Le bon sens et l expérience

Dimension: px
Commencer à balayer dès la page:

Download "www.e-xpertsolutions.com Le bon sens et l expérience"

Transcription

1

2 Séminaire sécurité Les Web Services et leur sécurité Stephan Nardone CTO Security Architect tel

3 Que sont les Web Services? 1 Que sont les Web Services? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service

4 Web Services Définition

5 Définition - SOA SOA (Services Oriented Architecture) Une SOA se fonde sur la décomposition des processus métiers en Services exposés sous la forme de modules fonctionnels.

6 Définition Web Services Les Web Services sont un type de SOA Les Web Services résultent de l évolution et de la convergence: de l informatique distribuée (CORBA, RMI, DCOM,...etc.) de l'intégration d'applications d'entreprise ou EAI (EDIFACT, ANSI/X12, ASN1, etc.) Utilisent XML comme (meta)langage de communication Permettent la discussion d ordinateur à ordinateur Utilisent des protocoles standardisés, souvent contrôlés par W3C, OASIS et WS-I Conçus pour être platform and transport-independent

7 Définition Web Services Définition : Composants logiciels qui peuvent être publiés, localisés et exécutés au travers d Internet et ce en utilisant le language XML (extensible Markup Language) Le but des Web Services est de solutionner les points suivants : Interopérabilité Traversée des firewalls Complexité Données en temps réel

8 Exemple d architecture Exemple :

9 Web Services Web Services Registry 1 - Publish 2 - Find Web Service Provider Web Services Client 3 - Bind / Invoke

10 Web Services Menu Waiter Chef Yellow Pages Toutes les communications sont établies ici en français

11 Web Services Web Services UDDI WSDL Web Service Listener Database Toutes les communications sont établies ici en XML

12 Composants Les différents composants des Web Services sont : XML Extensible Markup Language A uniform data representation and exchange mechanism. UDDI Universal Description, Discovery, and Integration A mechanism to register and locate WS based application. WSDL Web Services Description Language A standard meta language to described the services offered. SOAP Simple Object Access Protocol A standard way for communication. SAML XML-based open standard for exchanging authentication and authorization data between security domains

13 XML XML signifie EXtensible Markup Language. XML est donc un markup language tout comme HTML. XML a été créé pour décrire des données de manière structurée. Les tags XML ne sont pas prédéfinis. Il est nécessaire de les définir soit même. XML est donc le choix parfait pour l échange de données interplateforme tels que les Web Services.

14 XML vs HTML <html> <body> <h2>john Doe</h2 <p>2 Backroads Lane<br> New York<br> <br> </p> </body> </html> John Doe 2 Backroads Lane New York HTML définit comment le document doit être affichée mais pas ce qu il contient. - Difficile à un ordinateur d extraire les données. - Lisible pour un être humain.

15 XML vs HTML <?xml version=1.0?> <contact> <name>john Doe</name> <address>2 Backroads Lane</address> <country>new York</country> <phone> </phone> </contact> - XML définit ce que contient le document mais pas son affichage. - Facile à un ordinateur d extraire les données. - Lisible pour un être humain.

16 WSDL

17 Web Service Description Language WSDL : Permet la description d un service Equivalent au menu d un restaurant Utilise XML pour décrire ce que le Web Service peut accomplir : Interface information (available functions) Function data types Function location information (URL address) Choice of application transfer protocol

18 Web Service Description Language Exemple de syntaxe WSDL : <message name="getstockpricerequest"> <part name="stock" type="xs:string"/> </message> <message name="getstockpriceresponse"> <part name="value" type="xs:string"/> </message> <porttype name= StocksRates"> <operation name= GetStockPrice"> <input message= GetStockPriceRequest"/> <output message= GetStockPriceResponse"/> </operation> </porttype>

19 SOAP

20 Simple Object Access Protocol SOAP : Permet de poser des questions et recevoir les réponses Une Remote Procedure Call (RPC) qui consiste en de l XML envoyé par HTTP Equivalent à la discussion avec un serveur dans un restaurant Structure similaire à une lettre : Le message est rédigé en XML Ce message est mis dans une enveloppe XML

21 Simple Object Access Protocol Exemple de requête SOAP : <?xml version="1.0" encoding="utf-8"?> <soap:envelope xmlns:soap= "http://schemas.xmlsoap.org/soap/envelope/"> <soap:body> <GetAirportInformation> <AirportIdentifier>N99</AirportIdentifier> </GetAirportInformation> </soap:body> </soap:envelope>

22 Simple Object Access Protocol Exemple de réponse SOAP : <?xml version="1.0" encoding="utf-8"?> <soap:envelope xmlns:soap= "http://schemas.xmlsoap.org/soap/envelope/"> <soap:body> <GetAirportInformationResponse> <GetAirportInformationResult> <Name>Brandywine Airport</Name> <Location>West Chester, PA</Location> <Length unit="feet">3347</length> </GetAirportInformationResult> </GetAirportInformationResponse> </soap:body> </soap:envelope>

23 SAML

24 Security Assertion Markup Language (SAML) HTTP Header HTTP Body SOAP Header SOAP Body SAML Request or Response

25 SAML

26 Comment sécuriser les Web Services? 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service

27 Pourquoi sécuriser ces flux?

28 Les risques Interconnexion entre entreprises Connexion directe aux applications métier Données sensibles en transit Solutions «jeunes» La sécurité n est pas toujours impliquée dans les architectures de Web Services Solution logicielle parfois complexe (terminologie, flux, )

29 Atteinte à la réputation Comment? SQL Injection Remote command injection Privilege escalation Conséquences Atteinte à la réputation de l entreprise Atteinte à la marque

30 Fuite d information Comment? Automatisation des requêtes SQL Injection XPATH Injection Xquery Injection Conséquences Récupération de données sensibles Récupération des informations internes

31 Deni de service Comment? Attaques sur les parseurs Récursivité Entités internes et externes Nombre d éléments et d attributs Conséquences Interruption de service Indisponibilité

32 Non respect des SLAs Comment? Client mal développé Abus de fonctionnalité Détournement du fonctionnement initial Conséquences Rupture de contrat Indisponibilité du service Pénalités

33 Fail!!

34 Principales attaques

35 Les types d attaque XML-Based Utilise les faiblesses du langage XML (ex: entity expansion) Bugs in backend systems Code Injection Denial of Service Man in the Middle Beaucoup de technologies utilisées impliquent un risque de bug élevé. Les attaques XML injection sont simples à entreprendre. Ce sont les attaques les plus répandues. Flux important de messages, envoi de centaines d éléments encryptés peuvent mettre à mal un système complet et affecter les SLAs. Les messages peuvent être interceptés. Ceci pose des soucis de routage des messages et également d intégrité.

