Au sein des entreprises, la sécurité des applications web est un sujet délaissé par de nombreuses directions métiers.
Faites le test vous-même : posez la question "Tu connais le Cross-site Scripting ?" à l'un des développeurs ou à un administrateur système de votre société. En réponse à cette question, il y a de fortes chances que vous obteniez ou des yeux globuleux ou alors une question en retour du genre "le cross... quoi ?".
Bingo, les personnes concernées n'ont pas regardé le film hier soir : si cela se trouve, votre site Internet diffuse des attaques ou sert de base arrière pour un site de phishing.
un concours de piratage d'applications Web
Le site pirate-moi.com propose une approche plutôt originale : tous les mois, une nouvelle application Web va être mise en ligne sur des serveurs dédiés.
L'objectif à atteindre est simple : arriver à trouver une faille pour prendre le contrôle de l'application. La première personne arrivant à l'objectif fixé remportant un prix. Pour le premier challenge, le prix est plutôt sympathique : un iPad.
A vos marques, prêt ? Partez ! Non, stop : le premier challenge n'ouvrira que le 1er janvier... Vous avez donc le temps d'aiguiser vos outils et vos techniques d'intrusion. :-)
une initiative d'experts dans le domaine de la sécurité
J'ai eu l'opportunité de rentrer en contact avec Eric Seguinard, l'une des personnes derrière le site pirate-moi.com. Lors d'un échange téléphonique il m'a décrit quelles étaient les motivations et les moyens mis en place pour ce projet. Dans le cadre des activités de sa société securi-toile.com, Eric a pu constater que la sécurité des applications Web est un sujet orphelin et qu'il souffrait d'un cruel manque de visibilité.
C'est avec 3 autres personnes qu'il a décidé de lancer le site pirate-moi.com : l'approche choisie étant volontairement un peu décalée de celles d'autres acteurs du même domaine. L'originalité de leur démarche avec "pirate-moi.com" est double : "provoquer" les esprits et découvrir de nouvelles failles pour les corriger.
Sur le plan financier, Eric m'a clairement indiqué que les activités autour du site pirate-moi.com étaient exclusivement à caractère non-commercial : ça « sent » les passionnés à plein nez.
Je vous livre ici ce que j'ai pu retenir de mon échange avec Eric : bonne lecture mais surtout bon vent à securi-toile.com et pirate-moi.com !
coller au bitume et rester proche des préoccupations des entreprises
A contrario d'autres sites proposant des "hackme" ou d'analyser à posteriori une intrusion, ce seront les applications habituellement utilisées par les entreprises qui seront mises à l'épreuve des experts en sécurité. On devrait donc voir passer les systèmes de gestion de contenu les plus connus comme Wordpress, Joomla, Typo3, etc... ainsi que d'autres applications Web classiques bien entendu.
Ces applications seront configurées de façon tout à fait classique, comme cela serait fait par l'administrateur d'une PME : dernière version disponible sur le site officiel, installation et configuration réalisés en suivant la documentation, mise en place de quelques plugins/extensions. Il n'est pas prévu de faire quoi que ce soit de spécifique pour rendre une application plus ou moins résistante.
Nous sommes donc dans la catégorie du "crash-test" sur un modèle standard de voiture et non pas un prototype spécifique. Intéressant !
ça y est, la sécurité de l'application a été compromise
Après inscription préalable, un participant aura la liberté d'utiliser les techniques d'attaque de son choix (à l'exclusion des dénis de service) pour rentrer sur le site. Pour montrer qu'il (ou elle) est arrivé(e) il faudra montrer patte blanche en fournissant une "preuve" : Par exemple signer son exploit de son pseudo et dévoiler la faille utilisée.
Cette personne soumettra aux organisateurs sa découverte en détaillant comment elle a réussi à rentrer et fournira la "preuve" : une fois validé, elle remportera le prix annoncé en début de challenge.
démarche intéressante pour les éditeurs et intégrateurs
Les techniques utilisées pour réaliser l'intrusion ne seront pas directement publiées : celles-ci seront traitées par les organisateurs du site de sorte à ce qu'elles soient communiquées à l'éditeur qui a développé application. Ce dernier sera donc en mesure de combler la faille et de proposer des correctifs à ses utilisateurs.
Une société développant ou distribuant une application pourra ainsi avoir la possibilité de faire tester la sécurité de son application pour un coût minime. En effet, au lieu de se voir facturer un test de pénétration de plusieurs jours, elle n'aura qu'à proposer un lot intéressant.
Plus l'objet à remporter est intéressant, plus elle devrait avoir de personnes qui tenteront de pénétrer son application. En cela, la démarche des personnes du site pirate-moi.com est plutôt innovante. Il ne reste plus que les sociétés « accrochent » au concept et rentrent dans le jeu !
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens