Évaluer les menaces

Menace n°1 (I)Voir les informations relatives aux salaires

1.1Le trafic n'est pas protégé

1.2L'intrus voitle trafic

1.2.1Espionner le trafic avec un analyseur de protocole

1.2.2Écouter le traficdu routeur

1.2.2.1Routeur non équipé d'un correctif

1.2.2.2Endommager le routeur

1.2.2.3Deviner le mot de passe du routeur

•Dommage potentiel•Utilisateurs affectésOu•Dommage

•Reproductibilité•Exploitation•DécouverteOu•Probabilité

Microsoft Confidential – NDA Material

Sur MSDN, retrouvez tout un ensemble de Sur MSDN, retrouvez tout un ensemble de ressources liées à la sécurité pour les ressources liées à la sécurité pour les développeursdéveloppeurs

Les meilleures articles techniques en françaisLes meilleures articles techniques en français

Les Webcasts (vidéos de formation) enregistrées lors Les Webcasts (vidéos de formation) enregistrées lors des Rencontres Sécurité de décembre 2005, et ceux, des Rencontres Sécurité de décembre 2005, et ceux, à venir, des Journées Microsoft de la Sécuritéà venir, des Journées Microsoft de la Sécurité

Des cours en ligne, en français et gratuitsDes cours en ligne, en français et gratuits

Les derniers bulletins de sécuritéLes derniers bulletins de sécurité

Et le jeu concours « Sale bug ! »Et le jeu concours « Sale bug ! »Chaque mois, un bug caché dans une portion de codeChaque mois, un bug caché dans une portion de code

Le mois suivant, la solution sur le site avec des liens vers des articles pour Le mois suivant, la solution sur le site avec des liens vers des articles pour en savoir plusen savoir plus

Et des lots à gagner, tout au long de l’annéeEt des lots à gagner, tout au long de l’année