36 Attaque XML : Entity Expansion Document XML <!DOCTYPE foo [ <!ENTITY a " " > <!ENTITY b "&a;&a;&a;&a;&a;&a;&a;&a;" > <!ENTITY c "&b;&b;&b;&b;&b;&b;&b;&b;" > <!ENTITY d "&c;&c;&c;&c;&c;&c;&c;&c;" > <!ENTITY e "&d;&d;&d;&d;&d;&d;&d;&d;" > <!ENTITY f "&e;&e;&e;&e;&e;&e;&e;&e;" > <!ENTITY g "&f;&f;&f;&f;&f;&f;&f;&f;" > <!ENTITY h "&g;&g;&g;&g;&g;&g;&g;&g;" > <!ENTITY i "&h;&h;&h;&h;&h;&h;&h;&h;" > <!ENTITY j "&i;&i;&i;&i;&i;&i;&i;&i;" > <!ENTITY k "&j;&j;&j;&j;&j;&j;&j;&j;" > <!ENTITY l "&k;&k;&k;&k;&k;&k;&k;&k;" > <!ENTITY m "&l;&l;&l;&l;&l;&l;&l;&l;" > ]> <foo>&m;</foo> - L invoquation de &m semble sans risque - Mais &m se réfère 8 fois à &l qui se réfère 8 fois à &k!!! - L appel va donc se finir avec 8 12 &a qui se compose de 10 caractères - Donc du simple appel à &m vont résulter 10x8 12 soit 687,194,767,360 caractères!!

37 Attaque XML : XML Attribute Blowup Document XML <?xml version="1.0"?> <foo a1="" a2=""... a10000="" /> - Un parser XML standard devrait effectuer opérations ( ) - Si chaque opération prend 100 nanoseconds, le traitement prenda 5 secondes - Avec entrées, cela fait d opérations soit 500 secondes

38 Deni de Service Injection du DoS SOAP Directement sur le Service HTML Via le Portail Frontal Web <soapenv:envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:tem="http://tempuri.org/"> <soapenv:header/> <soapenv:body> <tem:login> <tem:loginid> John Doe<a1>.</a1> </tem:loginid> <tem:password> muahahah </tem:password> </tem:login> </soapenv:body> </soapenv:envelope> WS de gestion des comptes Login: John Doe <a1> </a1> Password: ********

39 Attaque XML : XML Injection Document XML <?xml version="1.0" encoding="iso "?> <users> <user> <uname>joepublic</uname> <pwd>r3g</pwd> <uid>10<uid/> </user> <user> <uname>janedoe</uname> <pwd>an0n</pwd> <uid>500<uid/> </user> </users> Username: alice Password: iluvbob </mail></user><user><uname uname>hacker</ >Hacker</uname uname> <pwd pwd>l33tist</ >l33tist</pwd pwd>< ><uid uid>0</ >0</uid

40 Attaque XML : XML Injection Document XML <?xml version="1.0" encoding="iso "?> <users> <user> <uname>joepublic</uname> <pwd>r3g</pwd> <uid>10<uid/> </user> <user> <uname>alice</uname> <pwd>iluvbob</pwd> <uid>501<uid/> </user><user><uname uname>hacker</ >Hacker</uname uname>< ><pwd pwd>l33tist</ >l33tist</pwd pwd>< ><uid uid>0</ >0</uid uid> </user> </users>

41 Injection Xpath L équivalent de SQL Injection de données pour corrompre une expression xpath Nouvelle difficulté : pas de commentaires inline Exemple Authentification basée sur l expression: Injection //user[name='$login' and pass='$pass']/account/text() $login = whatever' or '1'='1' or 'a'='b $pass = whatever Exploitation de la précédence de l opérateur AND L expression devient //user[name='whatever' or '1'='1' or 'a'='b' and pass= whatever']/account/text() = TRUE TRUE OR FALSE

42 Web Services Comment sécuriser ces flux?

43 Les questions à se poser Qui accède à ce système? Ses requêtes sont elles légitimes? Puis je faire vérifier son identité avec un annuaire local? Comment s est-il authentifié? Quand? Quels sont ses droits? Comment garantir confidentialité et respect de la vie privée? Mes données sont-elles sensibles? Dois-je respecter des SLAs?

44 Comment se protéger? Message integrity (signature) Ensure message integrity. Support for XML Signature. Message confidentiality (encryption) Ensure end-to-end data privacy. Support for both SSL and XML. Encryption are essential. Authentication (SAML) Verifying the identity of the requestor. Access Control (SAML) Ensuring that the requestor has appropriate access to the resource. Schema Validation (WSDL) Ensuring intergrity of the structure and content of the message. Security Standards (WS-Security) Supporting standards based security functions such as WS-Security. Malicious attack protection (Black List) Supporting protection against the lastest Web Services and XML-Based attacks.

45 WS-Security En appliquant le WS-Security : Trust relationships WS-Trust XKMS WS-Federation SAML LibertyAlliance SOAP WS-Security WS-Reliability XACML WS-Policy SAML Access XML XML Encryption XML Signature Implémentations les plus courantes HTTP TCP HTTP Auth SSL / TLS Sécurité habituelle des applications Web IP IPSec

46 WS-Security <?xml version="1.0" encoding="utf-8"?> <soap:envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/" xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <soap:header> <wsse:security xmlns:wsse="http://schemas.xmlsoap.org/ws/2002/04/secext"> <ds:signature> <ds:signaturevalue>djbchm5gk...</ds:signaturevalue>... </ds:signature> </wsse:security> </soap:header> <soap:body id="msgbody">... </soap:body> </soap:envelope>

47 Web Services Une solution : le parefeu applicatif

48 Firewall applicatif vs Firewall XML PARE-FEU APPLICATIF Détection d attaques propres aux applications PARE-FEU XML Détection d attaques communes : SQL injection, XSS, etc. Détection d attaques propres aux services web (WSDL, ) Les fonctions de détection sont complémentaires

49 Problématique des firewalls standards Firewall standard pop3 X TCP/IP ftp X https http Application Web

50 Problématique des firewalls standards XML, Soap, WSDL http / https P2P, IM, http Tunneling Java, ActiveX, VBScript, etc. Html, Dhtml

51 Web Application Firewall Internet Legitimate Traffic Malicious Application Activity Application Floods Network Attacks & Floods Not allowed Services

52 WAF - Positionnement Trafic web potentiellement dangereux Trafic web sûr Trafic non web DMZ Présentation DMZ Traitement ESB/Passerelle XML Traitement métier Réseau Interne Clients Pare-feu XML Filtrage de contenu DMZ WAF DMZ Données

53 Principales fonctionnalités d un firewall XML Protection de Web Services, flux XML et des interactions SAML Contrôle d accès unifié et renforcé en amont des serveurs Web Garantit l'intégrité des informations échangées entre les applications Web Services Liste noire et politique de sécurité par défaut sur les attaques XML (XPATH/XQUERY injection, parser recursion, etc.) Liste blanche et apprentissage, conformité WSDL/schema, external entities etc. XML Encryption, Signature & Transformation

54 Son fonctionnement technique 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service

55 Petit-déjeuner sécurité du jeudi 9 juin 2011 Philippe Logean Ingénieur Sécurité tel

56 Bee-Ware V5 i-suite: plateforme unique pour tous les composants i-sentry Sentry: Firewall applicatif et revesre-proxy IAM: Module AAA et Web SSO i-watch: Outil d'observation et d'aide à la compréhension des flux applicatifs XML Firewall module: Filtrage et manipulation des messages XML

57 Management centralisé Console de management centralisée Interface unique de paramétrage des appliances. Interface unique de déclaration des politiques de traitement des requêtes et des politiques de sécurité. Point unique de sauvegarde des configurations (automatisable) Point unique de centralisation et dʼanalyse des logs de sécurité. Rôles: administration, supervision, décision, etc. Appliance de management dédié

58 Traitement des flux par Workflow Création d'un arbre de traitement du flux à partir d'une vue graphique. Représentation de la requête sous forme d'attributs et tables d'attributs. Utilisation d'objets de traitement comme les conditions, modifications, suppression et ajout. Possibilité d'insérer des moteurs d analyse ou des appels externes dans le traitement (exemple : invocation du moteur de sécurité ICX, sous-requête HTTP, LDAP, ICAP, etc.).

