Le bon sens et l expérience

Dimension: px
Commencer à balayer dès la page:

Download "www.e-xpertsolutions.com Le bon sens et l expérience"

Transcription

1

2 Séminaire sécurité Les Web Services et leur sécurité Stephan Nardone CTO Security Architect tel

3 Que sont les Web Services? 1 Que sont les Web Services? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service

4 Web Services Définition

5 Définition - SOA SOA (Services Oriented Architecture) Une SOA se fonde sur la décomposition des processus métiers en Services exposés sous la forme de modules fonctionnels.

6 Définition Web Services Les Web Services sont un type de SOA Les Web Services résultent de l évolution et de la convergence: de l informatique distribuée (CORBA, RMI, DCOM,...etc.) de l'intégration d'applications d'entreprise ou EAI (EDIFACT, ANSI/X12, ASN1, etc.) Utilisent XML comme (meta)langage de communication Permettent la discussion d ordinateur à ordinateur Utilisent des protocoles standardisés, souvent contrôlés par W3C, OASIS et WS-I Conçus pour être platform and transport-independent

7 Définition Web Services Définition : Composants logiciels qui peuvent être publiés, localisés et exécutés au travers d Internet et ce en utilisant le language XML (extensible Markup Language) Le but des Web Services est de solutionner les points suivants : Interopérabilité Traversée des firewalls Complexité Données en temps réel

8 Exemple d architecture Exemple :

9 Web Services Web Services Registry 1 - Publish 2 - Find Web Service Provider Web Services Client 3 - Bind / Invoke

10 Web Services Menu Waiter Chef Yellow Pages Toutes les communications sont établies ici en français

11 Web Services Web Services UDDI WSDL Web Service Listener Database Toutes les communications sont établies ici en XML

12 Composants Les différents composants des Web Services sont : XML Extensible Markup Language A uniform data representation and exchange mechanism. UDDI Universal Description, Discovery, and Integration A mechanism to register and locate WS based application. WSDL Web Services Description Language A standard meta language to described the services offered. SOAP Simple Object Access Protocol A standard way for communication. SAML XML-based open standard for exchanging authentication and authorization data between security domains

13 XML XML signifie EXtensible Markup Language. XML est donc un markup language tout comme HTML. XML a été créé pour décrire des données de manière structurée. Les tags XML ne sont pas prédéfinis. Il est nécessaire de les définir soit même. XML est donc le choix parfait pour l échange de données interplateforme tels que les Web Services.

14 XML vs HTML <html> <body> <h2>john Doe</h2 <p>2 Backroads Lane<br> New York<br> <br> </p> </body> </html> John Doe 2 Backroads Lane New York HTML définit comment le document doit être affichée mais pas ce qu il contient. - Difficile à un ordinateur d extraire les données. - Lisible pour un être humain.

15 XML vs HTML <?xml version=1.0?> <contact> <name>john Doe</name> <address>2 Backroads Lane</address> <country>new York</country> <phone> </phone> </contact> - XML définit ce que contient le document mais pas son affichage. - Facile à un ordinateur d extraire les données. - Lisible pour un être humain.

16 WSDL

17 Web Service Description Language WSDL : Permet la description d un service Equivalent au menu d un restaurant Utilise XML pour décrire ce que le Web Service peut accomplir : Interface information (available functions) Function data types Function location information (URL address) Choice of application transfer protocol

18 Web Service Description Language Exemple de syntaxe WSDL : <message name="getstockpricerequest"> <part name="stock" type="xs:string"/> </message> <message name="getstockpriceresponse"> <part name="value" type="xs:string"/> </message> <porttype name= StocksRates"> <operation name= GetStockPrice"> <input message= GetStockPriceRequest"/> <output message= GetStockPriceResponse"/> </operation> </porttype>

19 SOAP

20 Simple Object Access Protocol SOAP : Permet de poser des questions et recevoir les réponses Une Remote Procedure Call (RPC) qui consiste en de l XML envoyé par HTTP Equivalent à la discussion avec un serveur dans un restaurant Structure similaire à une lettre : Le message est rédigé en XML Ce message est mis dans une enveloppe XML

21 Simple Object Access Protocol Exemple de requête SOAP : <?xml version="1.0" encoding="utf-8"?> <soap:envelope xmlns:soap= "http://schemas.xmlsoap.org/soap/envelope/"> <soap:body> <GetAirportInformation> <AirportIdentifier>N99</AirportIdentifier> </GetAirportInformation> </soap:body> </soap:envelope>

22 Simple Object Access Protocol Exemple de réponse SOAP : <?xml version="1.0" encoding="utf-8"?> <soap:envelope xmlns:soap= "http://schemas.xmlsoap.org/soap/envelope/"> <soap:body> <GetAirportInformationResponse> <GetAirportInformationResult> <Name>Brandywine Airport</Name> <Location>West Chester, PA</Location> <Length unit="feet">3347</length> </GetAirportInformationResult> </GetAirportInformationResponse> </soap:body> </soap:envelope>

23 SAML

24 Security Assertion Markup Language (SAML) HTTP Header HTTP Body SOAP Header SOAP Body SAML Request or Response

25 SAML

26 Comment sécuriser les Web Services? 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service

27 Pourquoi sécuriser ces flux?

28 Les risques Interconnexion entre entreprises Connexion directe aux applications métier Données sensibles en transit Solutions «jeunes» La sécurité n est pas toujours impliquée dans les architectures de Web Services Solution logicielle parfois complexe (terminologie, flux, )

29 Atteinte à la réputation Comment? SQL Injection Remote command injection Privilege escalation Conséquences Atteinte à la réputation de l entreprise Atteinte à la marque

30 Fuite d information Comment? Automatisation des requêtes SQL Injection XPATH Injection Xquery Injection Conséquences Récupération de données sensibles Récupération des informations internes

31 Deni de service Comment? Attaques sur les parseurs Récursivité Entités internes et externes Nombre d éléments et d attributs Conséquences Interruption de service Indisponibilité

32 Non respect des SLAs Comment? Client mal développé Abus de fonctionnalité Détournement du fonctionnement initial Conséquences Rupture de contrat Indisponibilité du service Pénalités

33 Fail!!

34 Principales attaques

35 Les types d attaque XML-Based Utilise les faiblesses du langage XML (ex: entity expansion) Bugs in backend systems Code Injection Denial of Service Man in the Middle Beaucoup de technologies utilisées impliquent un risque de bug élevé. Les attaques XML injection sont simples à entreprendre. Ce sont les attaques les plus répandues. Flux important de messages, envoi de centaines d éléments encryptés peuvent mettre à mal un système complet et affecter les SLAs. Les messages peuvent être interceptés. Ceci pose des soucis de routage des messages et également d intégrité.

