<!-- If the browser does not support frames put the first topic content here --> <div class="WordSection1"> <p class="titredocument"><span style= 'font-size:15.0pt'>Sécurisation des applications <i>Web</i></span></p> <h2><a name="_Toc96200769"><span style='font-size:15.0pt'>Activité 4 : Brèche sur des informations confidentielles</span></a></h2> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style= 'margin-left:-.85pt;border-collapse:collapse'> <tr style='height:11.25pt'> <td width="125" style= 'width:93.4pt;border:solid navy 1.0pt;border-right:none; background:#6699CC;padding:3.0pt 3.0pt 3.0pt 3.0pt;height:11.25pt'> <p class="Standard" align="center" style='text-align:center'> <span style='font-size:9.0pt;color:white'>Propriétés</span></p> </td> <td width="491" style= 'width:368.35pt;border:solid navy 1.0pt;background:#6699CC; padding:3.0pt 3.0pt 3.0pt 3.0pt;height:11.25pt'> <p class="Standard" align="center" style='text-align:center'> <span style='font-size:9.0pt;color:white'>Description</span></p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Intitulé long</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">Exploitation d'une plateforme d'apprentissage des vulnérabilités des applications <i>Web</i></p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Intitulé court</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">Sécurisation des applications <i>Web</i></p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Formation concernée</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">BTS Services Informatiques aux Organisations</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Matière</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard" style='layout-grid-mode:char'>Bloc 3 : Cybersécurité des services informatiques en deuxième année SLAM</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Présentation</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">Cet atelier a pour objectif d'exploiter la plateforme d'apprentissage Mutillidae (OWASP) afin de se familiariser avec les principales vulnérabilités des applications web.</p> <p class="Standard">Chaque activité couvre une problématique spécifique (SQLi, XSS, CSRF…) en référence au top 10 des vulnérabilités décrites par l'OWASP (page 4).</p> <p class="Standard">Dans un premier temps, Vous devez réaliser les attaques associées à chaque vulnérabilité.</p> <p class="Standard">Dans un deuxième temps, l’objectif est d’analyser et de comprendre les codes sources des scripts présentés dans leur forme non sécurisée puis sécurisée en tant que contre-mesure.</p> <p class="Standard"> </p> <p class="Standard"><b>Cette quatrième activité</b> traite des vulnérabilités associées aux brèches sur des informations confidentielles. Cette faille arrive en 3ième position dans le classement <i>OWASP</i> 2017.</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Compétences</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard" style= 'margin-left:36.0pt;text-indent:-18.0pt;layout-grid-mode: char'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> Protéger les données à caractère personnel ;</p> <p class="Standard" style= 'margin-left:54.0pt;text-indent:-18.0pt;layout-grid-mode: char'> ○<span style= 'font:7.0pt "Times New Roman"'> </span> Identifier les risques liés à la collecte, au traitement, au stockage et à la diffusion de données à caractère personnel.</p> <p class="Standard" style= 'margin-left:36.0pt;text-indent:-18.0pt;layout-grid-mode: char'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> Garantir la disponibilité, l’intégrité et la confidentialité des services informatiques et des données de l’organisation face à des cyberattaques.</p> <p class="Standard" style= 'margin-left:54.0pt;text-indent:-18.0pt;layout-grid-mode: char'> ○<span style= 'font:7.0pt "Times New Roman"'> </span> Caractériser les risques liés à l’utilisation malveillante d’un service informatique ;</p> <p class="Standard" style= 'margin-left:54.0pt;text-indent:-18.0pt;layout-grid-mode: char'> ○<span style= 'font:7.0pt "Times New Roman"'> </span> Recenser les conséquences d’une perte de disponibilité, d’intégrité ou de confidentialité.</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Savoirs</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard" style= 'margin-left:36.0pt;text-indent:-18.0pt;layout-grid-mode: char'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> Chiffrement, authentification et preuve ; principes et techniques ;</p> <p class="Standard" style= 'margin-left:36.0pt;text-indent:-18.0pt;layout-grid-mode: char'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> Sécurité des applications web : risques, menaces et protocoles.</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Prérequis</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard" style='layout-grid-mode:char'>Commandes de base d’administration d’un système <i>Linux</i>, langages <i>PHP</i> et <i>JavaScript</i>. Dans <a href= "https://www.reseaucerta.org/securisation-des-applications-web-owasp-activite1"> <span style='color:navy;text-decoration:none'>l’activité 1</span></a>, avoir lu la présentation (<i>owasp-presentation-v1.1</i>) et réalisé les installations décrites dans le fichier <i>owasp-mise_en_place-v1.1</i>.</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Outils</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard" style='layout-grid-mode:char'>Deux machines virtualisées (sous Virtualbox) sont fournies avec Linux (Debian 9) comme système d’exploitation.</p> <p class="Standard" style='layout-grid-mode:char'> </p> <p class="Standard" align="left" style= 'text-align:left;layout-grid-mode:char'>Sites officiels :<br /> <a href="https://www.owasp.org/"><span style= 'color:navy;text-decoration: none'>https://www.owasp.org</span></a> et <a href= "https://portswigger.net/burp/communitydownload"><span style= 'color: navy;text-decoration:none'>https://portswigger.net/burp/communitydownload</span></a></p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Mots-clés</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">OWASP, Mutillidae 2.6.60, BurpSuite 1.7.29, vulnérabilités, SQLi, XSS, IDOR.</p> </td> </tr> <tr style='page-break-inside:avoid'> <td width="125" valign="top" style= 'width:93.4pt;border-top:none;border-left: solid navy 1.0pt;border-bottom:solid navy 1.0pt;border-right:none;padding: 3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard"><b><span style= 'font-size:9.0pt;color:#990033'>Durée</span></b></p> </td> <td width="491" valign="top" style= 'width:368.35pt;border:solid navy 1.0pt; border-top:none;padding:3.0pt 3.0pt 3.0pt 3.0pt'> <p class="Standard">Une heure minimum pour cette activité.