Le bon sens et l expérience

Dimension: px
Commencer à balayer dès la page:

Download "www.e-xpertsolutions.com Le bon sens et l expérience"

Transcription

1

2 Séminaire sécurité Les Web Services et leur sécurité Stephan Nardone CTO Security Architect tel

3 Que sont les Web Services? 1 Que sont les Web Services? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service

4 Web Services Définition

5 Définition - SOA SOA (Services Oriented Architecture) Une SOA se fonde sur la décomposition des processus métiers en Services exposés sous la forme de modules fonctionnels.

6 Définition Web Services Les Web Services sont un type de SOA Les Web Services résultent de l évolution et de la convergence: de l informatique distribuée (CORBA, RMI, DCOM,...etc.) de l'intégration d'applications d'entreprise ou EAI (EDIFACT, ANSI/X12, ASN1, etc.) Utilisent XML comme (meta)langage de communication Permettent la discussion d ordinateur à ordinateur Utilisent des protocoles standardisés, souvent contrôlés par W3C, OASIS et WS-I Conçus pour être platform and transport-independent

7 Définition Web Services Définition : Composants logiciels qui peuvent être publiés, localisés et exécutés au travers d Internet et ce en utilisant le language XML (extensible Markup Language) Le but des Web Services est de solutionner les points suivants : Interopérabilité Traversée des firewalls Complexité Données en temps réel

8 Exemple d architecture Exemple :

9 Web Services Web Services Registry 1 - Publish 2 - Find Web Service Provider Web Services Client 3 - Bind / Invoke

10 Web Services Menu Waiter Chef Yellow Pages Toutes les communications sont établies ici en français

11 Web Services Web Services UDDI WSDL Web Service Listener Database Toutes les communications sont établies ici en XML

12 Composants Les différents composants des Web Services sont : XML Extensible Markup Language A uniform data representation and exchange mechanism. UDDI Universal Description, Discovery, and Integration A mechanism to register and locate WS based application. WSDL Web Services Description Language A standard meta language to described the services offered. SOAP Simple Object Access Protocol A standard way for communication. SAML XML-based open standard for exchanging authentication and authorization data between security domains

13 XML XML signifie EXtensible Markup Language. XML est donc un markup language tout comme HTML. XML a été créé pour décrire des données de manière structurée. Les tags XML ne sont pas prédéfinis. Il est nécessaire de les définir soit même. XML est donc le choix parfait pour l échange de données interplateforme tels que les Web Services.

14 XML vs HTML <html> <body> <h2>john Doe</h2 <p>2 Backroads Lane<br> New York<br> <br> </p> </body> </html> John Doe 2 Backroads Lane New York HTML définit comment le document doit être affichée mais pas ce qu il contient. - Difficile à un ordinateur d extraire les données. - Lisible pour un être humain.

15 XML vs HTML <?xml version=1.0?> <contact> <name>john Doe</name> <address>2 Backroads Lane</address> <country>new York</country> <phone> </phone> </contact> - XML définit ce que contient le document mais pas son affichage. - Facile à un ordinateur d extraire les données. - Lisible pour un être humain.

16 WSDL

17 Web Service Description Language WSDL : Permet la description d un service Equivalent au menu d un restaurant Utilise XML pour décrire ce que le Web Service peut accomplir : Interface information (available functions) Function data types Function location information (URL address) Choice of application transfer protocol

18 Web Service Description Language Exemple de syntaxe WSDL : <message name="getstockpricerequest"> <part name="stock" type="xs:string"/> </message> <message name="getstockpriceresponse"> <part name="value" type="xs:string"/> </message> <porttype name= StocksRates"> <operation name= GetStockPrice"> <input message= GetStockPriceRequest"/> <output message= GetStockPriceResponse"/> </operation> </porttype>

19 SOAP

20 Simple Object Access Protocol SOAP : Permet de poser des questions et recevoir les réponses Une Remote Procedure Call (RPC) qui consiste en de l XML envoyé par HTTP Equivalent à la discussion avec un serveur dans un restaurant Structure similaire à une lettre : Le message est rédigé en XML Ce message est mis dans une enveloppe XML

21 Simple Object Access Protocol Exemple de requête SOAP : <?xml version="1.0" encoding="utf-8"?> <soap:envelope xmlns:soap= "http://schemas.xmlsoap.org/soap/envelope/"> <soap:body> <GetAirportInformation> <AirportIdentifier>N99</AirportIdentifier> </GetAirportInformation> </soap:body> </soap:envelope>

22 Simple Object Access Protocol Exemple de réponse SOAP : <?xml version="1.0" encoding="utf-8"?> <soap:envelope xmlns:soap= "http://schemas.xmlsoap.org/soap/envelope/"> <soap:body> <GetAirportInformationResponse> <GetAirportInformationResult> <Name>Brandywine Airport</Name> <Location>West Chester, PA</Location> <Length unit="feet">3347</length> </GetAirportInformationResult> </GetAirportInformationResponse> </soap:body> </soap:envelope>