36 Attaque XML : Entity Expansion Document XML <!DOCTYPE foo [ <!ENTITY a " " > <!ENTITY b "&a;&a;&a;&a;&a;&a;&a;&a;" > <!ENTITY c "&b;&b;&b;&b;&b;&b;&b;&b;" > <!ENTITY d "&c;&c;&c;&c;&c;&c;&c;&c;" > <!ENTITY e "&d;&d;&d;&d;&d;&d;&d;&d;" > <!ENTITY f "&e;&e;&e;&e;&e;&e;&e;&e;" > <!ENTITY g "&f;&f;&f;&f;&f;&f;&f;&f;" > <!ENTITY h "&g;&g;&g;&g;&g;&g;&g;&g;" > <!ENTITY i "&h;&h;&h;&h;&h;&h;&h;&h;" > <!ENTITY j "&i;&i;&i;&i;&i;&i;&i;&i;" > <!ENTITY k "&j;&j;&j;&j;&j;&j;&j;&j;" > <!ENTITY l "&k;&k;&k;&k;&k;&k;&k;&k;" > <!ENTITY m "&l;&l;&l;&l;&l;&l;&l;&l;" > ]> <foo>&m;</foo> - L invoquation de &m semble sans risque - Mais &m se réfère 8 fois à &l qui se réfère 8 fois à &k!!! - L appel va donc se finir avec 8 12 &a qui se compose de 10 caractères - Donc du simple appel à &m vont résulter 10x8 12 soit 687,194,767,360 caractères!!

37 Attaque XML : XML Attribute Blowup Document XML <?xml version="1.0"?> <foo a1="" a2=""... a10000="" /> - Un parser XML standard devrait effectuer opérations ( ) - Si chaque opération prend 100 nanoseconds, le traitement prenda 5 secondes - Avec entrées, cela fait d opérations soit 500 secondes

38 Deni de Service Injection du DoS SOAP Directement sur le Service HTML Via le Portail Frontal Web <soapenv:envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:tem="http://tempuri.org/"> <soapenv:header/> <soapenv:body> <tem:login> <tem:loginid> John Doe<a1>.</a1> </tem:loginid> <tem:password> muahahah </tem:password> </tem:login> </soapenv:body> </soapenv:envelope> WS de gestion des comptes Login: John Doe <a1> </a1> Password: ********

39 Attaque XML : XML Injection Document XML <?xml version="1.0" encoding="iso "?> <users> <user> <uname>joepublic</uname> <pwd>r3g</pwd> <uid>10<uid/> </user> <user> <uname>janedoe</uname> <pwd>an0n</pwd> <uid>500<uid/> </user> </users> Username: alice Password: iluvbob </mail></user><user><uname uname>hacker</ >Hacker</uname uname> <pwd pwd>l33tist</ >l33tist</pwd pwd>< ><uid uid>0</ >0</uid

40 Attaque XML : XML Injection Document XML <?xml version="1.0" encoding="iso "?> <users> <user> <uname>joepublic</uname> <pwd>r3g</pwd> <uid>10<uid/> </user> <user> <uname>alice</uname> <pwd>iluvbob</pwd> <uid>501<uid/> </user><user><uname uname>hacker</ >Hacker</uname uname>< ><pwd pwd>l33tist</ >l33tist</pwd pwd>< ><uid uid>0</ >0</uid uid> </user> </users>

41 Injection Xpath L équivalent de SQL Injection de données pour corrompre une expression xpath Nouvelle difficulté : pas de commentaires inline Exemple Authentification basée sur l expression: Injection //user[name='$login' and pass='$pass']/account/text() $login = whatever' or '1'='1' or 'a'='b $pass = whatever Exploitation de la précédence de l opérateur AND L expression devient //user[name='whatever' or '1'='1' or 'a'='b' and pass= whatever']/account/text() = TRUE TRUE OR FALSE

42 Web Services Comment sécuriser ces flux?

43 Les questions à se poser Qui accède à ce système? Ses requêtes sont elles légitimes? Puis je faire vérifier son identité avec un annuaire local? Comment s est-il authentifié? Quand? Quels sont ses droits? Comment garantir confidentialité et respect de la vie privée? Mes données sont-elles sensibles? Dois-je respecter des SLAs?

44 Comment se protéger? Message integrity (signature) Ensure message integrity. Support for XML Signature. Message confidentiality (encryption) Ensure end-to-end data privacy. Support for both SSL and XML. Encryption are essential. Authentication (SAML) Verifying the identity of the requestor. Access Control (SAML) Ensuring that the requestor has appropriate access to the resource. Schema Validation (WSDL) Ensuring intergrity of the structure and content of the message. Security Standards (WS-Security) Supporting standards based security functions such as WS-Security. Malicious attack protection (Black List) Supporting protection against the lastest Web Services and XML-Based attacks.

45 WS-Security En appliquant le WS-Security : Trust relationships WS-Trust XKMS WS-Federation SAML LibertyAlliance SOAP WS-Security WS-Reliability XACML WS-Policy SAML Access XML XML Encryption XML Signature Implémentations les plus courantes HTTP TCP HTTP Auth SSL / TLS Sécurité habituelle des applications Web IP IPSec

46 WS-Security <?xml version="1.0" encoding="utf-8"?> <soap:envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/" xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <soap:header> <wsse:security xmlns:wsse="http://schemas.xmlsoap.org/ws/2002/04/secext"> <ds:signature> <ds:signaturevalue>djbchm5gk...</ds:signaturevalue>... </ds:signature> </wsse:security> </soap:header> <soap:body id="msgbody">... </soap:body> </soap:envelope>

47 Web Services Une solution : le parefeu applicatif

48 Firewall applicatif vs Firewall XML PARE-FEU APPLICATIF Détection d attaques propres aux applications PARE-FEU XML Détection d attaques communes : SQL injection, XSS, etc. Détection d attaques propres aux services web (WSDL, ) Les fonctions de détection sont complémentaires

49 Problématique des firewalls standards Firewall standard pop3 X TCP/IP ftp X https http Application Web

50 Problématique des firewalls standards XML, Soap, WSDL http / https P2P, IM, http Tunneling Java, ActiveX, VBScript, etc. Html, Dhtml

51 Web Application Firewall Internet Legitimate Traffic Malicious Application Activity Application Floods Network Attacks & Floods Not allowed Services

52 WAF - Positionnement Trafic web potentiellement dangereux Trafic web sûr Trafic non web DMZ Présentation DMZ Traitement ESB/Passerelle XML Traitement métier Réseau Interne Clients Pare-feu XML Filtrage de contenu DMZ WAF DMZ Données

53 Principales fonctionnalités d un firewall XML Protection de Web Services, flux XML et des interactions SAML Contrôle d accès unifié et renforcé en amont des serveurs Web Garantit l'intégrité des informations échangées entre les applications Web Services Liste noire et politique de sécurité par défaut sur les attaques XML (XPATH/XQUERY injection, parser recursion, etc.) Liste blanche et apprentissage, conformité WSDL/schema, external entities etc. XML Encryption, Signature & Transformation

