hacking ethique : accompagner les Équipes en charge …
TRANSCRIPT
![Page 1: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/1.jpg)
HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE DES ÉVOLUTIONS DU SI
NICOLAS BONNEFOUS
COO/CTO @VAADATA
Ethical Hacking – 5 Juillet 2019
![Page 2: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/2.jpg)
©VAADATA 2019 – tous droits réservés – ne pas divulguer
Spécialiste en tests d’intrusion (pentests).
Clients en national et en international
Audits de sécurité (pentests)
• Sites web, logiciels SaaS, apps mobiles
• IoT
• SI exposé sur le web
• Facteur humain (social engineering)
Consulting sécurité, Formations
VAADATASÉCURITÉ WEB, MOBILE ET IOT
![Page 3: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/3.jpg)
©VAADATA 2019 – tous droits réservés – ne pas divulguer
CONTEXTE BANQUES / FINTECH
Interopérabilité monétique
Digitalisation intégrale
Multiplication à outrance des acteurs du paiement
Instant Payment
APIs bancaires
Fusion-Acquisition, regroupements MASSIFS
NFC, QR Code
ECOSYSTEME EN PLEINE MUTATION
![Page 4: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/4.jpg)
[concept]HACKING ÉTHIQUE
![Page 5: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/5.jpg)
©VAADATA 2019 – tous droits réservés – ne pas divulguer
[concept] HACKING ÉTHIQUE
Le hacking peut se définir […] comme un ensemble de techniquespermettant d'exploiter les failles et vulnérabilités d'un élément ou d'ungroupe d'éléments matériels ou humains.
Source : Wikipedia
HACKING
![Page 6: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/6.jpg)
©VAADATA 2019 – tous droits réservés – ne pas divulguer
[concept] HACKING ÉTHIQUE
WHATEVER…
HACKING
![Page 7: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/7.jpg)
©VAADATA 2019 – tous droits réservés – ne pas divulguer
[concept] HACKING ÉTHIQUE
Que peut-on « hacker » ?
HACKING
![Page 8: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/8.jpg)
BLACK / GREY / WHITE BOXSECURITY TESTING
![Page 9: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/9.jpg)
©VAADATA 2019 – tous droits réservés – ne pas divulguer
ACCOMPAGNER LES ÉVOLUTIONS DU SI
Quel sens donner à cette « continuité » dont tout le monde parle ?
☞ Tests automatisés ? Tests manuels ?
Que peut-on réellement tester en continu ?
☞ Quelle surface ? Quel rythme d’évolutions ?
SÉCURITÉ EN CONTINU ?
![Page 10: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/10.jpg)
©VAADATA 2019 – tous droits réservés – ne pas divulguer
QUELS TYPES DE TESTS
Boite noire, grise, ou blanche ?
OBJECTIFS / POSITION
![Page 11: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/11.jpg)
©VAADATA 2019 – tous droits réservés – ne pas divulguer
QUEL PÉRIMÈTRE
Quel périmètre ?
Type de « surface d’attaque » ?
Défini par qui ?
Risques en dehors du périmètre ?
Attaque globale ?
PÉRIMÈTRE DES TESTS D’INTRUSION
![Page 12: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/12.jpg)
©VAADATA 2019 – tous droits réservés – ne pas divulguer
SECURITY BY DESIGN
KEEP IT SIMPLE
![Page 13: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/13.jpg)
©VAADATA 2019 – tous droits réservés – ne pas divulguer
COMPLEXITÉ vs. SÉCURITÉ
LA COMPLEXITÉ EST LE PIRE ENNEMI DE LA SÉCURITÉ
COMPLEXITY IS THE WORST ENEMY OF SECURITY
Bruce Schneier, Mikko Hyppönnen…
![Page 14: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/14.jpg)
©VAADATA 2019 – tous droits réservés – ne pas divulguer
SECURITY BY DESIGNCYCLE DE DÉVELOPPEMENT
Requirements
Définition des requirements
Revue des requirements
Design
Requirements
⬇
Spécifications
Requirements
⬇
Plan de tests
Développement
Bonnes pratiques
Revue de code
Tests unitaires
Checklist
Développement
Tests
Exécution du plan de tests
Pentests
Déploiement
Gestion des incidents
Revue finale
Checklist déploiement
Pentests
![Page 15: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/15.jpg)
©VAADATA 2019 – tous droits réservés – ne pas divulguer
TESTS DE SÉCURITÉ RÉGULIERS
FAIRE DES TESTS☛ APPLIQUER DES CORRECTIFS
A QUEL RYTHME ? Mensuel ? Trimestriel ?
Contraintes :
- Time To Market
- Réactivité des équipes (développement, devops)
- Budget
- Volonté
QUELLE FRÉQUENCE ?