59 Firewall Applicatif Moteur ICX: Protection contre les attaques de type XSS, SQL injection, manipulation de fichiers, de chemin, buffer overflow, etc. Filtre les flux Web et XML Tableau de règles à la manière des firewalls réseaux

60 Firewall Applicatif (Suite) Sécurité négative et positive Dissimulation des informations sensibles (en-têtes superflues, pages d'erreurs, etc.) retournées au client. Possibilité de travailler sur l'ip source et destination ainsi que le port destination, l'uri, la query string, les headers, les cookies, des variables GET et POST parsées, des messages XML. Possibilité de personnalisation des messages d'erreur renvoyés à l utilisateur.

61 Principe du reverse proxy dans i-suite :443 Tunnel :80 SSL Protocol + Ciphers

62 La technologie mise à part 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service

63 i-suite XML Firewall module Fonctionnalités XML dans les Workflows

64 i-suite XML Firewall module Règle XML dans la politique de sécurité de l ICX

65 XML Firewall module spécifications Features Message routing Encryption-Decryption Signatures Schema validation Authentication, authorisation Protection Transformation Standards supported SOAP, REST, RAW, over HTTP(S) SSL, WS-Encryption XML-DSig WSDL, Schema, WSI SAML Bee Ware Technology (ICX) XSLT, RegExp

66 Traitement & Sécurité 80% Part des fonctionnalités orientées traitement des XML Gateways* Fonctions de traitement Fonctions de sécurité (*) Sources : ibm.com, layer7.com

67 Traitement & Sécurité Médiation de protocoles BPM UDDI Protection Validation Authentification 85% Part estimée des fournisseurs de Web Services ne nécessitant que des fonctions de sécurité

68 Le marché Acteurs principaux et challengers 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service

69 Démo de manipulation d un flux XML Signature d un message SOAP et insertion du header Chiffrement du body du message SOAP Déchiffrement du body du message SOAP Validation de la signature du message SOAP Validation d un schéma WSDL

70 Démo de manipulation d un flux XML TCP 1080 SOAP message signature + header insertion SOAP Source Message TCP 1085 TCP 1084 TCP 1083 Tunnel définit dans le Reverse-Proxy Port d écoute TCP 1082 SOAP message signature validation SOAP body unencryption SOAP body encryption (dogooglesearchresponse)

71 Message SOAP source TCP 1080 SOAP Source Message

72 SOAP message signature + header insertion TCP 1082 TCP 1080 SOAP message signature + header insertion SOAP Source Message

73 SOAP Source Message SOAP body encryption (dogooglesearchresponse) TCP 1083 TCP 1082 TCP 1080 SOAP body encryption (dogooglesearchresponse) SOAP message signature + header insertion

74 SOAP Source Message SOAP body unencryption TCP 1084 TCP 1083 TCP 1082 TCP 1080 SOAP body unencryption SOAP body encryption (dogooglesearchresponse) SOAP message signature + header insertion

75 SOAP Source Message SOAP message signature validation TCP 1085 TCP 1084 TCP 1083 TCP 1082 TCP 1080 SOAP message signature validation SOAP body unencryption SOAP body encryption (dogooglesearchresponse) SOAP message signature + header insertion

76 Validation du schéma WSDL Envoi d une requête respectant le format du Webservice <?xml version="1.0" encoding="utf-8"?> <nomcomplet>prenom Nom</nomComplet> Envoi d une requête ne respectant pas le format du Webservice <?xml version="1.0" encoding="iso "?> <nomcomplet>prenom <b> Nom </b></nomcomplet> DEMO

77 DLP Mission impossible? 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque surun unweb Service

78 Petit-déjeuner sécurité du jeudi 9 juin 2011 Matthieu Estrade Responsable Innovation tel

79 Contexte Webservice Une URL pour le serveur Une page web qui agit comme client Simulation d un webservice de catalogue de pièces automobiles stockées dans une base de données

80 L infrastructure

81 Cinématique

82 Requêtes Récupération d un article du catalogue grâce à son ID Injection d un caractère non autorisé Affichage d informations sensibles Injection SQL Récupération du catalogue entier Récupération automatisé de contenu Récupération du catalogue entier

83 Démo Sécurité des Webservices DEMO

84 Conclusion Les Web Services sont de plus en plus utilisés, Ces architectures sont autant à risque que les architectures Web standard, Quelques facteurs de risque : Protocoles et infrastructures encore très méconnus, L interconnexion aux applications métiers, Les équipes de sécurité encore trop rarement impliquées, Des guidelines existent (WS-Security) Des solutions de sécurité dédiées sont maintenant disponibles sur le marché

85 Questions? e-xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fait de leur passion leur métier : La sécurité des systèmes d'information

86

87 Petit-déjeuner sécurité du jeudi 9 juin 2011 Yann Desmarest Ingénieur Sécurité tel

88 e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél Fax Le mot de passe» Faiblesse d utilisation du mot de passe statique» Attaques et vulnérabilités liées le bon sens et l expérience

89 Les faiblesses d utilisation du mot de passe Création du mot de passe Compléxité Password Policy Longueur du mot de passe Utilisation des caractères spéciaux Augmentation des échecs Mémorisation impossible Inscription manuscrite Cycle de vie du mot de passe Fréquence d utilisation Fréquence de changement Réutilisation d anciens mot de passe Insatisfaction de l utilisateur Charge de l administrateur

90 Attaques et vulnérabilités liées

91 Impacts d une attaque réussie

92 e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél Fax L authentification forte» Définition de l authentification forte»one Time Password» Public Key Infrastructure et Biométrie le bon sens et l expérience

93 Définition de l authentification forte 2-factor authentication Strong authentication Ce que l on possède TOKEN PASSWORD BIOMETRIE Ce que l on connait Ce qui nous caractérise

94 OTP One Time Password TIME BASED EVENT BASED CHALLENGE/RESPONSE

95 Software Token Sécurité PIN non stocké sur mobile, ni transmis, ni stocké sur le serveur Sécurité PIN selectionné par l utilisateur, pas de PIN temporaire Compatibilité Supporté sur J2ME, WinCE, Brew, Blackberry, iphone, ipad, Androïd Fonctionnalités 2-factor authentication, Transaction Data Signing, Enrolement auto,