54 Son fonctionnement technique 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service

55 Petit-déjeuner sécurité du jeudi 9 juin 2011 Philippe Logean Ingénieur Sécurité tel

56 Bee-Ware V5 i-suite: plateforme unique pour tous les composants i-sentry Sentry: Firewall applicatif et revesre-proxy IAM: Module AAA et Web SSO i-watch: Outil d'observation et d'aide à la compréhension des flux applicatifs XML Firewall module: Filtrage et manipulation des messages XML

57 Management centralisé Console de management centralisée Interface unique de paramétrage des appliances. Interface unique de déclaration des politiques de traitement des requêtes et des politiques de sécurité. Point unique de sauvegarde des configurations (automatisable) Point unique de centralisation et dʼanalyse des logs de sécurité. Rôles: administration, supervision, décision, etc. Appliance de management dédié

58 Traitement des flux par Workflow Création d'un arbre de traitement du flux à partir d'une vue graphique. Représentation de la requête sous forme d'attributs et tables d'attributs. Utilisation d'objets de traitement comme les conditions, modifications, suppression et ajout. Possibilité d'insérer des moteurs d analyse ou des appels externes dans le traitement (exemple : invocation du moteur de sécurité ICX, sous-requête HTTP, LDAP, ICAP, etc.).

59 Firewall Applicatif Moteur ICX: Protection contre les attaques de type XSS, SQL injection, manipulation de fichiers, de chemin, buffer overflow, etc. Filtre les flux Web et XML Tableau de règles à la manière des firewalls réseaux

60 Firewall Applicatif (Suite) Sécurité négative et positive Dissimulation des informations sensibles (en-têtes superflues, pages d'erreurs, etc.) retournées au client. Possibilité de travailler sur l'ip source et destination ainsi que le port destination, l'uri, la query string, les headers, les cookies, des variables GET et POST parsées, des messages XML. Possibilité de personnalisation des messages d'erreur renvoyés à l utilisateur.

61 Principe du reverse proxy dans i-suite :443 Tunnel :80 SSL Protocol + Ciphers

62 La technologie mise à part 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service

63 i-suite XML Firewall module Fonctionnalités XML dans les Workflows

64 i-suite XML Firewall module Règle XML dans la politique de sécurité de l ICX

65 XML Firewall module spécifications Features Message routing Encryption-Decryption Signatures Schema validation Authentication, authorisation Protection Transformation Standards supported SOAP, REST, RAW, over HTTP(S) SSL, WS-Encryption XML-DSig WSDL, Schema, WSI SAML Bee Ware Technology (ICX) XSLT, RegExp

66 Traitement & Sécurité 80% Part des fonctionnalités orientées traitement des XML Gateways* Fonctions de traitement Fonctions de sécurité (*) Sources : ibm.com, layer7.com

67 Traitement & Sécurité Médiation de protocoles BPM UDDI Protection Validation Authentification 85% Part estimée des fournisseurs de Web Services ne nécessitant que des fonctions de sécurité

68 Le marché Acteurs principaux et challengers 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service

69 Démo de manipulation d un flux XML Signature d un message SOAP et insertion du header Chiffrement du body du message SOAP Déchiffrement du body du message SOAP Validation de la signature du message SOAP Validation d un schéma WSDL

70 Démo de manipulation d un flux XML TCP 1080 SOAP message signature + header insertion SOAP Source Message TCP 1085 TCP 1084 TCP 1083 Tunnel définit dans le Reverse-Proxy Port d écoute TCP 1082 SOAP message signature validation SOAP body unencryption SOAP body encryption (dogooglesearchresponse)

71 Message SOAP source TCP 1080 SOAP Source Message

72 SOAP message signature + header insertion TCP 1082 TCP 1080 SOAP message signature + header insertion SOAP Source Message

73 SOAP Source Message SOAP body encryption (dogooglesearchresponse) TCP 1083 TCP 1082 TCP 1080 SOAP body encryption (dogooglesearchresponse) SOAP message signature + header insertion

74 SOAP Source Message SOAP body unencryption TCP 1084 TCP 1083 TCP 1082 TCP 1080 SOAP body unencryption SOAP body encryption (dogooglesearchresponse) SOAP message signature + header insertion

75 SOAP Source Message SOAP message signature validation TCP 1085 TCP 1084 TCP 1083 TCP 1082 TCP 1080 SOAP message signature validation SOAP body unencryption SOAP body encryption (dogooglesearchresponse) SOAP message signature + header insertion

76 Validation du schéma WSDL Envoi d une requête respectant le format du Webservice <?xml version="1.0" encoding="utf-8"?> <nomcomplet>prenom Nom</nomComplet> Envoi d une requête ne respectant pas le format du Webservice <?xml version="1.0" encoding="iso "?> <nomcomplet>prenom <b> Nom </b></nomcomplet> DEMO

77 DLP Mission impossible? 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque surun unweb Service

78 Petit-déjeuner sécurité du jeudi 9 juin 2011 Matthieu Estrade Responsable Innovation tel

79 Contexte Webservice Une URL pour le serveur Une page web qui agit comme client Simulation d un webservice de catalogue de pièces automobiles stockées dans une base de données

80 L infrastructure

81 Cinématique

82 Requêtes Récupération d un article du catalogue grâce à son ID Injection d un caractère non autorisé Affichage d informations sensibles Injection SQL Récupération du catalogue entier Récupération automatisé de contenu Récupération du catalogue entier

83 Démo Sécurité des Webservices DEMO

84 Conclusion Les Web Services sont de plus en plus utilisés, Ces architectures sont autant à risque que les architectures Web standard, Quelques facteurs de risque : Protocoles et infrastructures encore très méconnus, L interconnexion aux applications métiers, Les équipes de sécurité encore trop rarement impliquées, Des guidelines existent (WS-Security) Des solutions de sécurité dédiées sont maintenant disponibles sur le marché

85 Questions? e-xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fait de leur passion leur métier : La sécurité des systèmes d'information

86

87 Petit-déjeuner sécurité du jeudi 9 juin 2011 Yann Desmarest Ingénieur Sécurité tel

88 e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél Fax Le mot de passe» Faiblesse d utilisation du mot de passe statique» Attaques et vulnérabilités liées le bon sens et l expérience

89 Les faiblesses d utilisation du mot de passe Création du mot de passe Compléxité Password Policy Longueur du mot de passe Utilisation des caractères spéciaux Augmentation des échecs Mémorisation impossible Inscription manuscrite Cycle de vie du mot de passe Fréquence d utilisation Fréquence de changement Réutilisation d anciens mot de passe Insatisfaction de l utilisateur Charge de l administrateur

