MISC N°
Numéro
43

La sécurité des Web Services

Temporalité
Mai/Juin 2009
Article mis en avant

Résumé

Web services, XML, SOAP ou WS-Security sont des termes que l'on croise de plus en plus souvent et qui sont généralement utilisés en termes simplistes, faute de comprendre réellement ce dont il s'agit. Ils masquent pourtant une réalité dont la complexité est étonnante. Les ingrédients du cocktail habituel « méconnaissance + complexité » étant réunis, il est inévitable que la sécurité soit une fois de plus laissée pour compte, volontairement ou non.

Dans ce numéro...


Cet article a pour but de présenter une méthodologie permettant de mener à bien un test d'intrusion sur les Web Services. Nous parlerons plus précisément des services Web faisant appel aux technologies WSDL et SOAP.
WS-Security est la brique essentielle de la sécurité des Web Services. Il est par conséquent difficile de concevoir que l'on puisse traiter sérieusement de ce sujet sans avoir une connaissance suffisante de cette norme. Il faut donc se contraindre à la lire, ainsi que l'ensemble des documents qui s'y rapportent, ce qui représente un exercice particulièrement pénible, mais néanmoins indispensable. Cet article tente de synthétiser les éléments les plus importants et, hélas, indispensables à la bonne compréhension de la suite du dossier. Courage !
Les Web Services, c'est le bonheur ! Des services partout, des interfaces open bar, des annuaires serviables au-delà de toute espérance et une tonne de « normes » saturées de nos meilleurs amis « SHOULD » et « MAY ». Mais, rien ne vaut l'absence de connaissance latente dans ce domaine pour ouvrir à tous vents toutes grandes les portes des systèmes d'informations les plus critiques.
Prise semble-t-il dans la tourmente des vagues de cyberattaques qui ont jalonné les deux dernières années, la France a placé la sécurité des systèmes d’information au rang d’enjeu de défense et de sécurité nationale. Les menaces telles qu’elles sont identifiées et perçues [1] justifient une stratégie fondée sur la maîtrise de l’information, des systèmes, et la mise en œuvre de moyens de lutte informatique (§1) ; cette stratégie sécuritaire contribue à préciser les contours d’une conception française de la guerre de l’information, dont les bases sont déjà posées dans la doctrine militaire qui préfère parler de « temple des opérations d’information » (§2).
Le succès des réseaux IP, et de l'Internet en particulier, n'est plus à démontrer. Les réseaux IP sont devenus en quelques années le support de transport universel des services de télécommunication, que ce soit pour la voix, la vidéo ou en passant par des services plus classiques (web, mail, etc.).Toutefois, force est de constater que certains fondements du réseau restent obscurs tant aux néophytes qu'à bon nombre de professionnels des réseaux entreprise ou voix. Cela est particulièrement vrai en ce qui concerne l'Internet et son protocole de routage BGP (Border Gateway Protocol).Qu'en est-il vraiment de l’infrastructure BGP, de sa sécurité et dans quelle mesure est-il possible de surveiller les annonces de routage dans l’Internet ? Voilà autant de questions auxquelles cet article apporte (nous l'espérons du moins) un début de réponse.
Dans le numéro précédent [1], nous avons détaillé le code de BluePill et montré qu'il y avait plusieurs incohérences au niveau des arguments avancés par les auteurs. C'est-à-dire qu'il ne possédait en aucun cas les caractéristiques classiques d'un rootkit. Nous allons voir dans cet article comment finalement il est possible d'avoir une détection simple de ces rootkits HVM, et ainsi mettre fin à ce buzz qui n'a eu aucun sens.
Cet article présente la recherche de vulnérabilités dans les implémentations 802.11 par techniques de fuzzing. Nous décrirons les techniques les plus pertinentes avec mise en œuvre de plusieurs outils open source. Nous montrerons ainsi que fuzzer des implémentations 802.11 n'est vraiment pas compliqué et a permis de découvrir de très nombreuses vulnérabilités qui se sont révélées pour certaines exploitables à distance.
MD5 est avec SHA-1 une des fonctions de hachage les plus utilisées pour réaliser des condensats de fichiers. Ces condensats servent dans divers cas, notamment pour permettre la signature numérique de documents à l'aide de RSA. Fin décembre 2008, l'équipe HashClash a présenté une conférence intitulée « MD5 considered harmful today: Creating a rogue CA certificate ».
Récemment, des faits ont défrayé la chronique pour remettre en cause la sécurité du protocole WPA utilisé dans la technologie sans-fil. Après les déboires de WEP qui a rendu le WiFi moins digne de confiance, qu’en est-il réellement de la sécurité dans ce domaine ?

Magazines précédents

Les derniers articles Premiums

Les derniers articles Premium

Stubby : protection de votre vie privée via le chiffrement des requêtes DNS

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Depuis les révélations d’Edward Snowden sur l’espionnage de masse des communications sur Internet par la NSA, un effort massif a été fait pour protéger la vie en ligne des internautes. Cet effort s’est principalement concentré sur les outils de communication avec la généralisation de l’usage du chiffrement sur le web (désormais, plus de 90 % des échanges se font en HTTPS) et l’adoption en masse des messageries utilisant des protocoles de chiffrement de bout en bout. Cependant, toutes ces communications, bien que chiffrées, utilisent un protocole qui, lui, n’est pas chiffré par défaut, loin de là : le DNS. Voyons ensemble quels sont les risques que cela induit pour les internautes et comment nous pouvons améliorer la situation.

Surveillez la consommation énergétique de votre code

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Être en mesure de surveiller la consommation énergétique de nos applications est une idée attrayante, qui n'est que trop souvent mise à la marge aujourd'hui. C'est d'ailleurs paradoxal, quand on pense que de plus en plus de voitures permettent de connaître la consommation instantanée et la consommation moyenne du véhicule, mais que nos chers ordinateurs, fleurons de la technologie, ne le permettent pas pour nos applications... Mais c'est aussi une tendance qui s'affirme petit à petit et à laquelle à terme, il devrait être difficile d'échapper. Car même si ce n'est qu'un effet de bord, elle nous amène à créer des programmes plus efficaces, qui sont également moins chers à exécuter.

Donnez une autre dimension à vos logs avec Vector

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Avoir des informations précises et détaillées sur ce qu’il se passe dans une infrastructure, et sur les applications qu'elle héberge est un enjeu critique pour votre business. Cependant, ça demande du temps, temps qu'on préfère parfois se réserver pour d'autres tâches jugées plus prioritaires. Mais qu'un système plante, qu'une application perde les pédales ou qu'une faille de sécurité soit découverte et c'est la panique à bord ! Alors je vous le demande, qui voudrait rester aveugle quand l'observabilité a tout à vous offrir ?

Body