</p> </td> </tr> </table> <p class="Standard"><span style= 'font-size:15.0pt'> </span></p> <p class="Standard"> </p> <p class="Standard" style='page-break-before:always'> </p> <p class="MsoToc2"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200769">Activité 4 : Brèche sur des informations confidentielles<span style= 'color:windowtext; text-decoration:none'> </span> <span style= 'color:windowtext;text-decoration:none'>1</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200770">I<span style= 'color:windowtext;text-decoration:none'> </span> Problématique des informations confidentielles<span style= 'color:windowtext;text-decoration:none'> </span> <span style= 'color:windowtext;text-decoration:none'>2</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200771">II<span style= 'color:windowtext;text-decoration:none'> </span> Classification technique des données confidentielles<span style= 'color:windowtext;text-decoration: none'> </span> <span style= 'color:windowtext;text-decoration:none'>4</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200772">III<span style= 'color:windowtext;text-decoration:none'> </span> Les enjeux de la sécurité des données confidentielles<span style= 'color:windowtext;text-decoration: none'> </span> <span style= 'color:windowtext;text-decoration:none'>4</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200773">1<span style= 'color:windowtext;text-decoration:none'> </span> Panorama des risques<span style= 'color:windowtext;text-decoration:none'> </span> <span style= 'color:windowtext;text-decoration:none'>4</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200774">2<span style= 'color:windowtext;text-decoration:none'> </span> Conséquences des évènements redoutés<span style= 'color:windowtext;text-decoration:none'> </span> <span style= 'color:windowtext;text-decoration:none'>4</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200775">IV<span style= 'color:windowtext;text-decoration:none'> </span> La réglementation concernant les données confidentielles<span style= 'color:windowtext;text-decoration: none'> </span> <span style= 'color:windowtext;text-decoration:none'>5</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200776">V<span style= 'color:windowtext;text-decoration:none'> </span> Bonnes pratiques<span style= 'color:windowtext;text-decoration:none'> </span> <span style= 'color:windowtext;text-decoration:none'>5</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200777">VI<span style= 'color:windowtext;text-decoration:none'> </span> Objectifs et architecture générale des labos<span style= 'color:windowtext;text-decoration: none'> </span> <span style= 'color:windowtext;text-decoration:none'>6</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200778">VII<span style= 'color:windowtext;text-decoration:none'> </span> Premier défi : Affichage d’une page de configuration confidentielle <span style= 'color:windowtext;text-decoration:none'>7</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200779">1<span style= 'color:windowtext;text-decoration:none'> </span> Objectif<span style= 'color:windowtext;text-decoration:none'> </span> <span style= 'color:windowtext;text-decoration:none'>7</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200780">2<span style= 'color:windowtext;text-decoration:none'> </span> À vous de jouer<span style= 'color:windowtext;text-decoration:none'> </span> <span style= 'color:windowtext;text-decoration:none'>7</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200781">VIII<span style= 'color:windowtext;text-decoration:none'> </span> Deuxième défi : Brèche dans la configuration SSL (facultatif)<span style= 'color:windowtext; text-decoration:none'> </span> <span style= 'color:windowtext;text-decoration:none'>8</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200782">1<span style= 'color:windowtext;text-decoration:none'> </span> Objectif<span style= 'color:windowtext;text-decoration:none'> </span> <span style= 'color:windowtext;text-decoration:none'>8</span></a></span></p> <p class="MsoToc5"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200783">2<span style= 'color:windowtext;text-decoration:none'> </span> À vous de jouer<span style= 'color:windowtext;text-decoration:none'> </span> <span style= 'color:windowtext;text-decoration:none'>8</span></a></span></p> <p class="MsoToc4"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200784">IX<span style= 'color:windowtext;text-decoration:none'> </span> Conclusion<span style= 'color:windowtext;text-decoration:none'> </span> <span style= 'color:windowtext;text-decoration:none'>9</span></a></span></p> <p class="MsoToc1"><span class="MsoHyperlink"><a href= "start.htm#_Toc96200785">Dossier 1 : Récupération de la page secrète de configuration <i>phpinfo</i><span style= 'color:windowtext;text-decoration:none'> </span> <span style= 'color:windowtext;text-decoration:none'>10</span></a></span></p> <p class="Standard"> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200770">I<span style= 'font:7.0pt "Times New Roman"'> </span> Problématique des informations confidentielles</a></h4> <p class="Standard">Les informations confidentielles sont des données ne devant en aucun cas être dévoilées à des tiers autres que ceux qui disposent des autorisations pour les consulter ou les traiter. Parmi les données confidentielles, on trouve :</p> <p class="Standard"> </p> <p class="Standard"><b>Les données à caractère personnel</b></p> <p class="Standard"> </p> <p class="Standard">D’après la CNIL, une <b>donnée à caractère personnel (DCP)</b> est toute information se rapportant à une personne physique identifiée ou identifiable. Une personne physique peut être identifiée directement ou indirectement à partir du croisement d’un ensemble de données. Parmi les informations personnelles, certaines <b>données sont qualifiées de sensibles</b> car révélant une appartenance politique ou syndicale, des problèmes de santé ou toute autre information qui pourrait entraîner une discrimination.</p> <p class="Standard"> </p> <p class="Standard">Quelques exemples :</p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> numéro de sécurité social ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> traitement pris par un patient ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> identifiants de connexion ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> informations sur des moyens de paiement...</p> <p class="Standard"> </p> <p class="Standard"><b>Les autres données confidentielles</b></p> <p class="Standard"> </p> <p class="Standard">Il s’agit notamment des données techniques relatives à des configurations systèmes et réseaux qui ne doivent pas être divulguées au risque d’être exploitées de manière malveillante.</p> <p class="Standard"> </p> <p class="Standard">Quelques exemples :</p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> fichier de configuration décrivant l’architecture d’un serveur <i>Web</i> ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> plan du réseau d’une entreprise avec l’adressage IP ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> détails des configurations ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> code source de certains programmes ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> tout type d’information sensible pouvant affecter la sécurité du système informatique...</p> <p class="Standard"> </p> <span style= 'font-size:12.0pt;font-family:"Arial",sans-serif'><br clear="all" style='page-break-before:always' /></span> <p class="MsoNormal"><b><span style= 'font-size:14.0pt;color:#660066'> </span></b></p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200771">II<span style= 'font:7.0pt "Times New Roman"'> </span> Classification technique des données confidentielles</a></h4> <p class="Standard" style='margin-bottom:4.0pt'>La sécurisation des données confidentielles nécessite de bien appréhender la classification technique suivante :</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> <b>Les données au repos </b>: il s’agit des données archivées sur un support et ne faisant pas l’objet d’un traitement.</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> <b>Les données en cours de traitement </b>: il s’agit des données qui sont manipulées par un programme effectuant un traitement permettant d’obtenir un résultat.