90 Attaques et vulnérabilités liées

91 Impacts d une attaque réussie

92 e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél Fax L authentification forte» Définition de l authentification forte»one Time Password» Public Key Infrastructure et Biométrie le bon sens et l expérience

93 Définition de l authentification forte 2-factor authentication Strong authentication Ce que l on possède TOKEN PASSWORD BIOMETRIE Ce que l on connait Ce qui nous caractérise

94 OTP One Time Password TIME BASED EVENT BASED CHALLENGE/RESPONSE

95 Software Token Sécurité PIN non stocké sur mobile, ni transmis, ni stocké sur le serveur Sécurité PIN selectionné par l utilisateur, pas de PIN temporaire Compatibilité Supporté sur J2ME, WinCE, Brew, Blackberry, iphone, ipad, Androïd Fonctionnalités 2-factor authentication, Transaction Data Signing, Enrolement auto,

96 Tokens Hardware - NagraID Caractéristiques Dimensions: 85.5mm x 54mm x 0.8mm NagraLam lamination technology OTP Event Based Dynamic one-time password (OTP) Numerical 6-digit display (ISO/IEC, INCITS, ANSI, CQM) Personnalisation 1 to 3-year lifetime Tamper evident Custom artwork graphics Card personalization features and options

97 Tokens Hardware - Yubikey Caractéristiques Dimensions: 18 x 45 x 3 mm Poids: 2,5 grams Connecteur USB Multi-plateforme OTP Event Based

98 PKI (Public Key Infrastructure) et Biométrie Technologie MOC Match On Card Lecteur de carte Capteurs

99 e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél Fax Tendances du marché» Corroboration» Transaction Data Signing» Risk Based Authentication le bon sens et l expérience

100 Corroboration QUI? QUAND? Username OTP Date d envoi VALID

101 TDS Transaction Data Signing DEMO #1

102 Risk Based Authentication Risk Engine Définition du risque acceptable Apprentissage Compilation/Evaluation du risque

103 Risk Based Authentication Learning Behavior

104 Risk Based Authentication Strong Multi-factor

105 e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél Fax De nouveaux Standards» Initiative for Open authentication - OATH» OpenID / SAML le bon sens et l expérience

106 Initiative for Open Authentication - OATH

107 OpenID / SAML Security Assertion Markup Language (SAML) standard basé sur XML Echange des données d authentification et d autorisation entre domaines Service Provider / ID Provider OpenID 2.0 (http://openid.net) Fédération des identités Solution Web SSO à travers Internet

108 e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél Fax Démo authentification» i-suite IAM» Authentification par Certificat» Learning» Authentification par OTP» Authentification sur ressources sensible le bon sens et l expérience

109 i-suite - IAM Module d authentification et de Web SSO Authentification périmétrique (mot de passe, Radius, LDAP, certificats numérique, Kerberos, Elcard, etc.) Authentification applicative (Web SSO) (Basic, Forms, NTLMv2, Header) Learning des crédentiaux applicatif Gestion des autorisations

110 Scénario de la démo L utilisateur peut s authentifier par certificat ou par OTP sur la même ressource Web Le mot de passe applicatif est apprit (learning) à la 1 ere connexion pour effectuer du web SSO dans l application L accès à une ressource sensible est possible directement pour l utilisateur authentifié par certificat L accès à une ressource sensible est possible après authentification par mot de passe pour l utilisateur authentifié par OTP

111 Schéma de la démo Learning for Web SSO HTTPS HTTPS Radius

112 Démo authentification Authentification par certificat et learning Authentification par certificat et Web SSO Authentification par OTP et Web SSO Accès par mot de passe à une ressource confidentielle

113 Questions? e-xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fait de leur passion leur métier : La sécurité des systèmes d'information

Sécurité des Web Services (SOAP vs REST)

Sécurité des Web Services (SOAP vs REST) The OWASP Foundation http://www.owasp.org Sécurité des Web Services (SOAP vs REST) Sylvain Maret Principal Consultant / MARET Consulting / @smaret OpenID Switzerland OWASP Switzerland - Geneva Chapter

Plus en détail

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET http://www.chambet.com

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET http://www.chambet.com Urbanisation des SI Conduite du changement IT 20/03/09 Sécuriser ses Web Services Patrick CHAMBET http://www.chambet.com Bouygues Telecom Direction Gouvernance, Outils et Architecture / Sécurité du SI

Plus en détail

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE Référence : BNX_Cible-de-sécurité_CSPN Version : 1.3 Etat : A valider Date : Affaire/projet : Client : BEE WARE Classification : Diffusion projet Bee Ware i-suite Cible de Sécurité CSPN Validation Fonctionnelle

Plus en détail

Responsable du cours : Héla Hachicha. Année Universitaire : 2011-2012

Responsable du cours : Héla Hachicha. Année Universitaire : 2011-2012 Chapitre 4- WS-Security Responsable du cours : Héla Hachicha Année Universitaire : 2011-2012 1 WS-Security (Microsoft) WS-Security est le standard proposé par IBM, Microsoft, VeriSign et Forum Systems

Plus en détail

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet REALSENTRY TM Gestion, Performance et Sécurité des infrastructures Web La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet L authentification

Plus en détail

Tutorial Authentification Forte Technologie des identités numériques

Tutorial Authentification Forte Technologie des identités numériques e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél +1 22 727 05 55 Fax +1 22 727 05 50 Tutorial Authentification Forte Technologie des identités numériques Volume 2/3 Par Sylvain Maret /

Plus en détail

Présentation de la solution Open Source «Vulture» Version 2.0

Présentation de la solution Open Source «Vulture» Version 2.0 Présentation de la solution Open Source «Vulture» Version 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 1 s/apache/mod_perl/ LE PROJET VULTURE Advens IST Day 15 septembre 2011 http://www.vultureproject.org

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

Sécurisation des architectures traditionnelles et des SOA

Sécurisation des architectures traditionnelles et des SOA Sécurisation des architectures traditionnelles et des SOA Un livre blanc de Bull Evidian Gestion SAML des accès SSO aux applications classiques et J2EE. Max Vallot Sommaire Émergence des architectures

Plus en détail

BPEL Orchestration de Web Services

BPEL Orchestration de Web Services Orchestration de Web Services Grégory Le Bonniec gregory.lebonniec@zenika.com 26 novembre 2009 1 Zenika Conseil / Développement / Formation Localisation : Paris et Rennes Nos partenaires Mon expérience

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web Rencontres SPIRAL 25/02/03 Vulnérabilités et sécurisation des applications Web Pourquoi les firewalls sont impuissants face à certaines attaques patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com

Plus en détail

Attaques sur les Web Services. Renaud Bidou

Attaques sur les Web Services. Renaud Bidou Attaques sur les Web Services Renaud Bidou Le monde merveilleux des Web Services Que sont les Web Services? Définition du WoldWide Web Consortium (W3C) a software system designed to support interoperable

Plus en détail

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications. www.denyall.com.

