MISC N°
Numéro
43

La sécurité des Web Services

Temporalité
Mai/Juin 2009
Article mis en avant

Résumé

Web services, XML, SOAP ou WS-Security sont des termes que l'on croise de plus en plus souvent et qui sont généralement utilisés en termes simplistes, faute de comprendre réellement ce dont il s'agit. Ils masquent pourtant une réalité dont la complexité est étonnante. Les ingrédients du cocktail habituel « méconnaissance + complexité » étant réunis, il est inévitable que la sécurité soit une fois de plus laissée pour compte, volontairement ou non.

Dans ce numéro...


Cet article a pour but de présenter une méthodologie permettant de mener à bien un test d'intrusion sur les Web Services. Nous parlerons plus précisément des services Web faisant appel aux technologies WSDL et SOAP.
WS-Security est la brique essentielle de la sécurité des Web Services. Il est par conséquent difficile de concevoir que l'on puisse traiter sérieusement de ce sujet sans avoir une connaissance suffisante de cette norme. Il faut donc se contraindre à la lire, ainsi que l'ensemble des documents qui s'y rapportent, ce qui représente un exercice particulièrement pénible, mais néanmoins indispensable. Cet article tente de synthétiser les éléments les plus importants et, hélas, indispensables à la bonne compréhension de la suite du dossier. Courage !
Les Web Services, c'est le bonheur ! Des services partout, des interfaces open bar, des annuaires serviables au-delà de toute espérance et une tonne de « normes » saturées de nos meilleurs amis « SHOULD » et « MAY ». Mais, rien ne vaut l'absence de connaissance latente dans ce domaine pour ouvrir à tous vents toutes grandes les portes des systèmes d'informations les plus critiques.
Prise semble-t-il dans la tourmente des vagues de cyberattaques qui ont jalonné les deux dernières années, la France a placé la sécurité des systèmes d’information au rang d’enjeu de défense et de sécurité nationale. Les menaces telles qu’elles sont identifiées et perçues [1] justifient une stratégie fondée sur la maîtrise de l’information, des systèmes, et la mise en œuvre de moyens de lutte informatique (§1) ; cette stratégie sécuritaire contribue à préciser les contours d’une conception française de la guerre de l’information, dont les bases sont déjà posées dans la doctrine militaire qui préfère parler de « temple des opérations d’information » (§2).
Le succès des réseaux IP, et de l'Internet en particulier, n'est plus à démontrer. Les réseaux IP sont devenus en quelques années le support de transport universel des services de télécommunication, que ce soit pour la voix, la vidéo ou en passant par des services plus classiques (web, mail, etc.).Toutefois, force est de constater que certains fondements du réseau restent obscurs tant aux néophytes qu'à bon nombre de professionnels des réseaux entreprise ou voix. Cela est particulièrement vrai en ce qui concerne l'Internet et son protocole de routage BGP (Border Gateway Protocol).Qu'en est-il vraiment de l’infrastructure BGP, de sa sécurité et dans quelle mesure est-il possible de surveiller les annonces de routage dans l’Internet ? Voilà autant de questions auxquelles cet article apporte (nous l'espérons du moins) un début de réponse.
Dans le numéro précédent [1], nous avons détaillé le code de BluePill et montré qu'il y avait plusieurs incohérences au niveau des arguments avancés par les auteurs. C'est-à-dire qu'il ne possédait en aucun cas les caractéristiques classiques d'un rootkit. Nous allons voir dans cet article comment finalement il est possible d'avoir une détection simple de ces rootkits HVM, et ainsi mettre fin à ce buzz qui n'a eu aucun sens.
Cet article présente la recherche de vulnérabilités dans les implémentations 802.11 par techniques de fuzzing. Nous décrirons les techniques les plus pertinentes avec mise en œuvre de plusieurs outils open source. Nous montrerons ainsi que fuzzer des implémentations 802.11 n'est vraiment pas compliqué et a permis de découvrir de très nombreuses vulnérabilités qui se sont révélées pour certaines exploitables à distance.
MD5 est avec SHA-1 une des fonctions de hachage les plus utilisées pour réaliser des condensats de fichiers. Ces condensats servent dans divers cas, notamment pour permettre la signature numérique de documents à l'aide de RSA. Fin décembre 2008, l'équipe HashClash a présenté une conférence intitulée « MD5 considered harmful today: Creating a rogue CA certificate ».
Récemment, des faits ont défrayé la chronique pour remettre en cause la sécurité du protocole WPA utilisé dans la technologie sans-fil. Après les déboires de WEP qui a rendu le WiFi moins digne de confiance, qu’en est-il réellement de la sécurité dans ce domaine ?

Magazines précédents

Les derniers articles Premiums

Les derniers articles Premium

PostgreSQL au centre de votre SI avec PostgREST

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Dans un système d’information, il devient de plus en plus important d’avoir la possibilité d’échanger des données entre applications. Ce passage au stade de l’interopérabilité est généralement confié à des services web autorisant la mise en œuvre d’un couplage faible entre composants. C’est justement ce que permet de faire PostgREST pour les bases de données PostgreSQL.

La place de l’Intelligence Artificielle dans les entreprises

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

L’intelligence artificielle est en train de redéfinir le paysage professionnel. De l’automatisation des tâches répétitives à la cybersécurité, en passant par l’analyse des données, l’IA s’immisce dans tous les aspects de l’entreprise moderne. Toutefois, cette révolution technologique soulève des questions éthiques et sociétales, notamment sur l’avenir des emplois. Cet article se penche sur l’évolution de l’IA, ses applications variées, et les enjeux qu’elle engendre dans le monde du travail.

Petit guide d’outils open source pour le télétravail

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Ah le Covid ! Si en cette période de nombreux cas resurgissent, ce n’est rien comparé aux vagues que nous avons connues en 2020 et 2021. Ce fléau a contraint une large partie de la population à faire ce que tout le monde connaît sous le nom de télétravail. Nous avons dû changer nos habitudes et avons dû apprendre à utiliser de nombreux outils collaboratifs, de visioconférence, etc., dont tout le monde n’était pas habitué. Dans cet article, nous passons en revue quelques outils open source utiles pour le travail à la maison. En effet, pour les adeptes du costume en haut et du pyjama en bas, la communauté open source s’est démenée pour proposer des alternatives aux outils propriétaires et payants.

Sécurisez vos applications web : comment Symfony vous protège des menaces courantes

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Les frameworks tels que Symfony ont bouleversé le développement web en apportant une structure solide et des outils performants. Malgré ces qualités, nous pouvons découvrir d’innombrables vulnérabilités. Cet article met le doigt sur les failles de sécurité les plus fréquentes qui affectent même les environnements les plus robustes. De l’injection de requêtes à distance à l’exécution de scripts malveillants, découvrez comment ces failles peuvent mettre en péril vos applications et, surtout, comment vous en prémunir.

Body