23 SAML

24 Security Assertion Markup Language (SAML) HTTP Header HTTP Body SOAP Header SOAP Body SAML Request or Response

25 SAML

26 Comment sécuriser les Web Services? 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service

27 Pourquoi sécuriser ces flux?

28 Les risques Interconnexion entre entreprises Connexion directe aux applications métier Données sensibles en transit Solutions «jeunes» La sécurité n est pas toujours impliquée dans les architectures de Web Services Solution logicielle parfois complexe (terminologie, flux, )

29 Atteinte à la réputation Comment? SQL Injection Remote command injection Privilege escalation Conséquences Atteinte à la réputation de l entreprise Atteinte à la marque

30 Fuite d information Comment? Automatisation des requêtes SQL Injection XPATH Injection Xquery Injection Conséquences Récupération de données sensibles Récupération des informations internes

31 Deni de service Comment? Attaques sur les parseurs Récursivité Entités internes et externes Nombre d éléments et d attributs Conséquences Interruption de service Indisponibilité

32 Non respect des SLAs Comment? Client mal développé Abus de fonctionnalité Détournement du fonctionnement initial Conséquences Rupture de contrat Indisponibilité du service Pénalités

33 Fail!!

34 Principales attaques

35 Les types d attaque XML-Based Utilise les faiblesses du langage XML (ex: entity expansion) Bugs in backend systems Code Injection Denial of Service Man in the Middle Beaucoup de technologies utilisées impliquent un risque de bug élevé. Les attaques XML injection sont simples à entreprendre. Ce sont les attaques les plus répandues. Flux important de messages, envoi de centaines d éléments encryptés peuvent mettre à mal un système complet et affecter les SLAs. Les messages peuvent être interceptés. Ceci pose des soucis de routage des messages et également d intégrité.

36 Attaque XML : Entity Expansion Document XML <!DOCTYPE foo [ <!ENTITY a " " > <!ENTITY b "&a;&a;&a;&a;&a;&a;&a;&a;" > <!ENTITY c "&b;&b;&b;&b;&b;&b;&b;&b;" > <!ENTITY d "&c;&c;&c;&c;&c;&c;&c;&c;" > <!ENTITY e "&d;&d;&d;&d;&d;&d;&d;&d;" > <!ENTITY f "&e;&e;&e;&e;&e;&e;&e;&e;" > <!ENTITY g "&f;&f;&f;&f;&f;&f;&f;&f;" > <!ENTITY h "&g;&g;&g;&g;&g;&g;&g;&g;" > <!ENTITY i "&h;&h;&h;&h;&h;&h;&h;&h;" > <!ENTITY j "&i;&i;&i;&i;&i;&i;&i;&i;" > <!ENTITY k "&j;&j;&j;&j;&j;&j;&j;&j;" > <!ENTITY l "&k;&k;&k;&k;&k;&k;&k;&k;" > <!ENTITY m "&l;&l;&l;&l;&l;&l;&l;&l;" > ]> <foo>&m;</foo> - L invoquation de &m semble sans risque - Mais &m se réfère 8 fois à &l qui se réfère 8 fois à &k!!! - L appel va donc se finir avec 8 12 &a qui se compose de 10 caractères - Donc du simple appel à &m vont résulter 10x8 12 soit 687,194,767,360 caractères!!

37 Attaque XML : XML Attribute Blowup Document XML <?xml version="1.0"?> <foo a1="" a2=""... a10000="" /> - Un parser XML standard devrait effectuer opérations ( ) - Si chaque opération prend 100 nanoseconds, le traitement prenda 5 secondes - Avec entrées, cela fait d opérations soit 500 secondes

38 Deni de Service Injection du DoS SOAP Directement sur le Service HTML Via le Portail Frontal Web <soapenv:envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:tem="http://tempuri.org/"> <soapenv:header/> <soapenv:body> <tem:login> <tem:loginid> John Doe<a1>.</a1> </tem:loginid> <tem:password> muahahah </tem:password> </tem:login> </soapenv:body> </soapenv:envelope> WS de gestion des comptes Login: John Doe <a1> </a1> Password: ********

39 Attaque XML : XML Injection Document XML <?xml version="1.0" encoding="iso "?> <users> <user> <uname>joepublic</uname> <pwd>r3g</pwd> <uid>10<uid/> </user> <user> <uname>janedoe</uname> <pwd>an0n</pwd> <uid>500<uid/> </user> </users> Username: alice Password: iluvbob </mail></user><user><uname uname>hacker</ >Hacker</uname uname> <pwd pwd>l33tist</ >l33tist</pwd pwd>< ><uid uid>0</ >0</uid

