Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Renaud Bidou, Deny All : Dinosaurs will Die

octobre 2013 par Marc Jacob

Lors des Assises de la sécurité, Renaud Bidou CTO Deny All a présenté une conférence dont le titre était "Dinosaurs will Die". Il a comparé les solutions de sécurité aux dinosaures en expliquant que si elles n’évoluaient pas rapidement, elles étaient vouées à disparaitre, de la même manière que les dinosaures ont disparu faute d’avoir su s’adapter.

En introduction il a expliqué que les dinosaures sont lourds, bêtes et maladroits. Selon lui, les produits de sécurité leurs ressemblent. En effet, ils sont lourds car souvent ils ont des valorisations boursières qui se chiffrent en plusieurs millions de dollars. Ils sont bêtes car, ils ont du mal à s’adapter à l’évolution des technologies. Enfin, ils sont maladroits car, soit ils laissent passer des attaques, soit ils bloquent le SI pour différents prétextes : faux positifs, patches de sécurité… Ainsi, plusieurs technologies se sont éteintes au fil du temps comme par exemple les filtrages proxy… ou évoluent sans apporter de réelles réponses aux nouvelles attaques comme par exemple les Firewall qui sont passés aux Firewalls de nouvelles générations, de mêmes dans les autres domaines comme les IDS, les IPS....

Ainsi, Renaud Bidou a rappelé que lors de la dernière édition de la Black Hat plusieurs conférences ont montré comment contourner tous les outils de sécurité du marché. De ce fait, selon lui ces outils devraient disparaître.

Pour expliquer cette innocuité, i a montré que les nouveaux langages de programmation comme HTML 5 ont introduit un nombre de risques considérable. De plus, on a de nouveaux formats comme HTTP, JSON, XML/REST qui cassent les anciennes méthodes de programmation. Par exemple, on peut faire du Java script sans utiliser des caractères alpha numérique, on a également des codes polymorphes pour remplacer le CSRF. Ainsi, ces nouvelles méthodes induisent une plus grande difficulté à détecter les attaques.

Il a fait plusieurs démonstrations pour étayer son propos comme par exemple la capture d’écran en utilisant une injection SQL pour récupérer les informations sur le montant de comptes bancaires. Il a aussi montré qu’il était possible en une seule requête de copier toute la structure d’une base de données, de même pour l’exécution de code de commande... Du fait de ces nouveaux outils et langages, les produits de sécurité sont très facilement contournables en modifiant un caractère.

Pour lui, nous sommes donc à la fin d’une ère. Il faut modifier les techniques d’analyse, identifier la nature des contenus et enfin donner de l’agilité aux administrateurs pour qu’ils puissent mieux interpréter les attaques. Le risque est de voir disparaitre les produits de sécurité !




Voir les articles précédents

    

Voir les articles suivants