Sébastien Gioria, président du chapitre français de l’OWASP /www.owasp.org a rappelé les principaux travaux de son association tant en France que dans le monde en remerciant l’Epita pour son accueil, les intervenants et les participants.

La sécurisation des web applications doit être prise en compte bien en amont dès la conception des projets

Renaud Bidou, directeur technique et R&D de Denyall, a tout d’abord rappelé le fonctionnement des applications web en détaillant les composants qui président à leur fonctionnement. Il a expliqué que si deux principaux standards ont été définis W3C et Oasis. Toutefois, quelques centaines d’autres standards ont été créés qui cohabitent. Cette multiplicité induit donc de nombreux problèmes de sécurité du fait des différentes recommandations qui sont proposées.

Cependant, la norme WS-Securiy sort du lot. Elle offre plusieurs niveaux de sécurité :

XML Signature pour signer tout ou partie d’un document. Cette signature peut-être interne ou externe au document.

XML-Encryption pour chiffrer tout ou partie du document. Le chiffrement peut être ou non embarqué dans les documents.

XML Security qui regroupe les deux première et/ou associé des tokens afin de valider/authentifier les documents.

Les XM Parsers pour leur part ne font pas partie de la norme WS-Security mais sont des composants standards utilisés pour analyser les documents XML.

Puis, il a décrit différents modes d’attaques :

1) XML Injection qui permet d’obtenir une élévation de privilèges.
2) Les dénis de service très simples à mettre en œuvre à partir d’une requête suffisamment profonde par exemple de 1.000 nœuds. Cette profondeur induit une utilisation de plus de 80% du CPU.
3) Les injections de champs de type < ![C DATA[]]> permet de bypasser tous les systèmes de détection.
4) BasicxPatch Injection qui utilise des mécanismes de SQL Injection.
5) XML Document Dump est une injection xpath qui utilise la spécificité d’un opérateur pour récupérer l’ensemble d’un document XML.
6) Blind xPath Injection trouvé depuis 2004. Cette attaque est, selon Renaud Bidou, très longue à réaliser car le pirate informatique doit faire des tests bit par bit.
7) DOS on SOAP utilise les en-têtes et les attachements
8) SOAP Message Replay qui permet de faire un déni de service en exploitant l’absence de gestion des sessions de messages envoyés.
9) XSLT Transform qui utilise la signature XML. Cette attaque est réalisée en créant une fausse adresse et en la modifiant durant le processus.
10) Chiffrement de la clé en boucle : cette attaque est directement décrite dans les standards en mettant en garde les utilisateurs.

A ces attaques, il faut bien sûr rajouter le Top 10 de l’OWASP : XSS, File Execution, Insecure Object document…

Pour conclure son intervention, il a rappelé que si jusqu’à présent les attaques sur les web applications étaient rares dans le passé, elles devraient sans doute s’accroitre avec le développement de ces technologies. Il a recommandé de sécuriser les web applications en amont des projets.

OpenSAMM vers une nouvelle norme ?

Carlo Merloni, expert sécurité de Fortify Software, en préambule de son intervention, a montré que malgré toutes les normes existantes et les outils déployés, la sécurité des applications web reste insuffisante. Pour lui, les normes en vigueur comme CMME (Content Management Made Easy) sont plutôt adaptées aux grandes entreprises. La norme OpenSAMM (www.opensamm.org) conçue par des membres de l’OWASP est issue de leurs expériences. Elle permet de définir des règles de base pour améliorer la sécurité globale des applications web. Elle offre la possibilité à ses utilisateurs d’évaluer leurs niveaux de sécurité et un processus pour élever leur niveau de sécurité. Elle a été élaborée de façon pragmatique afin d’être utilisable par les PME. Elle propose 4 volets :

1) La gouvernance qui inclut la stratégie, les métriques, la politique de sécurité, la compliance et l’éducation des utilisateurs.
2) La construction qui intègre des modèles et des typologies d’attaques, mais aussi la conception d’architecture sécurisée avec les revues de code, de design...
3) La vérification pour analyser le comportement des applications suite à des attaques
4) Le déploiement dans les infrastructures. Cette norme suggère que, durant cette étape, les équipes développement et réseaux travaillent de concert.

Il a également décrit les différents niveaux de maturité que l’on rencontre dans les sociétés du niveau 0 jusqu’à des niveaux de sécurité acceptables voire satisfaisants.

Dans le futur, cette méthodologie, qui a été publiée début 2009, devrait être liée aux autres normes existantes. Il faut en retenir que l’OpenSAMM permet d’aider les équipes sécurité à chiffrer l’effort à fournir pour sécuriser leurs applications web en cohérence avec la politique sécurité de leurs entreprises.