![Page 16: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/16.jpg)
©VAADATA 2019 – tous droits réservés – ne pas divulguer
VARIER LES REGARDS
![Page 17: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/17.jpg)
2 CAS D’ATTAQUESTECHNIQUE / INGÉNIERIE SOCIALE
![Page 18: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/18.jpg)
CAS #1 - WEB
![Page 19: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/19.jpg)
©VAADATA 2019 – tous droits réservés – ne pas divulguer
2 CAS D’ATTAQUES DÉTAILLÉS
Faille Technique VS Faille Logique
Failles techniques = injections, mauvaises gestion de session, CSRF, composants vulnérables…
Beaucoup de failles techniques sont détectables via l’utilisation d’outils.
Les failles logiques ne sont pas détectables via des outils, du moins pas de manière générique.
Il est nécessaire de connaître la logique métier de l’application étudiée afin de pouvoir déterminer qu’un certain comportement est une faille logique.
Faille logique = liée au métier de l’application.
Exemples ? McDonalds & iPhone
CAS #1 – WEB – PUZZLE ATTACK
![Page 20: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/20.jpg)
©VAADATA 2019 – tous droits réservés – ne pas divulguer
2 CAS D’ATTAQUES DÉTAILLÉSCAS #1 – WEB – PUZZLE ATTACK
Exemple rencontré lors d’un audit.
Une plateforme de partage de données permet, en dehors de ses fonctionnalités de base, les actions suivantes :
• Création d’un espace public
• Personnalisation des CSS
• Création de contenu personnalisé (HTML)
• Choix d’une page par défaut sur l’espace
• Invitation d’utilisateurs à rejoindre l’espace (email automatique)
➤ Résultat ?
![Page 21: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/21.jpg)
©VAADATA 2019 – tous droits réservés – ne pas divulguer
2 CAS D’ATTAQUES DÉTAILLÉS
Attaque :
• Création d’un espace public (avec une adresse web qui donne confiance)
• Création de contenu personnalisé (création d’un faux formulaire de login envoyant les identifiants sur un serveur « pirate »)
• Personnalisation des CSS (pour copier l’apparence de la page officielle d’authentification)
• Choix d’une page par défaut sur l’espace (☛ la fausse page de login)
• Invitation d’utilisateurs à rejoindre l’espace (email automatique ☛On invite tout le monde)
CAS #1 – WEB – PUZZLE ATTACK
![Page 22: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/22.jpg)
CAS #2
![Page 23: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/23.jpg)
©VAADATA 2019 – tous droits réservés – ne pas divulguer
Contexte :
- Premier audit d’ingénierie sociale
- Pas de réels efforts de sensibilisation en interne
Objectifs de l’audit :
- Evaluer la sécurité de la société au global, sans objectif particulier
2 CAS D’ATTAQUES DÉTAILLÉS#2 – Startup Allemande – Finance – 200 personnes (1/5)
![Page 24: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/24.jpg)
©VAADATA 2019 – tous droits réservés – ne pas divulguer
Collecte d’informations :
L’audit est réalisé en boite noire, les attaques techniques et humaines sont autorisées.
Les applications sensibles sont plutôt robustes, les vulnérables peu intéressantes.
Peu d’informations sont obtenues quant aux rôles des personnes dans la société et quant aux fonctionnalités mises à disposition dans les applications et accès identifiés.
2 CAS D’ATTAQUES DÉTAILLÉS#2 – Startup Allemande – Finance – 200 personnes (2/5)
![Page 25: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/25.jpg)
©VAADATA 2019 – tous droits réservés – ne pas divulguer
Scénario :
Nous partons sur un scénario « à l’aveugle », visant une grande partie des collaborateurs (sauf l’équipe IT interne).
Nous prétextons une fuite de mots de passe, en usurpant l’identité d’une personne de l’équipe IT interne.
Une soixantaine de personnes seront visées.
2 CAS D’ATTAQUES DÉTAILLÉS#2 – Startup Allemande – Finance – 200 personnes (3/5)
![Page 26: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/26.jpg)
©VAADATA 2019 – tous droits réservés – ne pas divulguer
Exécution :
Dear all,
Recently, we have discovered a leak of a large number of credentials linked to XXXXX’ accounts.
It is an important security breach.
Therefore, we have created an internal tool to check if your passwords have been compromised or not.
Please use it as soon as possible and change immediately your passwords if they appear as compromised.
security.XXXXX.de
You also have an active role to play in ensuring the security of your information.
Thanks for the collaboration!
2 CAS D’ATTAQUES DÉTAILLÉS#2 – Startup Allemande – Finance – 200 personnes (4/5)
![Page 27: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/27.jpg)
©VAADATA 2019 – tous droits réservés – ne pas divulguer
Résultat :
6 mots de passe obtenus, nous permettant l’accès à de nombreux services en ligne utilisés par les collaborateurs :
- Plateforme de partage de fichiers sensibles
- Console de management
- Dépôts de code
- Gestion des tickets de support
2 CAS D’ATTAQUES DÉTAILLÉS#2 – Startup Allemande – Finance – 200 personnes (5/5)
![Page 28: HACKING ETHIQUE : ACCOMPAGNER LES ÉQUIPES EN CHARGE …](https://reader030.vdocuments.site/reader030/viewer/2022012420/6174a7eb1f6b7539ae4e0d99/html5/thumbnails/28.jpg)
MERCI !