96 Tokens Hardware - NagraID Caractéristiques Dimensions: 85.5mm x 54mm x 0.8mm NagraLam lamination technology OTP Event Based Dynamic one-time password (OTP) Numerical 6-digit display (ISO/IEC, INCITS, ANSI, CQM) Personnalisation 1 to 3-year lifetime Tamper evident Custom artwork graphics Card personalization features and options

97 Tokens Hardware - Yubikey Caractéristiques Dimensions: 18 x 45 x 3 mm Poids: 2,5 grams Connecteur USB Multi-plateforme OTP Event Based

98 PKI (Public Key Infrastructure) et Biométrie Technologie MOC Match On Card Lecteur de carte Capteurs

99 e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél Fax Tendances du marché» Corroboration» Transaction Data Signing» Risk Based Authentication le bon sens et l expérience

100 Corroboration QUI? QUAND? Username OTP Date d envoi VALID

101 TDS Transaction Data Signing DEMO #1

102 Risk Based Authentication Risk Engine Définition du risque acceptable Apprentissage Compilation/Evaluation du risque

103 Risk Based Authentication Learning Behavior

104 Risk Based Authentication Strong Multi-factor

105 e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél Fax De nouveaux Standards» Initiative for Open authentication - OATH» OpenID / SAML le bon sens et l expérience

106 Initiative for Open Authentication - OATH

107 OpenID / SAML Security Assertion Markup Language (SAML) standard basé sur XML Echange des données d authentification et d autorisation entre domaines Service Provider / ID Provider OpenID 2.0 (http://openid.net) Fédération des identités Solution Web SSO à travers Internet

108 e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél Fax Démo authentification» i-suite IAM» Authentification par Certificat» Learning» Authentification par OTP» Authentification sur ressources sensible le bon sens et l expérience

109 i-suite - IAM Module d authentification et de Web SSO Authentification périmétrique (mot de passe, Radius, LDAP, certificats numérique, Kerberos, Elcard, etc.) Authentification applicative (Web SSO) (Basic, Forms, NTLMv2, Header) Learning des crédentiaux applicatif Gestion des autorisations

110 Scénario de la démo L utilisateur peut s authentifier par certificat ou par OTP sur la même ressource Web Le mot de passe applicatif est apprit (learning) à la 1 ere connexion pour effectuer du web SSO dans l application L accès à une ressource sensible est possible directement pour l utilisateur authentifié par certificat L accès à une ressource sensible est possible après authentification par mot de passe pour l utilisateur authentifié par OTP

111 Schéma de la démo Learning for Web SSO HTTPS HTTPS Radius

112 Démo authentification Authentification par certificat et learning Authentification par certificat et Web SSO Authentification par OTP et Web SSO Accès par mot de passe à une ressource confidentielle

113 Questions? e-xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fait de leur passion leur métier : La sécurité des systèmes d'information

Initiation à la sécurité des Web Services (SOAP vs REST)

Initiation à la sécurité des Web Services (SOAP vs REST) Initiation à la sécurité des Web Services (SOAP vs REST) Sylvain MARET Principal Consultant / MARET Consulting OpenID Switzerland & OWASP Switzerland Application Security Forum - 2012 Western Switzerland

Plus en détail

Next Generation Application Security. Catalogue des formations

Next Generation Application Security. Catalogue des formations Next Generation Application Security Catalogue des formations Nbr de jours Janvier Février Mars Avril Mai Juin Juillet Août Septembre Octobre Novembre Décembre PLANNING DES FORMATIONS 2015 Denyall Web

Plus en détail

Présentation de la solution Open Source «Vulture» Version 2.0

Présentation de la solution Open Source «Vulture» Version 2.0 Présentation de la solution Open Source «Vulture» Version 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 1 s/apache/mod_perl/ LE PROJET VULTURE Advens IST Day 15 septembre 2011 http://www.vultureproject.org

Plus en détail

Tutorial Authentification Forte Technologie des identités numériques

Tutorial Authentification Forte Technologie des identités numériques e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél +1 22 727 05 55 Fax +1 22 727 05 50 Tutorial Authentification Forte Technologie des identités numériques Volume 2/3 Par Sylvain Maret /

Plus en détail

Sécurité des Web Services (SOAP vs REST)

Sécurité des Web Services (SOAP vs REST) The OWASP Foundation http://www.owasp.org Sécurité des Web Services (SOAP vs REST) Sylvain Maret Principal Consultant / MARET Consulting / @smaret OpenID Switzerland OWASP Switzerland - Geneva Chapter

Plus en détail

PortWise Access Management Suite

PortWise Access Management Suite Créez un bureau virtuel pour vos employés, partenaires ou prestataires depuis n importe quel endroit et n importe quel appareil avec Portwise Access Manager et Authentication Server. Fournir des accès

Plus en détail

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET http://www.chambet.com

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET http://www.chambet.com Urbanisation des SI Conduite du changement IT 20/03/09 Sécuriser ses Web Services Patrick CHAMBET http://www.chambet.com Bouygues Telecom Direction Gouvernance, Outils et Architecture / Sécurité du SI

Plus en détail

Responsable du cours : Héla Hachicha. Année Universitaire : 2011-2012

Responsable du cours : Héla Hachicha. Année Universitaire : 2011-2012 Chapitre 4- WS-Security Responsable du cours : Héla Hachicha Année Universitaire : 2011-2012 1 WS-Security (Microsoft) WS-Security est le standard proposé par IBM, Microsoft, VeriSign et Forum Systems

Plus en détail

Présentation générale des Web Services

Présentation générale des Web Services Présentation générale des Web Services Vue Globale Type d'architecture reposant sur les standards de l'internet Alternative aux architectures classiques : Client/serveur n/tiers Orientée services permettant

Plus en détail

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE Référence : BNX_Cible-de-sécurité_CSPN Version : 1.3 Etat : A valider Date : Affaire/projet : Client : BEE WARE Classification : Diffusion projet Bee Ware i-suite Cible de Sécurité CSPN Validation Fonctionnelle

Plus en détail

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité La sécurité des processus métiers et des transactions Stéphane Marcassin Bull Services Sécurité Bull : leader européen de la sécurité Spécialiste des infrastructures sécurisées Conseil Intégrateur Editeur

Plus en détail

Architectures et Web

Architectures et Web Architectures et Web Niveaux d'abstraction d'une application En règle générale, une application est découpée en 3 niveaux d'abstraction : La couche présentation ou IHM (Interface Homme/Machine) gère les

Plus en détail

Manuel d utilisation 1.1 02-09-2014. Version Description Ecrit par Date 1.0 Version initiale. 1.1 Ajout du mode synchrone Xavier Martin 02-09-2014

Manuel d utilisation 1.1 02-09-2014. Version Description Ecrit par Date 1.0 Version initiale. 1.1 Ajout du mode synchrone Xavier Martin 02-09-2014 Produit : Type de document : Révision du document : Date du document : Manuel d utilisation 1.1 02092014 Historique Version Description Ecrit par Date 1.0 Version initiale Anne Noseda Xavier Martin 22042014

Plus en détail

*4D, quand c est la solution qui compte. 4D démocratise les services Web

*4D, quand c est la solution qui compte. 4D démocratise les services Web *4D, quand c est la solution qui compte. 4D démocratise les services Web Table des matières I. INTRODUCTION page 3 II. VERS UNE DEFINITION DES SERVICES WEB 1. Qu est ce que c est? page 3 2. A quoi ça sert?