</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> <b>Les données en transit </b>: il s’agit des données qui circulent à travers un réseau de communication (filaire ou sans fil).</p> <p class="Standard">Une donnée peut passer d’une catégorie à une autre. Cette classification n’est pas spécifique aux données confidentielles mais est nécessaire pour appliquer les traitements de sécurisation adéquats.</p> <p class="Standard"> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200772">III<span style= 'font:7.0pt "Times New Roman"'> </span> Les enjeux de la sécurité des données confidentielles</a></h4> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200773">1<span style= 'font:7.0pt "Times New Roman"'> </span> Panorama des risques</a></h5> <p class="Standard">Les principaux <b>évènements redoutés</b> liées à une carence de sécurité sur les données confidentielles sont les suivants :</p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> accès illégitime aux DCP et aux autres informations confidentielles ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> modification non désirée des DCP et des autres informations confidentielles ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> disparition des DCP et des autres informations confidentielles ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> exploitation malveillante des informations confidentielles obtenues.</p> <p class="Standard"> </p> <p class="Standard">Ces évènements redoutés peuvent se manifester via les <b>menaces</b> suivantes :</p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> espionnage d’un matériel permettant d’observer des données interprétables tels que des identifiants de connexion ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> détournement d’usage d’une application permettant d’obtenir de manière illégale des données, d’élever ses privilèges et de croiser des données ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> analyse d’un logiciel via l’étude d’un code source permettant de déterminer les défauts exploitables, de tester des réponses d’une base de données à des requêtes malveillantes ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> attaque de type <i>MITM</i> (<i>Man In The Middle</i>) via un canal informatique permettant de modifier ou d’ajouter des données à un flux réseau et d’effectuer des rejeux (réémission d’un flux intercepté) ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> dépassement des limites d’un logiciel permettant de substituer un dispositif légitime par un dispositif illégitime de captation des données ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> limites d’une personne : manipulation et ingénierie sociale permettant de révéler des informations et de les croiser afin d’obtenir des informations confidentielles.</p> <p class="Standard"><span style='color:#0369A3'> </span></p> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200774">2<span style= 'font:7.0pt "Times New Roman"'> </span> Conséquences des évènements redoutés</a></h5> <p class="Standard">Les conséquences d’une brèche sur la confidentialité des informations sont les suivantes :</p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> usurpation d’identité permettant d’effectuer des opérations frauduleuses : envoi de mail mensongers, fraudes financières… ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> impact sur l’image et la vie privée des salariés ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> préparation et mise en place d’une attaque sur le réseau informatique suite aux informations recueillies, mise en place d’une porte dérobée (<i>backdoor)</i> permettant à l’attaquant de revenir sur le système cible ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> perte d’argent pour l’entreprise suite aux opérations frauduleuses commises ou suite aux condamnations judiciaires dues à des négligences sur le stockage et le traitement des données confidentielles ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> atteinte à la réputation de l’entreprise, les clients préférant s’adresser à un concurrent qui sécurise mieux les données confidentielles ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> destruction des données pouvant compromettre la survie de l’entreprise ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> impacts organisationnels liées aux conséquences sur les services des fuites constatées ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> impact catastrophique si l’organisation victime est classée comme Opérateur d’Importance Vitale (OVI). Un <b>opérateur d'importance vitale</b> (<b>OIV</b>) est, en France, une organisation identifiée par l'État comme ayant des activités indispensables à la survie de la nation ou dangereuses pour la population (https://fr.wikipedia.org/wiki/Op%C3%A9rateur_d%27importance_vitale) .</p> <p class="Standard"> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200775">IV<span style= 'font:7.0pt "Times New Roman"'> </span> La réglementation concernant les données confidentielles</a></h4> <p class="Standard"><b> </b></p> <p class="Standard">La réglementation sur l’archivage et la protection des données prévoit des limitations de durée pour la conservation de ces données et prévoit aussi que des mécanismes de protections adaptés soient mis en place.</p> <p class="Standard"> </p> <p class="Standard">Concernant la durée de conservation des données, les principaux chiffres associés au RGPD (Règlement Général sur la Protection des Données) sont :</p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> 3 ans : les données personnelles des personnes inactives depuis 3 ans doivent être supprimées ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> 13 mois : il faut redemander tous les 13 mois le consentement des visiteurs pour le traitement des cookies ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> 1 mois : délai pour traiter une demande d’accès de rectification ou de suppression de donnée personnelle.</p> <p class="Standard"> </p> <p class="Standard">Concernant la protection de ces données, on peut citer les articles suivants :</p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> article 32 du RGPD sur l’obligation d’appliquer un traitement sécurisé aux données à caractère personnel ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> article 33 du RGPD sur la notification à l’autorité de contrôle d’une violation des données à caractère personnel ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> article 35 du RGPD sur la mise en place d’une analyse d’impact relatif à la protection des données (AIPD) ;</p> <p class="Standard"> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200776">V<span style= 'font:7.0pt "Times New Roman"'> </span> Bonnes pratiques</a></h4> <p class="Standard"> </p> <p class="Standard">Pour éviter une brèche sur les données confidentielles, les bonnes pratiques de réflexion suivantes peuvent être mises en place :</p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> Recenser les données confidentielles : fichiers, DCP…</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> Classer le trafic des données selon les protocoles utilisés : <i>HTTP</i>, <i>HTTPS</i>, <i>SMTP</i>…</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> S’assurer que le trafic interne et externe au réseau est sécurisé eu égard aux critères <i>DIC</i> (confidentialité, intégrité et disponibilité) notamment en ce qui concerne les données en transit qui font l’objet d’une sauvegarde.</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> Le réseau de l’entreprise fait-il appel à des algorithmes de chiffrement ou des protocoles non faiblement sécurisé et obsolètes ?