Drupal, les hackers, la sécurité & les (très) grands comptes
Transcript of Drupal, les hackers, la sécurité & les (très) grands comptes
![Page 1: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/1.jpg)
DRUPAL, LES HACKERS, LA SéCURITé& LES (TRèS) GRANDS COMPTES
![Page 2: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/2.jpg)
jbguerraz@SKILLD:~$ whoami
● 13 ans d' IP– Vidéo : VOD & Live (Web, Mobiles & Télé)
– Voix & Vidéo sur IP / Télécommunications
– Applications clients/serveurs (Win/Mac/Linux/Mobiles)
– Sites Web
● Dont 6 ans de Drupal● Dir. Tech & Co-fondateur de Skilld
![Page 3: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/3.jpg)
La sEcurité, hier, C'était ...
1ère icône :
la défense gouvernementalemade in US'
<source label="Washington Post" href="http://wapo.st/1wvGybr" />
![Page 4: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/4.jpg)
La sEcurité, hier, C'était ...
2ème icône
Le standard sécurité du paiement par carte bancaire
<source label="Washington Post" href="http://wapo.st/1wvGybr" />
![Page 5: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/5.jpg)
La sEcurité, hier, C'était ...
3èMe icône :
LA NOTRE ! :)
<source label="Presse Citron" href="http://bit.ly/1tORbEo" />
![Page 6: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/6.jpg)
![Page 7: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/7.jpg)
La sEcurité, aujourd'hui, qu'est-ce ?
ᄇ
2 milliards de dollarsde dommagespour Sony
Et ça continue !
<source label="La Tribune" href="http://bit.ly/1xUd8Gq" />
<source label="CNN" href="http://cnnmon.ie/1yDYPFR" />
![Page 8: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/8.jpg)
La sEcurité, aujourd'hui, qu'est-ce ?
40 Millions de numéros de cartes de crédits
70 millions de données personnelles
Et...
5 millions de dollars de DOMMAGES Pour target !
<source label="Silicon.fr" href="http://bit.ly/11mNeRu" />
![Page 9: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/9.jpg)
La sEcurité, aujourd'hui, qu'est-ce ?
20 Millions de numéros de cartes de crédits
40 % de la population sud coréenne
Et...
3 têtes qui s'offrent !
<source label="CNN" href="http://cnnmon.ie/1aob1nw" />
![Page 10: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/10.jpg)
La sEcurité, aujourd'hui, qu'est-ce ?
4.6 million de comptes (numéros de téléphone compris!)
90 000 photos
9 000 vidéos
<source label="The Verge" href="http://bit.ly/1gmPevh" />
![Page 11: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/11.jpg)
La sEcurité, aujourd'hui, qu'est-ce ?
150 million de comptes (N° de cartes de crédits compris)
Code source des produits Adobe« Adobe Acrobat, ColdFusion, ColdFusion Builder and other
Adobe products »
<source label="The Verge" href="http://bit.ly/1pXxJdX" />
![Page 12: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/12.jpg)
La sEcurité, aujourd'hui, qu'est-ce ?
Données personnelles de 4,5 million de PATIENTS
(numéros de sécurité sociale)
<source label="Reuters" href="http://reut.rs/1tkLkcN" />
![Page 13: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/13.jpg)
La sEcurité, aujourd'hui, qu'est-ce ?
PAR Volume PAR Sensibilité
Les plus grosses failles du monde !
<source label="InformationIsBeautiful" href="http://bit.ly/19xscQO" />
![Page 14: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/14.jpg)
![Page 15: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/15.jpg)
La sEcurité, demain, ce sera ?
![Page 16: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/16.jpg)
La sEcurité, demain, ce sera ?
Bulletin de sécurité
https://www.drupal.org/PSA-2014-003
<source label="BBC" href="http://bbc.in/1zm1N5N" />
![Page 17: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/17.jpg)
La sEcurité, demain, ce sera ?
Difficile ?
<source label="Tor Onions" href="%00" />
![Page 18: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/18.jpg)
La sEcurité, demain, ce sera ?
Difficile, vraiment ?