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications. www.denyall.com. DenyAll Protect DenyAll Protect Parefeux pour applications et services Web Sécurité & accélération de vos applications Sites institutionnels ou marchands, messageries, outils collaboratifs, portails d

Plus en détail

Services Web. Fabrice Rossi. http://apiacoa.org/contact.html. Université Paris-IX Dauphine. Services Web p.1/26

Services Web. Fabrice Rossi. http://apiacoa.org/contact.html. Université Paris-IX Dauphine. Services Web p.1/26 Services Web Fabrice Rossi http://apiacoa.org/contact.html. Université Paris-IX Dauphine Services Web p.1/26 Plan du cours 1. Introduction 2. SOAP 3. WSDL 4. UDDI Site du cours : http://apiacoa.org/teaching/webservices/

Plus en détail

Web Services et sécurité

Web Services et sécurité HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Web Services et sécurité Espace RSSI du Clusif 10 Septembre 2003 Hervé

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning

Plus en détail

Gestion de la sécurité SOA. Mokdad SALHI Architecte certifié IBM - SOA Leader msalhi@fr.ibm.com

Gestion de la sécurité SOA. Mokdad SALHI Architecte certifié IBM - SOA Leader msalhi@fr.ibm.com Gestion de la sécurité SOA Mokdad SALHI Architecte certifié IBM - SOA Leader msalhi@fr.ibm.com Agenda 1 SOA en deux mots! 2 La sécurité dans un contexte SOA 3 4 5 Le modèle WS-Security Les problématiques

Plus en détail

Introduction aux «Services Web»

Introduction aux «Services Web» Introduction aux «Services Web» Sana Sellami sana.sellami@univ-amu.fr 2014-2015 Modalité de contrôle de connaissances Note de contrôle de continu Note projet Evaluation du projet la semaine du 17 novembre

Plus en détail

Sécurité des réseaux sans fil

Sécurité des réseaux sans fil Sécurité des réseaux sans fil Francois.Morris@lmcp.jussieu.fr 13/10/04 Sécurité des réseaux sans fil 1 La sécurité selon les acteurs Responsable réseau, fournisseur d accès Identification, authentification

Plus en détail

Tutorial Authentification Forte Technologie des identités numériques

Tutorial Authentification Forte Technologie des identités numériques e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél +1 22 727 05 55 Fax +1 22 727 05 50 Tutorial Authentification Forte Technologie des identités numériques Volume 1/3 Par Sylvain Maret /

Plus en détail

PortWise Access Management Suite

PortWise Access Management Suite Créez un bureau virtuel pour vos employés, partenaires ou prestataires depuis n importe quel endroit et n importe quel appareil avec Portwise Access Manager et Authentication Server. Fournir des accès

Plus en détail

Groupe Eyrolles, 2004, ISBN : 2-212-11274-2

Groupe Eyrolles, 2004, ISBN : 2-212-11274-2 Groupe Eyrolles, 2004, ISBN : 2-212-11274-2 Table des matières Remerciements.................................................. Avant-propos.................................................... Structure

Plus en détail

Application Control technique Aymen Barhoumi, Pre-sales specialist 23/01/2015

Application Control technique Aymen Barhoumi, Pre-sales specialist 23/01/2015 Bienvenue Application Control technique Aymen Barhoumi, Pre-sales specialist 23/01/2015 Contexte 2 Agenda 1 Présentation de la Blade Application Control: catégorisation, Appwiki 2 Interfaçage avec la Blade

Plus en détail

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité La sécurité des processus métiers et des transactions Stéphane Marcassin Bull Services Sécurité Bull : leader européen de la sécurité Spécialiste des infrastructures sécurisées Conseil Intégrateur Editeur

Plus en détail

Introduction. aux architectures web. de Single Sign-On

Introduction. aux architectures web. de Single Sign-On Introduction aux architectures web de Single Sign-On Single Sign-on Authentifier 1 seule fois un utilisateur pour accéder à un ensemble d applications contexte web Nombre croissant d applications ayant

Plus en détail

Web Services. SLenoir@ugap.fr 17/01/2009

Web Services. SLenoir@ugap.fr 17/01/2009 Web Services SLenoir@ugap.fr 17/01/2009 1. Pourquoi les Web Services? 1.1. Historique des SI 1.2. Exigences actuelles 1.3. SOA 1.4. Mise en place de services 17/01/2008 Web Services 2 1.1. Historique des

Plus en détail

Le cadre des Web Services Partie 1 : Introduction

Le cadre des Web Services Partie 1 : Introduction Sécurité en ingénierie du Logiciel Le cadre des Web Services Partie 1 : Introduction Alexandre Dulaunoy adulau@foo.be Sécurité en ingénierie du Logiciel p.1/21 Agenda (partie 1) 1/2 Introduction Services

Plus en détail

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014 La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014 25/09/2014 1 RENATER Opérateur du réseau enseignement et recherche Sécurité Le CERT RENATER Animation réseau des

Plus en détail

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria 1 Philippe Lecler TutoJRES «Sécurité des sites WEB» 4 février 2010 Contexte 2 PCI-DSS : Payment Card Industry Data Security

Plus en détail

La suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008

La suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008 La suite logicielle Lin ID Paris Capitale du Libre 25 septembre 2008 Pourquoi Lin ID? Le domaine de la gestion des identités est vaste et complexe L'offre logicielle est réduite, dominée par quelques grands

Plus en détail

Gestion des identités Christian-Pierre Belin

Gestion des identités Christian-Pierre Belin Gestion des identités Christian-Pierre Belin Architecte Microsoft France La gestion des identités Le périmètre et les rôles Services d annuaire Point de stockage et d administration des comptes, des informations

Plus en détail

Urbanisme du Système d Information et EAI

Urbanisme du Système d Information et EAI Urbanisme du Système d Information et EAI 1 Sommaire Les besoins des entreprises Élément de solution : l urbanisme EAI : des outils au service de l urbanisme 2 Les besoins des entreprises 3 Le constat

Plus en détail

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse

Plus en détail

Mémoire de fin d études. Pour l obtention du diplôme d ingénieur d état en informatique. Option : Systèmes Informatiques. Thème.