Plus en détail

Qu'est-ce qu'un Web Service?

Qu'est-ce qu'un Web Service? WEB SERVICES Qu'est-ce qu'un Web Service? Un Web Service est un composant implémenté dans n'importe quel langage, déployé sur n'importe quelle plate-forme et enveloppé dans une couche de standards dérivés

Plus en détail

Module 1. Introduction à la gestion de l environnement Windows Server 2008 R2

Module 1. Introduction à la gestion de l environnement Windows Server 2008 R2 Module 1 Introduction à la gestion de l environnement Windows Server 2008 R2 Vue d ensemble du module Rôles serveur Utilisation des outils d administration Microsoft Windows Server 2008 R2 Utilisation

Plus en détail

Manuel d utilisation 1.2 22-04-2015. Version Description Ecrit par Date 1.0 Version initiale

Manuel d utilisation 1.2 22-04-2015. Version Description Ecrit par Date 1.0 Version initiale Produit : Type de document : Révision du document : Date du document : Manuel d utilisation 1.2 22042015 Historique Version Description Ecrit par Date 1.0 Version initiale Anne Noseda Xavier Martin 22042014

Plus en détail

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse

Plus en détail

Sécurisez et assurez la qualité de service des architectures SOA. Julien Bouyssou IBM Software Group Eric Trojman IBM Global Services

Sécurisez et assurez la qualité de service des architectures SOA. Julien Bouyssou IBM Software Group Eric Trojman IBM Global Services Sécurisez et assurez la qualité de service des architectures SOA Julien Bouyssou IBM Software Group Eric Trojman IBM Global Services 13 La sécurité dans un projet SOA, ce qui ne change pas et ce qui change

Plus en détail

Guide Share France. Web Single Sign On. Panorama des solutions SSO

Guide Share France. Web Single Sign On. Panorama des solutions SSO Web Single Sign On Panorama des solutions SSO Agenda Concepts généraux Quelques solutions de Web SSO Questions & Réponses Définition Qu est-ce que le Single Sign-On? Solution visant à minimiser le nombre

Plus en détail

Extensions à OpenSSO :

Extensions à OpenSSO : Extensions à : compatibilité et gestion des autorisations Philippe BEUTIN DSI Grenoble-Universit Universités Thierry AGUEDA Univ.. Pierre-Mend Mendès-France Gérard FORESTIER Univ.. Joseph-Fourier Le-Quyen

Plus en détail

Web Services. SLenoir@ugap.fr 17/01/2009

Web Services. SLenoir@ugap.fr 17/01/2009 Web Services SLenoir@ugap.fr 17/01/2009 1. Pourquoi les Web Services? 1.1. Historique des SI 1.2. Exigences actuelles 1.3. SOA 1.4. Mise en place de services 17/01/2008 Web Services 2 1.1. Historique des

Plus en détail

Systèmes d Information Avancés (et répartis)

Systèmes d Information Avancés (et répartis) Systèmes d Information Avancés (et répartis) Université Lyon 1 MIAGE L. Médini, mars 2005 Plan des cours Protocole HTTP et programmation serveur Architectures réparties Objets distribués Introduction aux

Plus en détail

La suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008

La suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008 La suite logicielle Lin ID Paris Capitale du Libre 25 septembre 2008 Pourquoi Lin ID? Le domaine de la gestion des identités est vaste et complexe L'offre logicielle est réduite, dominée par quelques grands

Plus en détail

Une Gestion [TITLE] intégrée de la sécurité. Mamadou COULIBALY, Direction Technique et Sécurité Microsoft Afrique du Centre et de l Ouest

Une Gestion [TITLE] intégrée de la sécurité. Mamadou COULIBALY, Direction Technique et Sécurité Microsoft Afrique du Centre et de l Ouest Une Gestion [TITLE] intégrée de la sécurité Mamadou COULIBALY, Direction Technique et Sécurité Microsoft Afrique du Centre et de l Ouest Agenda Contexte et approche de Microsoft Simplifier et étendre la

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Architecture client/serveur

Architecture client/serveur Architecture client/serveur Table des matières 1. Principe du client/serveur...2 2. Communication client/serveur...3 2.1. Avantages...3 2.2. Inconvénients...3 3. HTTP (HyperText Transfer Protocol)...3

Plus en détail

Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA

Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA Sécurité des applications Web : Réduire les risques Sébastien PERRET sep@navixia.com NAVIXIA SA Basée à Ecublens, Navixia SA est une société suisse spécialisée dans le domaine de la sécurisation du système

Plus en détail

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet REALSENTRY TM Gestion, Performance et Sécurité des infrastructures Web La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet L authentification

Plus en détail

Présentation de la société. Aout 2011

Présentation de la société. Aout 2011 Présentation de la société Aout 2011 En quelques mots SonicWALL Inc, (Nasdaq SNWL), est un leader mondial de solutions intelligentes de sécurité des réseaux et de protection de données. Fournisseur de

Plus en détail

Introduction. aux architectures web. de Single Sign-On

Introduction. aux architectures web. de Single Sign-On Introduction aux architectures web de Single Sign-On Single Sign-on Authentifier 1 seule fois un utilisateur pour accéder à un ensemble d applications contexte web Nombre croissant d applications ayant

Plus en détail

Web Services et sécurité

Web Services et sécurité HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Web Services et sécurité Espace RSSI du Clusif 10 Septembre 2003 Hervé

Plus en détail

Services Web. Fabrice Rossi. http://apiacoa.org/contact.html. Université Paris-IX Dauphine. Services Web p.1/26

Services Web. Fabrice Rossi. http://apiacoa.org/contact.html. Université Paris-IX Dauphine. Services Web p.1/26 Services Web Fabrice Rossi http://apiacoa.org/contact.html. Université Paris-IX Dauphine Services Web p.1/26 Plan du cours 1. Introduction 2. SOAP 3. WSDL 4. UDDI Site du cours : http://apiacoa.org/teaching/webservices/

Plus en détail

Services Web. Plan du cours

Services Web. Plan du cours Services Web Fabrice Rossi http://apiacoa.org/contact.html. Université Paris-IX Dauphine Services Web p.1/26 Plan du cours 1. Introduction 2. SOAP 3. WSDL 4. UDDI Site du cours : http://apiacoa.org/teaching/webservices/

Plus en détail

Plan du cours. Services Web. Un service web? Plan de l introduction. 1. Introduction 2. SOAP 3. WSDL 4. UDDI

