Soixante-dix pour cent des attaques viennent de l'intérieur de l'entreprise. L'affaire Kerviel en a fait une démonstration flagrante. Les projets JavaEE sont très présents dans les entreprises. Ils sont généralement développés par des sociétés de services ou des prestataires. Cela représente beaucoup de monde pouvant potentiellement avoir un comportement indélicat. Aucun audit n'est effectué pour vérifier qu'un développeur malveillant ou qui subit des pressions n'a pas laissé une porte dérobée invisible dans le code. Nous nous plaçons dans la peau d'un développeur Java pour étudier les différentes techniques d'ajout d’une porte dérobée à une application JavaEE, sans que cela ne soit visible par les autres développeurs du projet.
1. Introduction
De nombreux employés d’une entreprise ne sont souvent pas des employés de l’entreprise elle-même mais des sous-traitants. L’entreprise confie donc son patrimoine informatique à des mains étrangères… pour lesquelles il est pratiquement impossible de garantir l’absence de malveillance (quelles qu’en soient les raisons : vengeance, pression, chantage ou autres).
Quelles sont les techniques utilisables par un développeur Java pour cacher un code malicieux ? Pour exécuter un traitement à l'insu de l'application ? Pour s'injecter dans le flux de traitement et ainsi capturer toutes les requêtes HTTP ? À toutes ces questions, nous proposons des réponses.
Deux vidéos de démonstrations sont diffusées. La première est une simple démonstration de la puissance de la porte dérobée, la seconde explique de plus comment se protéger contre ce type de menaces. Elles sont disponibles, ainsi que les outils, ici :
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