</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> S’assurer d’une gestion sécurisée des clés et les certificats utilisés par l’entreprise, par exemple via des mécanismes de révocation quand cela est nécessaire.</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> Appliquer des contrôles de sécurité sur les données confidentielles en fonction de leur état (repos, transit, traitement).</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> Ne pas stocker de données ou des fichiers confidentiels inutiles aux traitements visés. Seul ce qui est vraiment utile doit être stocké.</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> Désactiver les caches pour les réponses des serveurs qui contiennent des informations confidentielles.</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> Stocker les mots de passe de manière hachée avec une fonction de salage.</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> Utiliser les technologies de confidentialité persistante <i>PFS (Perfect Forward Secrecy</i>) et <i>HSTS</i> (<i>HTTP Strict Transport Security</i>) sur les sites <i>Web</i>.</p> <span style= 'font-size:12.0pt;font-family:"Arial",sans-serif'><br clear="all" style='page-break-before:always' /></span> <p class="MsoNormal"><span style= 'font-size:10.0pt;color:navy'> </span></p> <p class="Standard"> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200777">VI<span style= 'font:7.0pt "Times New Roman"'> </span> Objectifs et architecture générale des labos</a></h4> <p class="Standard"> </p> <p class="Standard">Deux défis sont proposés pour illustrer la problématique des brèches sur les informations confidentielles :</p> <p class="Standard"> </p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 1.<span style= 'font:7.0pt "Times New Roman"'> </span> découverte d’une page cachée contenant des informations de configurations confidentielles (page <i>phpinfo</i>) ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> 2.<span style= 'font:7.0pt "Times New Roman"'> </span> attaque de type <i>SSLSTRIP</i> visant à profiter d’une brèche dans la redirection <i>HTTPS</i> afin d’obtenir des identifiants de connexion.</p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"><b>Ces deux défis peuvent être réalisés de manière indépendante. Chaque défi est associé à un dossier documentaire.</b></p> <p class="Standard"> </p> <p class="Standard"><img width="605" height="188" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image001.jpg" align="right" hspace="12" alt="image" />Pour rappel, l’environnement de travail est le suivant :</p> <p class="Standard"> Machine attaquante (192.168.1.10) Serveur Mutillidae (192.168.1.11)</p> <p class="Standard"> </p> <p class="Standard">Le serveur <i>Mutillidae</i> propose un site <i>Web</i> conçu pour identifier et tester les failles de sécurité identifiées par l’<i>OWASP</i>. Il est possible pour chacune d’entre elles, de définir le niveau de sécurité appliqué.</p> <p class="Standard"> </p> <p class="Standard">Notre démarche consistera, pour les défis présentés :</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> à partir de la version non sécurisée de la page concernée et à mettre en évidence la faille de sécurité ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> nous constaterons ensuite que dans la version sécurisée de cette page fournie par <i>Mutillidae</i>, l’attaque n’est plus possible ;</p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> ●<span style= 'font:7.0pt "Times New Roman"'> </span> l’étude des mécanismes de sécurisation utilisés, donc du code de la page associée, permettra de dégager des bonnes pratiques de programmation.</p> <p class="Standard"> </p> <p class="Standard">Le premier défi nécessite d’utiliser l’outil <i>BurpSuite</i>. Quant à la machine attaquante, elle comprend un navigateur ainsi que le <i>proxy BurpSuite</i> qui permet d’intercepter les requêtes avant de les envoyer au serveur. L’objectif étant de modifier les paramètres de certaines requêtes afin de tester des injections de code. Par exemple, la valeur saisie pour le <i>login</i> sera remplacée par du code <i>JavaScript</i>.</p> <p class="Standard"> </p> <p class="Standard">Le deuxième défi cible toujours le serveur <i>Mutillidae</i>. Les outils d’attaques utilisés sont les logiciels <b><i>arpspoof</i></b> et <b><i>sslstrip</i></b>.</p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard" style='page-break-before:always'> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200778">VII<span style= 'font:7.0pt "Times New Roman"'> </span> Premier défi : Affichage d’une page de configuration confidentielle</a></h4> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200779">1<span style= 'font:7.0pt "Times New Roman"'> </span> Objectif</a></h5> <p class="Standard">Le premier défi a pour objectif d’afficher le contenu de la page <b><i>phpinfo</i></b> qui contient des informations de configurations confidentielles sur le serveur <i>Web</i>. Ces informations pourraient être exploitées de manière malveillante.</p> <p class="Standard"><span style='color:#0369A3'> </span></p> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200780">2<span style= 'font:7.0pt "Times New Roman"'> </span> À vous de jouer</a></h5> <p class="Standard" align="left" style= 'margin-left:104.9pt;text-align:left; text-indent:-104.9pt'> <b><span style='font-size:12.0pt'>Travail à faire 1<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <b>Mise en place de l’attaque par <i>fuzzing</i></b></p> <p class="Standard" align="left" style='text-align:left'> </p> <p class="Standard"><i>Le but de cette première série de questions est de mettre en œuvre l’attaque permettant d’afficher une page confidentielle contenant des informations de configuration.</i></p> <p class="Standard" align="left" style='text-align:left'> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q1.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Commencer par préparer votre environnement de travail en démarrant le serveur <i>Mutillidae</i> ainsi que la machine cliente contenant le <i>proxy BurpSuite</i>. Vérifier que vos deux machines communiquent à l’aide de la commande <i>ping</i>. Puis, positionner le niveau de sécurité de <i>Mutillidae</i> à 0.</p> <p class="Standard"> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q2.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <b>À l’aide du dossier documentaire n°1</b>, réaliser le premier défi permettant d’afficher la page confidentielle <i>phpinfo</i> en étant non identifié. Vous prendrez soin de réaliser vos propres captures d’écrans dans votre compte rendu de TP.</p> <p class="Standard"> </p> <p class="Standard" align="left" style= 'margin-left:104.9pt;text-align:left; text-indent:-104.9pt'> <b><span style='font-size:12.0pt'>Travail à faire 2<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <b>Nouvelle tentative en mode sécurisé et analyse du code source</b></p> <p class="Standard" align="left" style='text-align:left'> <b> </b></p> <p class="Standard" align="left" style='text-align:left'><i>Le but de cette deuxième partie est de tester à nouveau l’attaque après activation du codage sécurisé et de comprendre l’encodage mis en place.</i></p> <p class="Standard" align="left" style='text-align:left'> <i> </i></p> <p class="Standard" align="left" style='text-align:left'><i>Test du niveau 1 de sécurité :</i></p> <p class="Standard"> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q1.