Plan du cours. Services Web. Un service web? Plan de l introduction. 1. Introduction 2. SOAP 3. WSDL 4. UDDI Plan du cours Services Web Fabrice Rossi http://apiacoa.org/contact.html. Université Paris-IX Dauphine 1. Introduction 2. SOAP 3. WSDL 4. UDDI Site du cours : http://apiacoa.org/teaching/webservices/ Services

Plus en détail

Claudie Maurin GSI 09/2013 1

Claudie Maurin GSI 09/2013 1 1 2 Internet : une architecture client/serveur Le serveur : fournisseur de données Les données sont fournies par un ensemble de postes serveurs interconnectés qui abritent la base de données répartie à

Plus en détail

Service Web (SOAP) Urbanisation des SI NFE107. Fiche de lecture Y. BELAID

Service Web (SOAP) Urbanisation des SI NFE107. Fiche de lecture Y. BELAID Service Web (SOAP) Urbanisation des SI NFE107 Fiche de lecture Y. BELAID Plan Définitions Web Service Terminologie Communication avec les Web Service REST XML-RPC SOAP Qu est ce qu un Web Service Un Web

Plus en détail

JOSY. Paris - 4 février 2010

JOSY. Paris - 4 février 2010 JOSY «Authentification centralisée pour les applications web» Paris - 4 février 2010 Sommaire de la journée Présentations de quelques technologies OpenId CAS Shibboleth Retour d expériences Contexte :

Plus en détail

Sécurisation des architectures traditionnelles et des SOA

Sécurisation des architectures traditionnelles et des SOA Sécurisation des architectures traditionnelles et des SOA Un livre blanc de Bull Evidian Gestion SAML des accès SSO aux applications classiques et J2EE. Max Vallot Sommaire Émergence des architectures

Plus en détail

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM LemonLDAP::NG / SAML2 Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM 16, 17 et 18 MARS 2010 SOMMAIRE Définition du WebSSO Présentation de LemonLDAP::NG SAML2 et

Plus en détail

Application Control technique Aymen Barhoumi, Pre-sales specialist 23/01/2015

Application Control technique Aymen Barhoumi, Pre-sales specialist 23/01/2015 Bienvenue Application Control technique Aymen Barhoumi, Pre-sales specialist 23/01/2015 Contexte 2 Agenda 1 Présentation de la Blade Application Control: catégorisation, Appwiki 2 Interfaçage avec la Blade

Plus en détail

Groupe Eyrolles, 2004, ISBN : 2-212-11274-2

Groupe Eyrolles, 2004, ISBN : 2-212-11274-2 Groupe Eyrolles, 2004, ISBN : 2-212-11274-2 Table des matières Remerciements.................................................. Avant-propos.................................................... Structure

Plus en détail

Pare-feu applicatif i-suite Version 5.5.5 révision 21873

Pare-feu applicatif i-suite Version 5.5.5 révision 21873 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Pare-feu applicatif i-suite Version 5.5.5 révision 21873

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning

Plus en détail

Solutions de gestion de la sécurité Livre blanc

Solutions de gestion de la sécurité Livre blanc Solutions de gestion de la sécurité Livre blanc L intégration de la gestion des identités et des accès avec l authentification unique Objectif : Renforcer la politique de sécurité et améliorer la productivité

Plus en détail

OpenText Content Server v10 Cours 3-0126 (ex 215)

OpenText Content Server v10 Cours 3-0126 (ex 215) v10 Cours 3-0126 (ex 215) Administration système et indexation-recherche Durée : 5 jours Ce cours de 5 jours apprendra aux administrateurs, aux architectes système et aux services support comment installer,

Plus en détail

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ)

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Objectifs Se connecter au périphérique multi-fonction et afficher les paramètres de sécurité

Plus en détail

Le cadre des Web Services Partie 1 : Introduction

Le cadre des Web Services Partie 1 : Introduction Sécurité en ingénierie du Logiciel Le cadre des Web Services Partie 1 : Introduction Alexandre Dulaunoy adulau@foo.be Sécurité en ingénierie du Logiciel p.1/21 Agenda (partie 1) 1/2 Introduction Services

Plus en détail

WEB SSO & IDENTITY MANAGEMENT PARIS 2013

WEB SSO & IDENTITY MANAGEMENT PARIS 2013 PARIS 2013 WEB SSO & IDENTITY MANAGEMENT PARIS 2013 AGENDA La problématique Quelques statistiques Identité & Authentification Les challenges Les solutions La problématique X Comptes - Mots de passe triviaux

Plus en détail

Technologie VPN «IPSEC vs SSL» Séminaire du 21 avril 2004

Technologie VPN «IPSEC vs SSL» Séminaire du 21 avril 2004 e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél +41 22 727 05 55 Fax +41 22 727 05 50 Technologie VPN «IPSEC vs SSL» Séminaire du 21 avril 2004 Sylvain Maret 4 info@e-xpertsolutions.com

Plus en détail

SOA et Services Web. 23 octobre 2011. SOA: Concepts de base

SOA et Services Web. 23 octobre 2011. SOA: Concepts de base SOA et Services Web 23 octobre 2011 1 SOA: Concepts de base 2 Du client serveur à la SOA N est Nest pas une démarche entièrement nouvelle: années 1990 avec les solutions C/S Besoins d ouverture et d interopérabilité

Plus en détail

Architectures web pour la gestion de données

Architectures web pour la gestion de données Architectures web pour la gestion de données Dan VODISLAV Université de Cergy-Pontoise Plan Le Web Intégration de données Architectures distribuées Page 2 Le Web Internet = réseau physique d'ordinateurs

Plus en détail

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Table des matières Avant-propos................................................ 1 Quel est l objectif de cet ouvrage?............................. 4 La structure

Plus en détail

BPEL Orchestration de Web Services

BPEL Orchestration de Web Services Orchestration de Web Services Grégory Le Bonniec gregory.lebonniec@zenika.com 26 novembre 2009 1 Zenika Conseil / Développement / Formation Localisation : Paris et Rennes Nos partenaires Mon expérience

Plus en détail

ISA Serveur 2004 INTERNET SECURITY AND ACCELERATION SERVER OLIVIER D.

ISA Serveur 2004 INTERNET SECURITY AND ACCELERATION SERVER OLIVIER D. 2013 ISA Serveur 2004 INTERNET SECURITY AND ACCELERATION SERVER OLIVIER D. Table des matières 1 Rôles... 3 2 Organisation... 3 3 TP1 : Configurer les règles de pare-feu... 6 4 Le proxy cache... 7 5 Demander

Plus en détail

Retour d'expérience sur le déploiement de biométrie à grande échelle

Retour d'expérience sur le déploiement de biométrie à grande échelle MARET Consulting Boulevard Georges Favon 43 CH 1204 Genève Tél +41 22 575 30 35 info@maret-consulting.ch Retour d'expérience sur le déploiement de biométrie à grande échelle Sylvain Maret sylvain@maret-consulting.ch

Plus en détail

Et si l'infrastructure ENT servait à gérer le nomadisme!