Mémoire de fin d études. Pour l obtention du diplôme d ingénieur d état en informatique. Option : Systèmes Informatiques. Thème. Mémoire de fin d études Pour l obtention du diplôme d ingénieur d état en informatique Option : Systèmes Informatiques Thème Contrôle Surveillance d accès en aux temps plateformes réel des basées réseaux

Plus en détail

1. Formation F5 - Local Traffic Manager Configuring (LTM)

1. Formation F5 - Local Traffic Manager Configuring (LTM) Description F5 F5 Networks, Inc. (NASDAQ: FFIV) est une entreprise informatique américaine fondée en 1996 établie à Seattle qui commercialise des équipements réseau. Dans les années 1990, la société a

Plus en détail

Guide Share France. Web Single Sign On. Panorama des solutions SSO

Guide Share France. Web Single Sign On. Panorama des solutions SSO Web Single Sign On Panorama des solutions SSO Agenda Concepts généraux Quelques solutions de Web SSO Questions & Réponses Définition Qu est-ce que le Single Sign-On? Solution visant à minimiser le nombre

Plus en détail

Contrôle d accès Centralisé Multi-sites

Contrôle d accès Centralisé Multi-sites Informations techniques Contrôle d accès Centralisé Multi-sites Investissement et exploitation optimisés La solution de contrôle d accès centralisée de Netinary s adresse à toute structure souhaitant proposer

Plus en détail

Formations. «Produits & Applications»

Formations. «Produits & Applications» Formations «Produits & Applications» Nos formations Réf. PAP01 14 Heures ANTIVIRUS - McAfee : Endpoint Réf. PAP02 7 Heures ANTIVIRUS - ESET NOD32 Réf. PAP03 28 Heures FIREWALL - Check Point Réf. PAP04

Plus en détail

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO) CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document

Plus en détail

Formations. «Règles de l Art» Certilience formation N 82 69 10164 69 - SIRET 502 380 397 00021 - APE 6202A - N TVA Intracommunautaire FR17502380397

Formations. «Règles de l Art» Certilience formation N 82 69 10164 69 - SIRET 502 380 397 00021 - APE 6202A - N TVA Intracommunautaire FR17502380397 Formations «Règles de l Art» Nos formations Réf. ART01 14 Heures Authentification Réf. ART02 14 Heures Durcissement des systèmes Réf. ART03 14 Heures Firewall Réf. ART04 14 Heures Logs Réf. ART05 7 Heures

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante Solutions d accès sécurisées pour opérer une Market Place Saas multitenante Plan de la présentation Le Saas et les enjeux économiques des services en ligne La notion de shops multi-tenantes dans une market

Plus en détail

ENVOLE 1.5. Calendrier Envole

ENVOLE 1.5. Calendrier Envole ENVOLE 1.5 Calendrier Envole RSA FIM 1 avril 2008 V 1.13 sur EOLE V 2.0 1 septembre 2008 EOLE V 2.1 10 octobre 2008 V 1.15 RC sur EOLE V 2.0 Modification du SSO EOLE 2.2 (PAM-CAS, CT EOLE V 2.2 RC Prise

Plus en détail

Cours Master Recherche RI 7 Extraction et Intégration d'information du Web «Services Web»

Cours Master Recherche RI 7 Extraction et Intégration d'information du Web «Services Web» Cours Master Recherche RI 7 Extraction et Intégration d'information du Web «Services Web» Sana Sellami sana.sellami@lsis.org 2014-2015 Plan Partie 1: Introduction aux Services Web (SW) Partie 2: Vers une

Plus en détail

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO Page 1 Introduction Sommaire I- Présentation de la technologie II- Architectures classiques et étude du marché III- Implémentation en entreprise IV- Présentation de systèmes SSO Annexes Page 2 Introduction

Plus en détail

Didier Perrot Olivier Perroquin In-Webo Technologies

Didier Perrot Olivier Perroquin In-Webo Technologies Comment accéder concrètement, simplement et sans investissement aux bénéfices de l'authentification forte pour vos applications SI ou métier, Cloud, mobile ou web Didier Perrot Olivier Perroquin In-Webo

Plus en détail

Extensions à OpenSSO :

Extensions à OpenSSO : Extensions à : compatibilité et gestion des autorisations Philippe BEUTIN DSI Grenoble-Universit Universités Thierry AGUEDA Univ.. Pierre-Mend Mendès-France Gérard FORESTIER Univ.. Joseph-Fourier Le-Quyen

Plus en détail

Les technologies de gestion de l identité

Les technologies de gestion de l identité Commission Identité Numérique Groupe de travail Gestion des identités Les technologies de gestion de l identité ATELIER 1 Paul TREVITHICK, CEO de Parity Responsable projet Higgins Président Fondation Infocard

Plus en détail

Livre blanc sur l authentification forte

Livre blanc sur l authentification forte s 2010 Livre blanc sur l authentification forte Fonctionnement de l authentification «One Time Password» et son implémentation avec les solutions actuelles du marché Dans le contexte actuel où le vol d

Plus en détail

La haute disponibilité de la CHAINE DE

La haute disponibilité de la CHAINE DE Pare-feu, proxy, antivirus, authentification LDAP & Radius, contrôle d'accès des portails applicatifs La haute disponibilité de la CHAINE DE SECURITE APPLICATIVE 1.1 La chaîne de sécurité applicative est

Plus en détail

ISA Serveur 2004 INTERNET SECURITY AND ACCELERATION SERVER OLIVIER D.

ISA Serveur 2004 INTERNET SECURITY AND ACCELERATION SERVER OLIVIER D. 2013 ISA Serveur 2004 INTERNET SECURITY AND ACCELERATION SERVER OLIVIER D. Table des matières 1 Rôles... 3 2 Organisation... 3 3 TP1 : Configurer les règles de pare-feu... 6 4 Le proxy cache... 7 5 Demander

Plus en détail

Catalogue «Intégration de solutions»

Catalogue «Intégration de solutions» Catalogue «Intégration de solutions» 1 Nos prestations Offre 01 Offre 02 Offre 03 Offre 04 Offre 05 Offre 06 Offre 07 Offre 08 Offre 09 Offre 10 Offre 11 Offre 12 Offre 13 Offre 14 Offre 15 Offre 16 Antivirus

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

TUNIS LE : 20, 21, 22 JUIN 2006

TUNIS LE : 20, 21, 22 JUIN 2006 SÉMINAIRE SUR LA SSI : LA SÉCURITÉ DES SYSTÈMES D INFORMATION TUNIS LE : 20, 21, 22 JUIN 2006 La Sécurité Informatique : LES TECHNOLOGIES ET LES PRODUITS ORGANISÉ PAR : PARTENARIAT AVEC : ARAB ENGINEERING

Plus en détail

DirectAccess Mobilité et nomadisme, mise en oeuvre de la solution Microsoft

DirectAccess Mobilité et nomadisme, mise en oeuvre de la solution Microsoft DirectAccess pour quoi faire? 1. Le nomadisme en quelques mots 15 1.1 Du point de vue de l'utilisateur 15 1.2 Du point de vue de l'exploitant 17 2. Objectifs de DirectAccess 18 2.1 Du point de vue de l'utilisateur

Plus en détail

SPF Finances Programme PSMC

SPF Finances Programme PSMC SPF Finances Programme PSMC Security & Control V3.0 Présenté pour validation aux experts ICT, à l équipe de projet et au Comité de Pilotage du 16/06/2004 Pré-étude Programme PSMC Table des matières Page.