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Est-ce que le niveau de sécurité 1 permet d’éviter cette brèche d’information ?</p> <p class="Standard"> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q1.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Se rendre sur le code source de la page <i>phpinfo.php</i> sur le serveur pour expliquer le comportement du serveur face à cette attaque avec ce niveau de sécurité.</p> <p class="Standard"> </p> <p class="Standard"><i>Test du niveau 5 de sécurité :</i></p> <p class="Standard"> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q2.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Est-ce que le niveau de sécurité 5 permet d’éviter cette brèche d’information ?</p> <p class="Standard"> </p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q3.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Expliquer le mécanisme de sécurité mis en œuvre dans le code source. Tous les utilisateurs ont-ils interdiction d’accéder à cette page ?</p> <p class="Standard"><span style='color:#00AAAD'> </span></p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt'>Q4.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> Proposer une solution de sécurité basée sur la configuration du fichier <i>php.ini</i> du serveur <i>Web</i> qui empêcherait tout utilisateur, y compris l’administrateur, d’accéder à cette page par le <i>Web</i>. Le fichier <i>php.ini</i> est situé dans <i>/etc/php/7.0/apache2</i>.</p> <p class="Standard"> </p> <p class="Standard"><b><u><span style='color:#006600'>Prolongement possible :</span></u></b></p> <p class="Standard"><b><span style='color:#006600'>Reprendre une application existante (TP/PPE) et mettre en place le niveau de sécurité 5.</span></b></p> <p class="Standard"><b><span style= 'color:#006600'> </span></b></p> <p class="Standard" style= 'margin-left:8.5pt;page-break-before:always'><b><span style= 'color:#006600'> </span></b></p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200781"><span style='color:#999999'>VIII<span style= 'font:7.0pt "Times New Roman"'> </span></span> <span style='color:#999999'>Deuxième défi : Brèche dans la configuration SSL (facultatif)</span></a></h4> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200782"><span style='color:#999999'>1<span style= 'font:7.0pt "Times New Roman"'> </span></span> <span style='color:#999999'>Objectif</span></a></h5> <p class="Standard"><span style='color:#999999'>Ce second défi a pour objectif de transformer une redirection HTTPS en connexion non chiffrée HTTP afin de capturer les identifiants de la page de connexion.</span></p> <p class="Standard"><b><span style= 'color:#999999'> </span></b></p> <h5 style='margin-left:51.05pt;text-indent:-34.05pt'><a name= "_Toc96200783"><span style='color:#999999'>2<span style= 'font:7.0pt "Times New Roman"'> </span></span> <span style='color:#999999'>À vous de jouer</span></a></h5> <p class="Standard"><span style='color:#999999'>Les questions suivantes se traitent en suivant les étapes décrites dans le dossier documentaire</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard" align="left" style= 'margin-left:104.9pt;text-align:left; text-indent:-104.9pt'> <b><span style='font-size:12.0pt;color:#999999'>Travail à faire 3<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <b><span style='color:#999999'>Mise en place de l’attaque</span></b></p> <p class="Standard" align="left" style='text-align:left'> <span style='color:#999999'> </span></p> <p class="Standard"><span style='color:#999999'>Dans un premier temps, l’objectif est de réaliser une attaque visant à rediriger une connexion HTTPS en HTTP afin de capturer des identifiants de connexion.</span></p> <p class="Standard" align="left" style='text-align:left'> <span style='color:#999999'> </span></p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt;color:#999999'>Q1.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <span style='color:#999999'>Commencer par préparer votre environnement de travail en démarrant les trois machines suivantes :</span></p> <p class="Standard" style='margin-left:72.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol;color:#999999'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> <span style='color:#999999'>le serveur mutillidae ;</span></p> <p class="Standard" style='margin-left:72.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol;color:#999999'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> <span style='color:#999999'>la machine attaquante (celle qui contient le logiciel BurpSuite) ;</span></p> <p class="Standard" style='margin-left:72.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol;color:#999999'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> <span style='color:#999999'>la machine victime.</span></p> <p class="Standard"><span style= 'color:#999999'> Vérifier que ces trois machines communiquent puis positionner le niveau de sécurité de Mutillidae à 0.</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt;color:#999999'>Q2.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <b><span style='color:#999999'>À l’aide du dossier documentaire n°2</span></b><span style='color:#999999'>, réaliser le deuxième défi permettant de compromettre les identifiants de connexions de la victime via une brèche dans la configuration SSL (redirection HTTP). Vous prendrez soin de réaliser vos propres captures d’écrans dans votre compte rendu de TP. Pour vous aider à comprendre ce défi, vous pouvez consulter la page suivante sur Mutillidae : A3=> Sensitive Data Exposure > SSL Misconfiguration.</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard" align="left" style= 'margin-left:104.9pt;text-align:left; text-indent:-104.9pt'> <b><span style='font-size:12.0pt;color:#999999'>Travail à faire 4<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <b><span style='color:#999999'>Codage sécurisé et analyse du code source</span></b></p> <p class="Standard" align="left" style='text-align:left'> <b><span style='color: #999999'> </span></b></p> <p class="Standard" align="left" style='text-align:left'> <span style='color:#999999'>Le but de cette deuxième partie est de tester à nouveau l’attaque après activation du codage sécurisé et de comprendre le codage mis en place pour sécuriser la page.</span></p> <p class="Standard" align="left" style='text-align:left'> <span style='color:#999999'> </span></p> <p class="Standard" align="left" style='text-align:left'> <span style='color:#999999'>Test du niveau 1 de sécurité :</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt;color:#999999'>Q1.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <span style='color:#999999'>Est-ce que le niveau de sécurité 1 permet d’empêcher cette attaque ?</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt;color:#999999'>Q2.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <span style='color:#999999'>Est-ce que le niveau de sécurité 1 permet d’empêcher les conséquences de cette attaque ? Où se situe la faille ?</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt;color:#999999'>Q3.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <span style='color:#999999'>Expliquer le code source mis en œuvre avec ce niveau de sécurité en analysant la page index.php.</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard" align="left" style='text-align:left'> <span style='color:#999999'>Test du niveau 5 de sécurité :</span></p> <p class="Standard" align="left" style='text-align:left'> <span style='color:#999999'> </span></p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt;color:#999999'>Q4.