Et si l'infrastructure ENT servait à gérer le nomadisme! Et si l'infrastructure ENT servait à gérer le nomadisme! Patrick PETIT (DSI Grenoble-Universités) Philippe BEUTIN (DSI Grenoble-Universités) Jean-François SCARIOT (INRIA Grenoble - Rhône-Alpes) Université

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

Référence Etnic Architecture des applications

Référence Etnic Architecture des applications Référence Etnic Architecture des applications Table des matières 1. Introduction... 2 2. Architecture... 2 2.1 Démarche générale... 2 2.2 Modèle d architecture... 3 2.3 Découpe d une architecture applicative...

Plus en détail

IIIII Sécurisation des accès Enterprise

IIIII Sécurisation des accès Enterprise IIIII Sécurisation des accès Enterprise IBM PULSE PARIS, 20 mai 2010 Anna Delambre / Thierry Musoles Security Business Unit / Enterprise Gemalto Agenda Présentation de Gemalto Solution IBM Tivoli Gemalto

Plus en détail

Profil de protection d un logiciel d ingénierie

Profil de protection d un logiciel d ingénierie Version 1.0 moyen-terme GTCSI 11 septembre 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. 1 Descriptif

Plus en détail

Didier Perrot Olivier Perroquin In-Webo Technologies

Didier Perrot Olivier Perroquin In-Webo Technologies Comment accéder concrètement, simplement et sans investissement aux bénéfices de l'authentification forte pour vos applications SI ou métier, Cloud, mobile ou web Didier Perrot Olivier Perroquin In-Webo

Plus en détail

Sécurite Web. Xavier Tannier xavier.tannier@limsi.fr. Yann Jacob yann.jacob@lip6.fr

Sécurite Web. Xavier Tannier xavier.tannier@limsi.fr. Yann Jacob yann.jacob@lip6.fr Sécurite Web Xavier Tannier xavier.tannier@limsi.fr Yann Jacob yann.jacob@lip6.fr Généralités 80 % des sites contiennent au moins une faille de sécurité 24 familles de failles différentes : on ne présente

Plus en détail

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014 La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014 25/09/2014 1 RENATER Opérateur du réseau enseignement et recherche Sécurité Le CERT RENATER Animation réseau des

Plus en détail

Cible de Sécurité rweb4. Certification Sécurité de Premier Niveau

Cible de Sécurité rweb4. Certification Sécurité de Premier Niveau Cible de Sécurité rweb4 Certification Sécurité de Premier Niveau Version 1.3 26 Février 2013 Table des Matières 1. Identification... 3 1.1 Identification de la cible de sécurité... 3 1.2 Identification

Plus en détail

Formations. «Règles de l Art» Certilience formation N 82 69 10164 69 - SIRET 502 380 397 00021 - APE 6202A - N TVA Intracommunautaire FR17502380397

Formations. «Règles de l Art» Certilience formation N 82 69 10164 69 - SIRET 502 380 397 00021 - APE 6202A - N TVA Intracommunautaire FR17502380397 Formations «Règles de l Art» Nos formations Réf. ART01 14 Heures Authentification Réf. ART02 14 Heures Durcissement des systèmes Réf. ART03 14 Heures Firewall Réf. ART04 14 Heures Logs Réf. ART05 7 Heures

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

INTERNET est un RESEAU D ORDINATEURS RELIES ENTRE EUX A L ECHELLE PLANETAIRE. Internet : interconnexion de réseaux (anglais : net = réseau)

INTERNET est un RESEAU D ORDINATEURS RELIES ENTRE EUX A L ECHELLE PLANETAIRE. Internet : interconnexion de réseaux (anglais : net = réseau) CS WEB Ch 1 Introduction I. INTRODUCTION... 1 A. INTERNET INTERCONNEXION DE RESEAUX... 1 B. LE «WEB» LA TOILE, INTERCONNEXION DE SITES WEB... 2 C. L URL : LOCALISER DES RESSOURCES SUR L INTERNET... 2 D.

Plus en détail

Bénéfices de Citrix NetScaler pour les architectures Citrix

Bénéfices de Citrix NetScaler pour les architectures Citrix Bénéfices de Citrix NetScaler pour les architectures Citrix 15 novembre 2007 Auteurs: Mahmoud EL GHOMARI E-mail: mahmoud.elghomari@eu.citrix.com Stéphane CAUNES E-mail: stephane.caunes@eu.citrix.com Riad

Plus en détail

Gestion de la sécurité SOA. Mokdad SALHI Architecte certifié IBM - SOA Leader msalhi@fr.ibm.com

Gestion de la sécurité SOA. Mokdad SALHI Architecte certifié IBM - SOA Leader msalhi@fr.ibm.com Gestion de la sécurité SOA Mokdad SALHI Architecte certifié IBM - SOA Leader msalhi@fr.ibm.com Agenda 1 SOA en deux mots! 2 La sécurité dans un contexte SOA 3 4 5 Le modèle WS-Security Les problématiques

Plus en détail

Cours CCNA 1. Exercices

Cours CCNA 1. Exercices Cours CCNA 1 TD3 Exercices Exercice 1 Enumérez les sept étapes du processus consistant à convertir les communications de l utilisateur en données. 1. L utilisateur entre les données via une interface matérielle.

Plus en détail

Utilisation de ports différents Utilisation de plusieurs adresses IP Utilisation de «host header»

Utilisation de ports différents Utilisation de plusieurs adresses IP Utilisation de «host header» Les sites multiples Utilisation de ports différents Utilisation de plusieurs adresses IP Utilisation de «host header» L exploration de dossier (directory browsing) Dossiers réguliers (folders) vs dossiers

Plus en détail

PRotocole d'echange STandard Ouvert

PRotocole d'echange STandard Ouvert PRotocole d'echange STandard Ouvert 28 février 2007 Frédéric Law-Dune Direction Générale de la modernisation de l'etat 1 Contexte L administration électronique monte en puissance De nombreux services sont

Plus en détail

Business & High Technology

Business & High Technology UNIVERSITE DE TUNIS INSTITUT SUPERIEUR DE GESTION DE TUNIS Département : Informatique Business & High Technology Chapitre 3 : Le web dans l entreprise Sommaire Introduction... 1 Intranet... 1 Extranet...

