DURÉE
2 jours
DATES
23-24 novembre 2010
24-25 mars 2011
28-29 juin 2011
PRIX
1 680 € ht (2 009,28 € ttc)
Sommaire du seminaire
    Séminaires technique Institut Capgemini
     

    Sécurité Web :
    l’état de l’art


    > évolutions des attaques et parades associées




    		 Illustré de nombreux exemples concrets et de démonstrations, ce séminaire dresse l’état de l’art et répond à toutes les préoccupations actuelles dans un domaine de la sécurité en pleine mutation : nouvelles techniques d’attaques sur le Web 2.0, les failles de SSL/TLS, attaques sur les certificats X509, sécurité J2EE, .NET et PHP, scanner de vulnérabilités Web, firewall applicatif et firewall XML, les architectures pour optimiser la sécurité et les performances du Web.

    • Comprendre les attaques spécifiques du Web (XSS, CSRF, cookie poisoning, parameter tampering, etc.).
    • Comment protéger les utilisateurs contre le phishing ou les attaques “Man In The Middle” ?
    • Quelles sont les parades efficaces contre le Cross Site Scripting et les SQL injections ?
    • Comment mettre en œuvre un firewall applicatif ?
    • Comment intégrer la sécurité dans le cycle de développement des applications ?
    • Comment auditer la sécurité d’une application Web ?
    • Comment assurer une haute disponibilité des applications ou “booster” les performances ?
    • Après les récentes failles découvertes, le protocole SSL/TLS est-il toujours sûr ?

    Problématique et rappels sur la sécurité Web

    • Problématique de la sécurité sur le Web
      • Attaques protocolaires vs attaques applicatives.
      • Pourquoi les applications Web sont-elles plus exposées ?
      • Le Web vecteur de croissance de la cybercriminalité ?
      • Qui sont les hackers ? Leurs motivations ? Leurs moyens ?
      • Les cinq mythes de la sécurité Web.
    • Évolutions des attaques sur le Web
      • Cycle de vie des vulnérabilités.
      • Classification et statistiques des failles Web.
      • Quels sont les OS, serveurs Web et frameworks les plus impactés et pourquoi ?
    • Rappels sur HTTP et les architectures Web classiques
      • TCP : principes de connexion, persistance et pipelining.
      • Le protocole HTTP 1.0 et 1.1 (PDU, options et en-têtes protocolaires).
      • Redirection HTTP, hôte virtuel, proxy cache et tunneling.
      • Architecture réseau, front-end/back-end server, proxy, reverse proxy, DMZ, etc.

    Panorama des techniques d’attaques sur le Web

    • Attaques sur l’application Web
      • Attaques Cross Site Scripting alias XSS.
      • Attaques SQL injection.
      • Les autres attaques spécifiques du Web (cookie poisoning, CSRF, session hijacking, etc.).
      • Les nouvelles failles introduites par le Web 2.0.
      • Webshell : une porte d’entrée dans votre SI via votre application Web.
      • Web Worm ou comment automatiser l’exploitation d’une faille sur le Web.
      • OWASP : les dix risques majeurs des applications Web (Top ten 2010).
      • Les principales attaques et vulnérabilités du Web selon la X-Force IBM.
    • Attaques sur le serveur Web
      • Exploitation de vulnérabilités (exemple avec attaque Unicode).
      • Attaques sur le paramétrage (directory transversal, mot de passe par défaut, etc.).
      • Attaques Smuggling et splitting HTML.
      • Attaques sur les certificats X509 serveurs (usurpation, collision MD5, préfixe nul).
    • Attaques sur le flux Web
      • Techniques de sniffing réseau et attaque “Man In The Middle”.
      • Attaque HTTPS stripping.
      • Attaques sur la cryptographie SSLv2, attaque en renégociation sur SSLv3/TLS.
    • Attaques sur le navigateur Web
      • L’exploitation de vulnérabilités.
      • Rootkit sur le navigateur : une menace critique encore méconnue.
    • Attaques sur l’utilisateur du Web
      • Attaques via les réseaux sociaux.
      • Technique de phishing.
      • Keylogger et autres codes malveillants.
      • Social engineering.

    Secure Socket Layer (SSL) et Transport Layer Security (TLS)

    • Les fondamentaux de cryptographie avec SSL et TLS
      • Les techniques cryptographiques utilisées dans SSL v2/v3 et TLS.
      • Certificats X509 et autorité de certification.
      • Nouveaux certificats X509 EV, quel apport pour la sécurité ?
      • L’impact de SSL sur la sécurité des firewalls UTM et des sondes IDS.
      • L’impact de SSL sur les performances des applications Web.
    • Les failles et attaques sur SSL/TLS
      • Attaque “Man In The Middle” avec sslsniff.
      • Attaque HTTPS stripping.
      • Faiblesse des algorithmes SSLv2.
      • Attaque en renégociation sur SSLv3/TLS.
      • Cryptanalyse hardware sur RSA 1024.
      • Usurpation de certificat X509 et attaque “Null prefix”.
      • Attaque sur OCSP.
    • Optimisation de la sécurité et des performances
      • Techniques de déport des traitements SSL/TLS sur reverse proxy.
      • La gestion matérielle SSL/TLS : Appliance ou carte embarquée sur serveur.
      • L’intérêt des cartes HSM SSL certifiées, critères communs ISO ou NIST FIPS-140 ?