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <span style='color:#999999'>Est-ce que le niveau de sécurité 5 permet d’empêcher l’attaque ?</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt;color:#999999'>Q5.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <span style='color:#999999'>Est-ce que le niveau de sécurité 5 permet d’empêcher les conséquences de l’attaque ?</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard" style= 'margin-left:42.55pt;text-indent:-24.55pt'><b><span style= 'font-size:11.0pt;color:#999999'>Q6.<span style= 'font:7.0pt "Times New Roman"'> </span></span></b> <span style='color:#999999'>Expliquer le code mis en œuvre avec ce niveau de sécurité en analysant la page index.php. Vers quelles page est-on redirigé en cas d’attaque ? En déduire la bonne pratique à mettre en œuvre en cas de besoin de confidentialité sur les applications Web ?</span></p> <p class="Standard"><b><i><u><span style= 'color:#006600'><span style= 'text-decoration: none'> </span></span></u></i></b></p> <p class="Standard"><b><u><span style='color:#006600'>Prolongement possible :</span></u></b></p> <p class="Standard"><b><span style='color:#006600'>Reprendre une application existante et mettre en place le niveau de sécurité 5.</span></b></p> <p class="Standard" align="left" style= 'text-align:left;page-break-before:always'> </p> <h4 style='margin-left:34.0pt;text-indent:-34.0pt'><a name= "_Toc96200784">IX<span style= 'font:7.0pt "Times New Roman"'> </span> Conclusion</a></h4> <p class="Standard"> </p> <p class="Standard">La gestion des informations confidentielles est essentielle pour toute organisation. Un travail en amont doit être effectué afin d’identifier et de classer ces informations et d’y appliquer des mesures de confidentialité adéquates. Si le chiffrement reste une contre-mesure essentielle, le développeur doit correctement intégrer cette dernière pour éviter que des identifiants de connexion soient compromis. La loi rend obligatoire la mise en place de traitements permettant de gérer la sûreté et la sécurité de ces informations.</p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="MsoTitle" style='page-break-before:always'> <u><span style='font-size: 14.0pt'>Dossier documentaire</span></u></p> <h1><a name="_Toc96200785"></a><a name="dossier_1" id= "dossier_1"></a><span style= 'font-size: 13.0pt;color:maroon'>Dossier 1 : Récupération de la page secrète de configuration <i>phpinfo</i></span></h1> <p class="Standard"> </p> <p class="Standard"><b>Étape n°1 : Préparation de l’attaque</b></p> <p class="Standard"> </p> <p class="Standard">S’assurer que le <i>proxy BurpSuite</i> est à <b>intercept is on</b>. Ensuite, se rendre sur la page d’accueil de <i>Mutillidae</i>. La connexion est interceptée par le <i>proxy</i>.</p> <p class="Standard"> </p> <p class="Standard"><img width="542" height="199" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image002.gif" align="left" hspace="12" alt="image" /></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="269" height="1763"></td> </tr> <tr> <td></td> <td><img width="20" height="26" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image003.gif" alt="image" /></td> </tr> </table> <p class="Standard">Il s’agit ici d’une page légitime qui existe vraiment sur le serveur. L’idée est de comparer la réponse retournée par le serveur entre une page légitime et une page inexistante.</p> <p class="Standard"> </p> <p class="Standard">Faire un clic droit au milieu de l’intercepteur et cliquer sur <b>Send to Repeater</b>. Se rendre sur l’onglet <b>Repeater</b> et cliquer sur le bouton <b>Send</b> pour voir la réponse obtenue sur la page existante <i>home.php</i>.</p> <p class="Standard"> </p> <p class="Standard"><img width="605" height="323" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image004.gif" align="left" hspace="12" alt="image" /></p> <p class="Standard">Faire ensuite un clic droit au milieu de la réponse obtenue (partie droite) et cliquer sur <b>Send to Comparer</b>.</p> <p class="Standard"> </p> <p class="Standard">Reproduire ensuite toutes les étapes précédentes avec une page inexistante sur le serveur comme <b><i>home777.php</i></b>. Envoyer la réponse obtenue par le serveur au comparateur (<i>Send to Comparer</i>). Vous devriez obtenir ceci au niveau de l’onglet Comparer de <i>BurpSuite</i>.</p> <p class="Standard"> </p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="942" height="2265"></td> </tr> <tr> <td></td> <td><img width="66" height="27" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image005.gif" alt="image" /></td> </tr> </table> <img width="605" height="371" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image006.gif" align="left" hspace="12" alt="image" /> <p class="Standard">Cliquer ensuite sur le bouton <b>Words</b> en bas du comparateur et relever l’affichage de la phrase faisant référence à l’erreur 404 (<i>Page Not Found</i>).</p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="496" height="2134"></td> </tr> <tr> <td></td> <td><img width="69" height="23" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image007.gif" alt="image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="605" height="282" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image008.gif" align="left" hspace="12" alt="image" /></p> <p class="Standard">C’est sur cette chaîne de caractère que nous allons nous appuyer pour scanner les pages du site afin de détecter, via <b>un dictionnaire de noms de pages</b>, si ces pages existent. Le dictionnaire comprendra des noms de pages typiques associées à des configurations (<i>.htaccess</i>, <i>.htpasswd</i>…). Il s’agit donc d’une attaque par dictionnaire. Cette technique s’appelle le <b><i>fuzzing</i></b> de pages <i>Web</i>.</p> <p class="Standard"> </p> <p class="Standard"><b>Étape n°2 : Réalisation de l’attaque</b></p> <p class="Standard"> </p> <p class="Standard">Revenir à la page d’accueil <b><i>home.php</i></b> avec <i>Burpsuite</i> en mode interception (<i>Intercept is on</i>) et faire un clic droit au milieu de la réponse obtenue et cliquer sur <b><i>Send to Intruder</i></b>.</p> <p class="Standard"> </p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="232" height="2180"></td> <td width="82"></td> <td width="1"></td> <td width="106"></td> </tr> <tr> <td height="21"></td> <td align="left" valign="top"><img width="66" height="17" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image009.gif" alt="image" /></td> </tr> <tr> <td height="49"></td> </tr> <tr> <td height="22"></td> <td colspan="2"></td> <td align="left" valign="top"><img width="85" height="18" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image010.gif" alt="image" /></td> </tr> </table> <img width="601" height="209" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image011.gif" align="left" hspace="12" alt="image" /> <p class="Standard">Se rendre dans l’onglet <b><i>Intruder</i></b>. Dans l’onglet <b><i>Positions</i></b>, cliquer sur le bouton <b><i>Clear</i></b> puis double cliquer sur le nom de la page <b><i>home.php</i></b> puis cliquer ensuite sur le bouton <b><i>Add</i></b> afin que le nom de la page serve de paramètre au <i>fuzzing</i>. Le type d’attaque reste <b><i>Sniper</i></b> par défaut.