Plus en détail

Les pare-feux : concepts

Les pare-feux : concepts Les pare-feux : concepts Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (2) 15 mai 2005 Diapositive N 1 /19 C'est quoi

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web Rencontres SPIRAL 25/02/03 Vulnérabilités et sécurisation des applications Web Pourquoi les firewalls sont impuissants face à certaines attaques patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com

Plus en détail

Plan du travail. 2014/2015 Cours TIC - 1ère année MI 86

Plan du travail. 2014/2015 Cours TIC - 1ère année MI 86 Plan du travail Chapitre 1: Internet et le Web Chapitre 2: Principes d Internet Chapitre 3 : Principaux services d Internet Chapitre 4 : Introduction au langage HTML 2014/2015 Cours TIC - 1ère année MI

Plus en détail

EJB avancés. Transactions Sécurité Ressources Performances

EJB avancés. Transactions Sécurité Ressources Performances EJB avancés Transactions Sécurité Ressources Performances Les transactions Concept fondamental dans les applications distribuées Indispensable pour une exécution sure des services Difficile à mettre en

Plus en détail

Sécurité Informatique

Sécurité Informatique Avertissements : Le contenu de ce document est sous licence GPL. Le document est librement diffusable dans le contexte de cette licence. Toute modification est encouragée et doit être signalée à olivier

Plus en détail

Profil de protection d une passerelle VPN industrielle

Profil de protection d une passerelle VPN industrielle Profil de protection d une passerelle industrielle Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant

Plus en détail

Table des matières. Préface... 15 Mathieu JEANDRON

Table des matières. Préface... 15 Mathieu JEANDRON Table des matières Préface... 15 Mathieu JEANDRON Chapitre 1. Les identités numériques... 19 Maryline LAURENT, Julie DENOUËL, Claire LEVALLOIS-BARTH et Patrick WAELBROECK 1.1. Introduction... 19 1.2. Dimension

Plus en détail

Objectif : Etudier la configuration du contexte d exécution

Objectif : Etudier la configuration du contexte d exécution EJB avancés Objectif : Etudier la configuration du contexte d exécution Sa mise en œuvre implicite Et explicite Transactions Sécurité Timer Récapitulatif Performances Les transactions Concept fondamental

Plus en détail

SÉCURITÉ POUR LES ENTREPRISES UN MONDE NUAGEUX ET MOBILE. Sophia-Antipolis 01/07/2013 Cyril Grosjean cgrosjean@janua.

SÉCURITÉ POUR LES ENTREPRISES UN MONDE NUAGEUX ET MOBILE. Sophia-Antipolis 01/07/2013 Cyril Grosjean cgrosjean@janua. SÉCURITÉ POUR LES ENTREPRISES DANS UN MONDE NUAGEUX ET MOBILE Sophia-Antipolis 01/07/2013 Cyril Grosjean cgrosjean@janua.fr 0950 677 462 Cyril Grosjean - Directeur technique de Janua depuis 2004 Expert

Plus en détail

Tunnel SSH. 1) Serveur Web et tunnel SSH, console d administration. 2) Toujours utiliser l option tunnel SSH

Tunnel SSH. 1) Serveur Web et tunnel SSH, console d administration. 2) Toujours utiliser l option tunnel SSH Tunnel SSH 1) Serveur Web et tunnel SSH, console d administration Une console de gestion est disponible dans l outil d administration Cette console de gestion vous permet de configurer les services de

Plus en détail

La gamme Advance UCOPIA. www.ucopia.com

La gamme Advance UCOPIA. www.ucopia.com La gamme Advance UCOPIA www.ucopia.com La gamme UCOPIA Advance est destinée aux organisations moyennes à grandes, déployant sur un ou de nombreux sites, pour l accès à des applications et services critiques,

Plus en détail

Tout pour monter son site Web. IUFM de Bourgogne

Tout pour monter son site Web. IUFM de Bourgogne Tout pour monter son site Web IUFM de Bourgogne Pourquoi utiliser les technologies Web? Visible par toutes les plates-formes (PC, Mac, Unix ) Technologies simples et descriptives Contenu principalement

Plus en détail

Windows Server 2012 R2 Administration

Windows Server 2012 R2 Administration Généralités 1. Le gestionnaire de serveur 11 1.1 Création d un groupe de serveurs 19 1.2 Installation d un rôle à distance 21 1.3 Suppression d un groupe de serveurs 22 2. Serveur en mode installation

Plus en détail

Le Web: les machines parlent aux machines

Le Web: les machines parlent aux machines Le Web: les machines parlent aux machines Historique Année 70 : ARPA (Advanced Research Project Agency). Relier les centres de recherche : ARPANET. 1972 : Premières spécifications TCP/IP (IP internet Protocol)

Plus en détail

Tutorial Authentification Forte Technologie des identités numériques

Tutorial Authentification Forte Technologie des identités numériques e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél +1 22 727 05 55 Fax +1 22 727 05 50 Tutorial Authentification Forte Technologie des identités numériques Volume 1/3 Par Sylvain Maret /

Plus en détail

Gestion des identités Christian-Pierre Belin

Gestion des identités Christian-Pierre Belin Gestion des identités Christian-Pierre Belin Architecte Microsoft France La gestion des identités Le périmètre et les rôles Services d annuaire Point de stockage et d administration des comptes, des informations

Plus en détail

Support de SAML2 dans LemonLDAP::NG. Clément OUDOT. Mercredi 7 juillet 2010

Support de SAML2 dans LemonLDAP::NG. Clément OUDOT. Mercredi 7 juillet 2010 Support de SAML2 dans LemonLDAP::NG Clément OUDOT Mercredi 7 juillet 2010 SOMMAIRE Enjeux et usages du SSO Présentation de LemonLDAP::NG SAML2 et la fédération d'identités Support SAML2 dans LemonLDAP::NG

Plus en détail

Web Services. Introduction à l aide d un exemple. Urs Richle

Web Services. Introduction à l aide d un exemple. Urs Richle Web Services Introduction à l aide d un exemple Urs Richle 7/12/2005 Problématique Requête Windows Mac Linux HTML XHTM CSS XML SVG XTM... ASP PHP Java Applet JSP Servlet... IIS Apache Tomcat... Data Oracle

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

Exemple de configuration USG & ZyWALL

Exemple de configuration USG & ZyWALL ZyXEL OTP (One Time Password) avec IPSec-VPN et USG ou ZyWALL Ce document vous démontre la marche à suivre afin d'implémenter le serveur Authentication Radius ZyXEL OTP avec un logiciel VPN IPSEec et un

Plus en détail

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration Pierre-Alexandre FUHRMANN Vice-President Global R&D 25 Avril

Plus en détail

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et l'anglais. L'étudiant a le choix entre deux filières

Plus en détail

J2EE : Services Web. Stéphane Croisier, Directeur Serge Huber, Directeur Technique. 13 Juin 2002. 2002 Jahia Ltd. All rights reserved.

J2EE : Services Web. Stéphane Croisier, Directeur Serge Huber, Directeur Technique. 13 Juin 2002. 2002 Jahia Ltd. All rights reserved. J2EE : Services Web Stéphane Croisier, Directeur Serge Huber, Directeur Technique 13 Juin 2002 Aperçu Interopérabilité en XML/HTTP SOAP ebxml Outils d EAI JXTA Normes d interopérabilité XML SOAP/UDDI Inventé

Plus en détail

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO Page 1 Introduction Sommaire I- Présentation de la technologie II- Architectures classiques et étude du marché III- Implémentation en entreprise IV- Présentation de systèmes SSO Annexes Page 2 Introduction

Plus en détail

Plateforme PAYZEN. Définition de Web-services

Plateforme PAYZEN. Définition de Web-services Plateforme PAYZEN Définition de Web-services Ordre de paiement Version 1.1 Rédaction, Vérification, Approbation Rédaction Vérification Approbation Nom Date/Visa Nom Date/Visa Nom Date/Visa Lyra-Network

Plus en détail