<source label="Mitnick Security" href="http://bit.ly/1oTMb5K" />
![Page 19: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/19.jpg)
Préoccupations des Grands comptes ?
$
![Page 20: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/20.jpg)
Préoccupations des Grands comptes ?
4,8 M€
3,89 M€
+20,5 %
2013
2014
Coût annuel du Cybercrime en France
<source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
![Page 21: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/21.jpg)
Préoccupations des Grands comptes ?
Virus, Vers, TrojansMalware
Attaque WebPhishing & Social
Enemi de l'intérieurCode malicieux
Matériel volé(d)DoS
Botnets
0
2
4
6
8
10
12
14
16
18
2013
2014
Répartition du coût du Cybercrime en France par type d'attaque
<source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
![Page 22: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/22.jpg)
Préoccupations des Grands comptes ?
Répartition du coût du Cybercrime en France par type d'attaque
Virus, Vers, TrojansMalware
Attaque WebPhishing & Social
Enemi de l'intérieurCode malicieux
Matériel volé(d)DoS
Botnets
0
2
4
6
8
10
12
14
16
18
2013
2014
<source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
![Page 23: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/23.jpg)
Préoccupations des Grands comptes ?
Détection Restauration Containment Investigation Ex-post response Incident mngt0
5
10
15
20
25
30
35
40
2013
2014
Répartition du coût du Cybercrime en France par source d'activités
<source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
![Page 24: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/24.jpg)
Préoccupations des Grands comptes ?
Détection Restauration Containment Investigation Ex-post response Incident mngt0
5
10
15
20
25
30
35
40
2013
2014
Répartition du coût du Cybercrime en France par source d'activités
<source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
![Page 25: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/25.jpg)
Préoccupations des Grands comptes ?
Impact sur la clientèle / la marque ?
Perte de clientèle (%) post-piratage par pays
France : CHAMPIONS du monde !
FR IT UK US JP DE AU ID BZ AB0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
2013
2014
<source label="Ponemon Institute" href="http://bit.ly/1urTWjW" />
![Page 26: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/26.jpg)
Comment vendre Drupal ?
Drupal est utilisé par plus de 130 nations ! (sur 197)
<source label="Acquia" href="http://bit.ly/1znS8bX" />
![Page 27: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/27.jpg)
Comment vendre Drupal ?
![Page 28: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/28.jpg)
Comment vendre Drupal ?
![Page 29: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/29.jpg)
Comment vendre Drupal ?
Drupal security Team
Une équipe dédiée à la sécurité, depuis 2005,
composée de 43 personnes
~50% de la taille des équipes
concurrentes ?!
![Page 30: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/30.jpg)
Comment vendre Drupal ?
Drupal security Team
Une capacité de communication et de mobilisation éprouvée
<source label="BBC" href="http://bbc.in/1zm1N5N" />
![Page 31: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/31.jpg)
Comment vendre Drupal ?
La concurrence et la sécurité ?
Java :● Adobe Experience Manager (CQ5)
● HP Autonomy Teamsite● Jive● Lithium
.Net :● Sitecore● SDL Tridion● Ektron CMS
![Page 32: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/32.jpg)
![Page 33: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/33.jpg)
Comment vendre Drupal ?
La concurrence et la sécurité ?
Java :● Adobe Experience Manager (CQ5)
● HP Autonomy Teamsite● Jive● Lithium
.Net :● Sitecore● SDL Tridion● Ektron CMS
<source label="White Hat Sec" href="http://bit.ly/1EIFO98" />
![Page 34: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/34.jpg)
<source label="VentureBeat" href="http://bit.ly/1zMsh0y" /><source label="La Tribune" href="http://bit.ly/113SdW4" />
![Page 35: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/35.jpg)
Comment vendre Drupal ?
La concurrence et la sécurité ? - SiteCore
![Page 36: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/36.jpg)
Comment vendre Drupal ?
La concurrence et la sécurité ? - SiteCore
![Page 37: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/37.jpg)
Comment vendre Drupal ?