</p> <p class="Standard"> </p> <p class="Standard"><img width="605" height="203" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image012.gif" align="left" hspace="12" alt="image" />Dans l’onglet <b><i>Payloads</i></b>, dans la rubrique <b><i>Payload Options</i></b>, ajouter la référence à un dictionnaire contenant des noms de fichiers. Il faut au préalable créer ce dictionnaire à l’aide d’un éditeur de texte. Le test peut se réaliser avec le dictionnaire suivant :</p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="121" height="2500"></td> </tr> <tr> <td></td> <td><img width="92" height="89" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image013.gif" alt="image" /></td> </tr> </table> <br clear="all" /> <p class="Standard"><img width="605" height="350" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image014.gif" align="left" hspace="12" alt="image" />Ensuite, dans l’onglet <b><i>Options</i></b>, dans la rubrique <i>Grep Match</i>, il faut ajouter un filtre associé à la chaîne de caractère précédemment découverte qui est <b><i>Page Not Found</i></b>.</p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard"> </p> <p class="Standard">Pour cela, commencer par vider le contenu de cette rubrique en cliquant sur le bouton <b><i>Clear</i></b> puis ajouter la chaîne <b><i>Page Not Found</i></b> dans la zone de texte prévue à cet effet.</p> <p class="Standard"> </p> <p class="Standard"><img width="508" height="283" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image015.gif" align="left" hspace="12" alt="image" /></p> <p class="Standard">Il ne manque plus qu’à lancer l’attaque en cliquant sur le bouton <b><i>Start Attack</i></b>. Toutes les pages non cochées correspondent à des pages existantes sur le serveur.</p> <p class="Standard"> </p> <p class="Standard"><img width="552" height="202" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image016.gif" align="left" hspace="12" alt="image" /></p> <p class="Standard">Double cliquer ensuite sur la ligne associée à la page <i>.htpasswd</i>. Se rendre ensuite dans l’onglet <i>Response</i> puis dans le sous-onglet <i>Render</i>.</p> <p class="Standard"> </p> <p class="Standard"><img width="605" height="334" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image017.gif" align="left" hspace="12" alt="image" /></p> <p class="Standard">On peut alors visualiser la page <b><i>phpinfo</i></b> qui donne de précieuses informations sur la configuration du serveur. Si cette page est accessible via le mode sécurité 0 (<b><i>OWASP 2017 => A3 : Sensitive Data Exposure = > Information Disclosure => PHP Info Page</i></b>), il n’en sera pas de même avec le niveau de sécurité 5.</p> <p class="Standard"> </p> <p class="Standard"><img width="550" height="206" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image018.gif" align="left" hspace="12" alt="image" /></p> <p class="Standard" style='page-break-before:always'><span style= 'color:#999999'> </span></p> <p class="Standard"><a name="dossier_2" id= "dossier_2"></a><b><span style= 'font-size:13.0pt; color:#999999'>Dossier 2 : Attaque <i>SSLSTRIP</i> via un positionnement <i>MITM</i></span></b></p> <p class="Standard" style='margin-bottom:7.0pt;line-height:120%'> <b><span style='color:#999999'> </span></b></p> <p class="Standard"><b><span style='color:#999999'>Étape n°1 : Préparation de l’environnement de travail</span></b></p> <p class="Standard"><b><span style= 'color:#999999'> </span></b></p> <p class="Standard"><span style='color:#999999'>Commencer par activer le <b>module <i>SSL</i></b> ainsi que le <b><i>virtualhost HTTPS</i></b> associé à l’application <i>Mutillidae</i>. Pour cela, notre maquette de travail comprendre trois machines au sein d’un même réseau, le serveur <i>Mutillidae</i>, la victime et l’attaquant.</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard"><u><span style='color:#999999'>Travail sur la machine hébergeant l’application <i>Mutillidae</i> :</span></u></p> <p class="Standard"><span style='color:#999999'> </span></p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style= 'margin-left:-.25pt;border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents"><i><span style='color:#999999'>#a2enmod ssl</span></i></p> </td> </tr> </table> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard"><span style='color:#999999'> </span></p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style= 'margin-left:-.25pt;border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents"><i><span style='color:#999999'>#a2ensite default-ssl.conf</span></i></p> </td> </tr> </table> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard"><span style='color:#999999'>Redémarrer ensuite le serveur <i>Apache</i>.</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style= 'margin-left:-.25pt;border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents"><i><span style='color:#999999'>#service apache2 restart</span></i></p> </td> </tr> </table> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard"><u><span style='color:#999999'>Travail sur la machine victime :</span></u></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard"><span style='color:#999999'>Il faut ensuite démarrer une nouvelle machine du contexte qui fera office de machine victime. Cette machine doit avoir accès à l’application <i>Web Mutillidae</i> via son navigateur. Rien n’est à installer sur cette machine, elle doit simplement disposer d’un navigateur.</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard"><u><span style='color:#999999'>Travail sur la machine attaquante :</span></u></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard"><span style='color:#999999'>Il s’agit de la machine précédemment utilisée sur laquelle est installé <i>BurpSuite</i> (non utilisé dans ce défi). Nous allons enrichir cette machine attaquante de deux nouveaux outils :</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol;color:#999999'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> <i><span style='color:#999999'>arpspoof</span></i> <span style= 'color:#999999'>pour réaliser le positionnement <i>MITM</i> (<i>Man In The Middle</i>) via un empoisonnement de cache <i>arp</i> ;</span></p> <p class="Standard" style='margin-left:36.0pt;text-indent:-18.0pt'> <span style='font-family:OpenSymbol;color:#999999'>•<span style= 'font:7.0pt "Times New Roman"'> </span></span> <i><span style='color:#999999'>sslstrip</span></i> <span style= 'color:#999999'>pour tromper la redirection <i>HTTPS</i> afin de capturer les identifiants de connexion.</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard"><span style='color:#999999'>Ces outils s’installent avec la commande suivante.</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style= 'margin-left:-.25pt;border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents"><i><span style='color:#999999'>#apt install dsniff sslstrip</span></i></p> </td> </tr> </table> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard"><span style='color:#999999'>Il faut ensuite activer le routage (flux traversants) sur notre machine attaquante. C’est en effet depuis cette machine que les flux de la victime transiteront. Pour cela, ouvrir le fichier <i>/etc/sysctl.conf</i> et supprimer le commentaire sur la ligne suivante :</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard"><img width="511" height="51" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image019.jpg" align="left" hspace="12" alt="image" /></p> <p class="Standard"><span style='color:#999999'>Enfin, il faut programmer une redirection vers le serveur <b><i>sslstrip</i></b> sur les flux capturés :</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style= 'margin-left:-.25pt;border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents"><span style='color:#999999'>#iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-port 7777</span></p> </td> </tr> </table> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard"><img width="605" height="31" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image020.gif" align="left" hspace="12" alt="image" /></p> <p class="Standard"><span style='color:#999999'>Attention, pour que l’effet de redirection de cette commande soit persistant, il serait préférable de l’intégrer dans un script lancé automatiquement au démarrage.