Plus en détail

La sécurisation d applications

La sécurisation d applications Université Toulouse 1 Sciences Sociales 10 mars 2008 Les firewalls ne suffisent plus Mais ont-ils jamais été suffisants? La protection à 100% n existe pas. De plus certains protocoles doivent absolument

Plus en détail

XML, PMML, SOAP. Rapport. EPITA SCIA Promo 2004 16 janvier 2003. Julien Lemoine Alexandre Thibault Nicolas Wiest-Million

XML, PMML, SOAP. Rapport. EPITA SCIA Promo 2004 16 janvier 2003. Julien Lemoine Alexandre Thibault Nicolas Wiest-Million XML, PMML, SOAP Rapport EPITA SCIA Promo 2004 16 janvier 2003 Julien Lemoine Alexandre Thibault Nicolas Wiest-Million i TABLE DES MATIÈRES Table des matières 1 XML 1 1.1 Présentation de XML.................................

Plus en détail

WEB SSO & IDENTITY MANAGEMENT PARIS 2013

WEB SSO & IDENTITY MANAGEMENT PARIS 2013 PARIS 2013 WEB SSO & IDENTITY MANAGEMENT PARIS 2013 AGENDA La problématique Quelques statistiques Identité & Authentification Les challenges Les solutions La problématique X Comptes - Mots de passe triviaux

Plus en détail

Les pare-feux : concepts

Les pare-feux : concepts Les pare-feux : concepts Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (2) 15 mai 2005 Diapositive N 1 /19 C'est quoi

Plus en détail

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de la PCI (PCI DSS) Version : 1.2 Date : Octobre 2008

Plus en détail

IGC Infrastructure de gestion de la confiance. Serge.Aumont@cru.fr florent.guilleux@cru.fr. JTO décembre 2002

IGC Infrastructure de gestion de la confiance. Serge.Aumont@cru.fr florent.guilleux@cru.fr. JTO décembre 2002 IGC Infrastructure de gestion de la confiance. Serge.Aumont@cru.fr florent.guilleux@cru.fr JTO décembre 2002 Chiffrement asymétrique Confidentialité d un message : le chiffrer avec la clé publique du destinataire.

Plus en détail

Vulnérabilités et solutions de sécurisation des applications Web

Vulnérabilités et solutions de sécurisation des applications Web Vulnérabilités et solutions de sécurisation des applications Web Patrick CHAMBET EdelWeb ON-X Consulting patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Eric Larcher RSSI Accor

Plus en détail

DataPower SOA Appliances

DataPower SOA Appliances DataPower SOA Appliances Catherine Ezvan Certified IT/Specialist Correspondante IBM auprès du Guide Share WebSphere Cath.ezvan@fr.ibm.com 2008 IBM Corporation Les Appliances SOA une couche entre le réseau

Plus en détail

Tour d horizon des différents SSO disponibles

Tour d horizon des différents SSO disponibles Tour d horizon des différents SSO disponibles L. Facq, P. Depouilly, B. Métrot, R. Ferrere ANF Les systèmes d authentification dans la communauté ESR : étude, mise en oeuvre et interfaçage dans un laboratoire

Plus en détail

ECTS CM TD TP. 1er semestre (S3)

ECTS CM TD TP. 1er semestre (S3) Organisation du parcours M2 IRS en alternance De façon générale, les unités d enseignements (UE) sont toutes obligatoires avec des ECTS équivalents à 3 sauf le stage sur 27 ECTS et réparties sur deux semestres

Plus en détail

Les Architectures Orientées Services (SOA)

Les Architectures Orientées Services (SOA) Les Architectures Orientées Services (SOA) Ulrich Duvent Guillaume Ansel Université du Littoral Côte d Opale 50, Rue Ferdinand Buisson BP 699 62228 Calais Cedex Téléphone (33) 03.21.46.36.92 Télécopie

Plus en détail

Plateforme PAYZEN. Définition de Web-services

Plateforme PAYZEN. Définition de Web-services Plateforme PAYZEN Définition de Web-services Ordre de paiement Version 1.1 Rédaction, Vérification, Approbation Rédaction Vérification Approbation Nom Date/Visa Nom Date/Visa Nom Date/Visa Lyra-Network

Plus en détail

Sécurité des réseaux Les attaques

Sécurité des réseaux Les attaques Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques

Plus en détail

Architecture JEE. Objectifs attendus. Serveurs d applications JEE. Architectures JEE Normes JEE. Systèmes distribués

Architecture JEE. Objectifs attendus. Serveurs d applications JEE. Architectures JEE Normes JEE. Systèmes distribués Architecture JEE. Objectifs attendus Serveurs d applications JEE Systèmes distribués Architectures JEE Normes JEE couches logicielles, n-tiers framework JEE et design patterns 2007/02/28 Eric Hébert.eheb@yahoo.fr

Plus en détail

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons <ads@intrinsec.com> Jérémie Jourdin <jjn@intrinsec.com> Arnaud Desmons Jérémie Jourdin Présentation Motivations Historique Démonstration Présentation fonctionnelle Présentation technique L'interface d'administration Roadmap

Plus en détail

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et l'anglais. L'étudiant a le choix entre deux filières

Plus en détail

SQL Parser XML Xquery : Approche de détection des injections SQL

SQL Parser XML Xquery : Approche de détection des injections SQL SQL Parser XML Xquery : Approche de détection des injections SQL Ramahefy T.R. 1, Rakotomiraho S. 2, Rabeherimanana L. 3 Laboratoire de Recherche Systèmes Embarqués, Instrumentation et Modélisation des

Plus en détail

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO Alexandre Garret Directeur des opérations - Atheos Charles Tostain Consultant Sécurité - IBM 24 Juin 2009 2009 IBM Corporation

Plus en détail

La Sécurité des Données en Environnement DataCenter

La Sécurité des Données en Environnement DataCenter La Sécurité des Données en Environnement DataCenter Thien-Trung Nguyen tnguyen@imperva.com 1 Agenda Présentation Imperva Protection des applications Web Protection des données sensibles Modes de déploiement

Plus en détail

Retour d'expérience sur le déploiement de biométrie à grande échelle

Retour d'expérience sur le déploiement de biométrie à grande échelle MARET Consulting Boulevard Georges Favon 43 CH 1204 Genève Tél +41 22 575 30 35 info@maret-consulting.ch Retour d'expérience sur le déploiement de biométrie à grande échelle Sylvain Maret sylvain@maret-consulting.ch

Plus en détail

IPSEC ACCÈS DISTANT. Jean-Jacques Puig Institut National des Télécoms jean-jacques.puig@int-evry.fr