La concurrence et la sécurité ? - SiteCore
![Page 38: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/38.jpg)
Comment vendre Drupal ?
La concurrence et la sécurité ? - SiteCore
![Page 39: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/39.jpg)
Comment vendre Drupal ?
La concurrence et la sécurité ? - Adobe Experience Manager (Cq5)
![Page 40: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/40.jpg)
1
Comment vendre Drupal ?
La concurrence et la sécurité ? - Adobe Experience Manager (Cq5)
![Page 41: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/41.jpg)
![Page 42: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/42.jpg)
Comment vendre Drupal ?
Dégager du budget pour renforcer la sécurité ?
![Page 43: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/43.jpg)
OWASp, Kezako ?
Open Web Application Security Project
LA liste des 10 risques les plus CRITIQUES pour les applications web
(mise a jour chaque année !)
aussi, un ensemble :● D'outils
● De méthodes● De conseils
● ...
&
Une communauté !
![Page 44: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/44.jpg)
OWASp, Kezako ?
● A1 – Injection
● A2 – Authentification & Sessions
● A3 – XSS
● A4 – références directes
● A5 – configurations
● A6 – Exposition de données sensibles
● A7 – Contrôle d'accès
● A8 – CSRF
● A9 – Dépendances
● A10 - Redirections
![Page 45: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/45.jpg)
Drupal & Owasp : tu peux pas test !(euh...)
<source label="Drupal Security Report" href="http://bit.ly/1EIGBXI" />
![Page 46: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/46.jpg)
Drupal & Owasp : tu peux pas test !(euh...)
XSS – la réponse Drupal ?
Trop c'est mieux que pas assez !
~
Mettez en « partout » ;)
~
P.S :t('utilisez les @placeholders
pour vos chaînes traductibles');
![Page 47: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/47.jpg)
Drupal & Owasp : tu peux pas test !(euh...)
Access bypass – la réponse Drupal ?
<?phpfunction monmodule_menu() { $items['admin/monmodule/configuration'] = array( 'title' => 'Configuration de MonModule', 'page callback' => 'drupal_get_form', 'page arguments' => array('monmodule_config_form'), 'access arguments' => array('administer monmodule'), ); return $items;}?>
<?phpfunction monmodule_faitletrucquivabien() {… if(user_access('lapermissionquivabien')) { //Ok, faisons donc le truc qui va bien }…}?>
![Page 48: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/48.jpg)
Drupal & Owasp : tu peux pas test !(euh...)
CSRF – la réponse Drupal ?
Les Jetons !
$csrf_token = drupal_get_token() ;
…
if(drupal_valid_token($csrf_token) ){ //Ok, let's do it !}
…
Offert par la form API, sans effort supplémentaire !
ET au besoin, pour le get :
![Page 49: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/49.jpg)
Drupal & Owasp : tu peux pas test !(euh...)
SQL Injection – la réponse Drupal ?
PHP PDO « façon Drupal » : DBTNG
<?phpfunction monmodule_faitletrucquivabien() {… $arguments = array(':name' => $name, ':uid' => $uid); db_select('dbtng_example') ->fields('dbtng_example') ->where('uid = :uid AND name = :name', $arguments) ->execute();…}?>
![Page 50: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/50.jpg)
● Seckit● Paranoia
● Google Authenticator Login● Two Factors Authentication
● Encrypt
● Flood control● Session limit● Auto log out
● Secure login / secure pages
(bien que... HTTPS uniquement !)
● Md5 check MODULES
![Page 51: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/51.jpg)
Recommandez Un ou deux chiens de garde !
Les WAF A la rescousse !
+
=
![Page 52: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/52.jpg)
We have met the enemy !
![Page 53: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/53.jpg)
We have met the enemy !
DorkS
![Page 54: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/54.jpg)
![Page 55: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/55.jpg)
We have met the enemy !
GIThub
DorkS
![Page 56: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/56.jpg)
![Page 57: Drupal, les hackers, la sécurité & les (très) grands comptes](https://reader033.fdocuments.in/reader033/viewer/2022060205/55a101911a28ab41768b458c/html5/thumbnails/57.jpg)