</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard"><b><span style='color:#999999'>Étape n°2 : Réalisation de l’attaque</span></b></p> <p class="Standard"><b><span style= 'color:#999999'> </span></b></p> <p class="Standard"><u><span style='color:#999999'>Travail sur la machine attaquante :</span></u></p> <p class="Standard"><span style='color:#999999'>Après avoir relevé l’adresse IP de la victime, ouvrir un terminal et lancer la commande d’empoisonnement suivante :</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style= 'margin-left:-.25pt;border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents"><i><span style='color:#999999'>#arpspoof -i enps03 -t <ip-victime> <ip-serveur-mutillidae></span></i></p> </td> </tr> </table> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard"><span style='color:#999999'>Il faut remplacer la valeur <i>enp0s3</i> par le label de l’interface utilisée par la machine attaquante (<i>eth0</i>, <i>eth1</i>, <i>enp0s8</i>…). Dans la capture d’écran ci-dessous la victime a pour adresse IP 192.168.0.24 et le serveur a pour adresse IP 192.168.0.18.</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard"><span style='color:#999999'>Le label de l’interface peut se trouver à l’aide des commandes suivantes : <b>ifconfig</b>, <b>ip a</b> ou <b>lshw -c network</b>.</span></p> <p class="Standard"><b><span style= 'color:#999999'> </span></b></p> <p class="Standard"><img width="605" height="89" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image021.gif" align="left" hspace="12" alt="image" /></p> <p class="Standard"><span style='color:#999999'>Ouvrir ensuite un deuxième terminal afin de préparer le serveur <i>sslstrip</i> en écoute sur le port choisi 7777.</span></p> <p class="Standard"><b><span style= 'color:#999999'> </span></b></p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style= 'margin-left:-.25pt;border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents"><i><span style='color:#999999'>#sslstrip -l 7777</span></i></p> </td> </tr> </table> <p class="Standard"><b><span style= 'color:#999999'> </span></b></p> <p class="Standard"><img width="406" height="63" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image022.gif" align="left" hspace="12" alt="image" /></p> <p class="Standard"><b><span style= 'color:#999999'> </span></b></p> <p class="Standard"><b><span style= 'color:#999999'> </span></b></p> <p class="Standard"><b><span style= 'color:#999999'> </span></b></p> <p class="Standard"><u><span style='color:#999999'><span style= 'text-decoration: none'> </span></span></u></p> <p class="Standard"><u><span style='color:#999999'>Travail sur la machine de la victime:</span></u></p> <p class="Standard"><span style='color:#999999'>Ouvrir le navigateur et se connecter à l’application <i>Mutillidae</i> en <i>HTTP</i>.</span></p> <p class="Standard"><u><span style='color:#999999'><span style= 'text-decoration: none'> </span></span></u></p> <table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="0" style= 'margin-left:-.25pt;border-collapse:collapse'> <tr> <td width="605" valign="top" style= 'width:453.5pt;border:solid black 1.0pt; padding:2.75pt 2.75pt 2.75pt 2.75pt'> <p class="TableContents"><i><span style= 'color:#999999'>http://<ip-serveur>/mutillidae</span></i></p> </td> </tr> </table> <p class="Standard"><u><span style='color:#999999'><span style= 'text-decoration: none'> </span></span></u></p> <p class="Standard"><span style='color:#999999'>Ensuite, cliquer sur le bouton <i>Enforce SSL</i> situé en haut de la page.</span></p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="537" height="3058"></td> </tr> <tr> <td></td> <td><img width="92" height="38" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image023.gif" alt="image" /></td> </tr> </table> <span style='color:#999999'> </span><br clear="all" /> <p class="Standard"><img width="412" height="33" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image024.gif" align="left" hspace="12" alt="image" /></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard"><img width="466" height="40" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image025.gif" align="left" hspace="12" alt="image" /><span style= 'color:#999999'>Ensuite, se rendre sur la page d’authentification en cliquant sur <b><i>Login/register</i></b>. Normalement, une redirection <i>HTTPS</i> est mise en place mais celle-ci est inopérante en raison de l’attaque <i>SSLSTRIP</i>. Si vous recommencez l’opération sans l’attaque vous devriez être en <i>HTTPS</i>.</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard"><span style='color:#999999'>Tenter une authentification quelconque en saisissant un login et un mot de passe. Comme la connexion est en <i>HTTP</i>, l’attaquant peut capturer les identifiants.</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard"><u><span style='color:#999999'>Travail sur la machine de l’attaquant:</span></u></p> <p class="Standard"><span style='color:#999999'>Depuis le répertoire où est exécuté le serveur <i>SSLSTRIP</i>, ouvrir le fichier <i>sslstrip.log</i>. Celui doit contenir tous les identifiants capturés lors de l’attaque.</span></p> <p class="Standard"><span style='color:#999999'> </span></p> <p class="Standard"></p> <table cellpadding="0" cellspacing="0" align="left"> <tr> <td width="82" height="3152"></td> </tr> <tr> <td></td> <td><img width="222" height="22" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image026.gif" alt="image" /></td> </tr> </table> <img width="455" height="45" src= "owasp-activite4_securiserInfosConfidentielles_fichiers/image027.gif" align="left" hspace="12" alt="image" /></div>
Table des matières
Sujets
Recherche
Activité 4 : Brèche sur des informations confidentielles
I Problématique des informations confidentielles
II Classification technique des données confidentielles
III Les enjeux de la sécurité des données confidentielles
1 Panorama des risques
2 Conséquences des évènements redoutés
IV La réglementation concernant les données confidentielles
V Bonnes pratiques
VI Objectifs et architecture générale des labos
VII Premier défi : Affichage d’une page de configuration confidentielle
1 Objectif
2 À vous de jouer
VIII Deuxième défi : Brèche dans la configuration SSL (facultatif)
1 Objectif
2 À vous de jouer
IX Conclusion
Dossier 1 : Récupération de la page secrète de configuration phpinfo
1 Objectif
1 Objectif
1 Panorama des risques
2 Conséquences des évènements redoutés
2 À vous de jouer
2 À vous de jouer
Activité 4 : Brèche sur des informations confidentielles
Dossier 1 : Récupération de la page secrète de configuration phpinfo
III Les enjeux de la sécurité des données confidentielles
II Classification technique des données confidentielles
IV La réglementation concernant les données confidentielles
IX Conclusion
I Problématique des informations confidentielles
VIII Deuxième défi : Brèche dans la configuration SSL (facultatif)
VII Premier défi : Affichage d’une page de configuration confidentielle
VI Objectifs et architecture générale des labos
V Bonnes pratiques
Générée avec
chmProcessor
Générée avec
chmProcessor