    La sécurité des Web Services


    • Les protocoles et standards pour la sécurité
      • Niveau XML : XML Encryption et XML Signature.
      • Niveau SOAP : WS-Security, WS-Reliability.
      • Le contrôle d’accès : WS-Policy, XACML, SAML.
      • Les relations de confiance : WS-Federation, WS-Trust, XKMS, LibertyAlliance.
    • Vulnérabilités et attaques sur les Web Services
      • Les attaques d’injection (XML injection, XPath/XQuery injection).
      • Les attaques par rejeu de messages applicatifs.
      • Les attaques par brute force.
      • L’attaque XML Bomb.
    • Les firewalls applicatifs pour les Web Services
      • Quelle approche technologique, quelle efficacité ?
      • Les principaux produits sur le marché : Vordel XML Gateway, Deny-All rWeb XML Edition, L7T XML Firewall, etc.

    La sécurité des applications Web


    • Hardening des serveurs
      • En quoi consiste le “hardening” ? Comment procéder ?
      • La sécurisation de l’OS et du frontal HTTP/HTTPS.
      • Impact de la virtualisation sur la sécurité des applications Web.
    • Développement sécurisé des applications
      • La sécurité en environnement .NET, PHP et Java.
      • Intégrer la sécurité dans le cycle de développement des applications.
      • Les cinq phases du processus SDL (Security Development Lifecycle).
      • Valider son application via les techniques de “fuzzing”.
      • Les outils de revue de code orientés sécurité.
      • Qualifier son application avec l’ASVS (Application Security Verification Standard) de l’OWASP.
    • La protection avec un WAF (Web Application Firewall)
      • WAF ou firewall réseau : quelle différence ?
      • Le rôle du WAF, quelle efficacité, quelles limites ?
      • Construire son WAF en Open Source avec Apache en reverse proxy et ModSecurity.
      • Les principaux produits sur le marché (denyall rWeb, Beeware i-sentry, Citrix Netscaler Application Firewall, etc.).
      • Les critères d’évaluation d’un WAF selon le Web Application Security Consortium (WASC).
    • Haute disponibilité et performances
      • L’accélération HTTP par compression et réduction du volume des flux à la volée.
      • Les techniques de Web balancing et d’équilibrage de charges.
      • Le benchmarking d’une application Web, les outils de simulation de charge.
      • Comment utiliser la virtualisation pour améliorer la disponibilité et les performances ?
      • Quelle solution Open Source pour faire du reverse proxy cache et de l’accélération SSL ?

    Problématique de l’authentification des utilisateurs


    • Les techniques standards d’authentification
      • L’authentification HTTP Basic Authentication et HTTP Digest Authentication.
      • L’authentification applicative via un formulaire HTML, suivi des sessions utilisateurs.
      • Le fonctionnement de l’authentification via un proxy ou un reverse proxy.
    • Les solutions évoluées
      • L’authentification par certificat X509 client.
      • L’authentification évoluée avec calculette dynamique, CAPTCHA, etc.
      • L’authentification forte avec Smartcard, Token hardware ou ADN numérique.
      • Les solutions de Web SSO.
    • Les attaques sur les authentifications
      • Attaque sur les mots de passe : sniffing, brute force, phishing, keylogger.
      • Attaque “Man In The Middle”, attaque via les failles WEP et les hotspots WiFi.
      • Attaque sur une authentification HTTPS.

    Contrôle de la sécurité Web et validation juridique


    • Comment contrôler la sécurité du Web ?
      • Audit de sécurité ou test d’intrusion ? Quelles différences ? Les aspects techniques et juridiques.
      • La surveillance basée sur les IDS (Host-based, Network-based et Application-based).
      • Veille technologique : comment se tenir informé des nouvelles failles ou vulnérabilités du Web ?
      • Que faire en cas d’intrusion ? Comment procéder à une investigation numérique légale (computer forensics) ?
    • Les outils d’analyse et de contrôle
      • La détection de violation d’intégrité pour lutter contre le “site defacing”.
      • Scanners de vulnérabilités Web : quelle utilisation ? Quelles limites ? En Appliance ou ASP ?
      • Panorama des principaux produits du marché Webinspect (HP), Web Vulnerability Scanner (Acunetix), etc.
      • Que valent les scanners en Open Source (Nikto, Webscan, Webfuzzer, Wapiti) ?
    • Validation juridique
      • Comment traiter légalement les données à caractère personnel collectées par son site Web ?
      • Quelle responsabilité pour l’entreprise éditrice d’un site Web en cas de fraude via son site ?
      • Quid de la cybersurveillance, de l’utilisation de scanner, sniffer et autres outils ?
      • Cryptographie et réglementation : peut-on vraiment chiffrer au-delà de 128 bits ?
      • La réglementation française et les principales sanctions prévues par la loi.
      • Quel recours juridique en cas d’intrusion ?