IPSEC ACCÈS DISTANT. Jean-Jacques Puig Institut National des Télécoms jean-jacques.puig@int-evry.fr IPSEC & ACCÈS DISTANT Jean-Jacques Puig Institut National des Télécoms jean-jacques.puig@int-evry.fr IPSEC ET ACCÈS DISTANT 1 Les Mécanismes d'ipsec 2 Scénarios d'accès Distants 3 Intégration des Serveurs

Plus en détail

Bibliographie. Gestion des risques

Bibliographie. Gestion des risques Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes

Plus en détail

WEBSERVICES. Michael Fortier. Master Informatique 2ème année. fortier@lipn.univ-paris13.fr A308, Université de Paris 13

WEBSERVICES. Michael Fortier. Master Informatique 2ème année. fortier@lipn.univ-paris13.fr A308, Université de Paris 13 WEBSERVICES Michael Fortier Master Informatique 2ème année fortier@lipn.univ-paris13.fr A308, Université de Paris 13 https ://lipn.univ-paris13.fr/ fortier/enseignement/webservices/ Sommaire 1 Rappels

Plus en détail

Apache Camel. Entreprise Integration Patterns. Raphaël Delaporte BreizhJUG 07.11.2011

Apache Camel. Entreprise Integration Patterns. Raphaël Delaporte BreizhJUG 07.11.2011 Apache Camel & Entreprise Integration Patterns Raphaël Delaporte BreizhJUG 07.11.2011 1 Speaker CTO Zenika Ouest Consultant et formateur Responsable comité technique Architecture d'entreprise Domaine ESB

Plus en détail

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012 De l authentification au hub d identité si simplement Présentation OSSIR du 14fev2012 Olivier Perroquin In-Webo Technologies Mission et solutions d In-Webo > Apporter aux Entreprises et Opérateurs de Services

Plus en détail

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com > Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com > Www.linalis.com Sommaire Présentation de Linalis Le SSO Les différentes implémentations majeures Drupal & Consort Retour d'expérience sur projet

Plus en détail

PRotocole d'echange STandard Ouvert

PRotocole d'echange STandard Ouvert PRotocole d'echange STandard Ouvert 28 février 2007 Frédéric Law-Dune Direction Générale de la modernisation de l'etat 1 Contexte L administration électronique monte en puissance De nombreux services sont

Plus en détail

JOSY. Paris - 4 février 2010

JOSY. Paris - 4 février 2010 JOSY «Authentification centralisée pour les applications web» Paris - 4 février 2010 Sommaire de la journée Présentations de quelques technologies OpenId CAS Shibboleth Retour d expériences Contexte :

Plus en détail

Exemple de configuration ZyWALL USG

Exemple de configuration ZyWALL USG Zywall USG et User Awareness avec ZyXEL OTP (One Time Password) L objectif de cet article est de régler l accès à Internet en fonction de l utilisateur. Un utilisateur qui souhaite accéder à Internet par

Plus en détail

Introduction aux principes de la technologie Internet

Introduction aux principes de la technologie Internet 1 Introduction aux principes de la technologie Internet Je suis impliqué dans le commerce électronique depuis un bon bout de temps : j ai vendu des Casios dans les rues de New York! Il y a à peine quelques

Plus en détail

Systèmes d'informations historique et mutations

Systèmes d'informations historique et mutations Systèmes d'informations historique et mutations Christophe Turbout SAIC-CERTIC Université de Caen Basse-Normandie Systèmes d'informations : Historique et mutations - Christophe Turbout SAIC-CERTIC UCBN

Plus en détail

COMMUNICATION AVEC LA BCSS

COMMUNICATION AVEC LA BCSS 21 janvier 2009 26 mars 2009 1 juillet2009 31 août 2009 COMMUNICATION AVEC LA BCSS La préoccupation de l informatique de la BCSS est d être interopérable avec ses partenaires. Elle a opté en 2006 pour

Plus en détail

Gestion des Identités : 5 règles d'or. Patrice Kiotsekian Directeur Evidian France

Gestion des Identités : 5 règles d'or. Patrice Kiotsekian Directeur Evidian France Gestion des Identités : 5 règles d'or Patrice Kiotsekian Directeur Evidian France Page 1 - Mai 2005 Défi N 1 : la gestion de la cohérence Alors que les référentiels et bases d identité et de sécurité sont

Plus en détail

Les Services Web. Jean-Pierre BORG EFORT http://www.efort.com

Les Services Web. Jean-Pierre BORG EFORT http://www.efort.com Les Services Web Jean-Pierre BORG EFORT http://www.efort.com 1 Introduction Un "Service Web" est une application logicielle à laquelle on peut accéder à distance à partir de différents langages basés sur

Plus en détail

Programmation Web Avancée Introduction aux services Web

Programmation Web Avancée Introduction aux services Web 1/21 Programmation Web Avancée Thierry Hamon Bureau H202 - Institut Galilée Tél. : 33 1.48.38.35.53 Bureau 150 LIM&BIO EA 3969 Université Paris 13 - UFR Léonard de Vinci 74, rue Marcel Cachin, F-93017

Plus en détail

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration Pierre-Alexandre FUHRMANN Vice-President Global R&D 25 Avril

Plus en détail

Oauth : un protocole d'autorisation qui authentifie?

Oauth : un protocole d'autorisation qui authentifie? Oauth : un protocole d'autorisation qui authentifie? Maxime Féroul Directeur Technique / KYOS IT SECURITY Application Security Forum - 2012 Western Switzerland 7-8 novembre 2012 - Y-Parc / Yverdon-les-Bains

Plus en détail

Installation et configuration de ZeroShell

Installation et configuration de ZeroShell Master 2 Réseaux et Systèmes informatiques Sécurité Réseaux Installation et configuration de ZeroShell Présenté par: Mor Niang Prof.: Ahmed Youssef PLAN 1. Présentation 2. Fonctionnalités 3. Architecture

Plus en détail

Sécurité des applications web. Daniel Boteanu

Sécurité des applications web. Daniel Boteanu I F8420: Éléments de Sécurité des applications web Daniel Boteanu Architecture des applications web Client légitime Internet HTTP 浀 HTML Server Web 2 Architecture des applications web Client légitime Internet

Plus en détail

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3. PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur

Plus en détail

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.

Plus en détail

NIMBUS TRAINING. Administration de Citrix NetScaler 10. Déscription : Objectifs. Publics. Durée. Pré-requis. Programme de cette formation

NIMBUS TRAINING. Administration de Citrix NetScaler 10. Déscription : Objectifs. Publics. Durée. Pré-requis. Programme de cette formation Administration de Citrix NetScaler 10 Déscription : Cette formation aux concepts de base et avancés sur NetScaler 10 permet la mise en oeuvre, la configuration, la sécurisation, le contrôle, l optimisation

Plus en détail