40 Attaque XML : XML Injection Document XML <?xml version="1.0" encoding="iso "?> <users> <user> <uname>joepublic</uname> <pwd>r3g</pwd> <uid>10<uid/> </user> <user> <uname>alice</uname> <pwd>iluvbob</pwd> <uid>501<uid/> </user><user><uname uname>hacker</ >Hacker</uname uname>< ><pwd pwd>l33tist</ >l33tist</pwd pwd>< ><uid uid>0</ >0</uid uid> </user> </users>

41 Injection Xpath L équivalent de SQL Injection de données pour corrompre une expression xpath Nouvelle difficulté : pas de commentaires inline Exemple Authentification basée sur l expression: Injection //user[name='$login' and pass='$pass']/account/text() $login = whatever' or '1'='1' or 'a'='b $pass = whatever Exploitation de la précédence de l opérateur AND L expression devient //user[name='whatever' or '1'='1' or 'a'='b' and pass= whatever']/account/text() = TRUE TRUE OR FALSE

42 Web Services Comment sécuriser ces flux?

43 Les questions à se poser Qui accède à ce système? Ses requêtes sont elles légitimes? Puis je faire vérifier son identité avec un annuaire local? Comment s est-il authentifié? Quand? Quels sont ses droits? Comment garantir confidentialité et respect de la vie privée? Mes données sont-elles sensibles? Dois-je respecter des SLAs?

44 Comment se protéger? Message integrity (signature) Ensure message integrity. Support for XML Signature. Message confidentiality (encryption) Ensure end-to-end data privacy. Support for both SSL and XML. Encryption are essential. Authentication (SAML) Verifying the identity of the requestor. Access Control (SAML) Ensuring that the requestor has appropriate access to the resource. Schema Validation (WSDL) Ensuring intergrity of the structure and content of the message. Security Standards (WS-Security) Supporting standards based security functions such as WS-Security. Malicious attack protection (Black List) Supporting protection against the lastest Web Services and XML-Based attacks.

45 WS-Security En appliquant le WS-Security : Trust relationships WS-Trust XKMS WS-Federation SAML LibertyAlliance SOAP WS-Security WS-Reliability XACML WS-Policy SAML Access XML XML Encryption XML Signature Implémentations les plus courantes HTTP TCP HTTP Auth SSL / TLS Sécurité habituelle des applications Web IP IPSec

46 WS-Security <?xml version="1.0" encoding="utf-8"?> <soap:envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/" xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <soap:header> <wsse:security xmlns:wsse="http://schemas.xmlsoap.org/ws/2002/04/secext"> <ds:signature> <ds:signaturevalue>djbchm5gk...</ds:signaturevalue>... </ds:signature> </wsse:security> </soap:header> <soap:body id="msgbody">... </soap:body> </soap:envelope>

47 Web Services Une solution : le parefeu applicatif

48 Firewall applicatif vs Firewall XML PARE-FEU APPLICATIF Détection d attaques propres aux applications PARE-FEU XML Détection d attaques communes : SQL injection, XSS, etc. Détection d attaques propres aux services web (WSDL, ) Les fonctions de détection sont complémentaires

49 Problématique des firewalls standards Firewall standard pop3 X TCP/IP ftp X https http Application Web

50 Problématique des firewalls standards XML, Soap, WSDL http / https P2P, IM, http Tunneling Java, ActiveX, VBScript, etc. Html, Dhtml

51 Web Application Firewall Internet Legitimate Traffic Malicious Application Activity Application Floods Network Attacks & Floods Not allowed Services

52 WAF - Positionnement Trafic web potentiellement dangereux Trafic web sûr Trafic non web DMZ Présentation DMZ Traitement ESB/Passerelle XML Traitement métier Réseau Interne Clients Pare-feu XML Filtrage de contenu DMZ WAF DMZ Données

53 Principales fonctionnalités d un firewall XML Protection de Web Services, flux XML et des interactions SAML Contrôle d accès unifié et renforcé en amont des serveurs Web Garantit l'intégrité des informations échangées entre les applications Web Services Liste noire et politique de sécurité par défaut sur les attaques XML (XPATH/XQUERY injection, parser recursion, etc.) Liste blanche et apprentissage, conformité WSDL/schema, external entities etc. XML Encryption, Signature & Transformation

54 Son fonctionnement technique 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service

55 Petit-déjeuner sécurité du jeudi 9 juin 2011 Philippe Logean Ingénieur Sécurité tel

56 Bee-Ware V5 i-suite: plateforme unique pour tous les composants i-sentry Sentry: Firewall applicatif et revesre-proxy IAM: Module AAA et Web SSO i-watch: Outil d'observation et d'aide à la compréhension des flux applicatifs XML Firewall module: Filtrage et manipulation des messages XML

57 Management centralisé Console de management centralisée Interface unique de paramétrage des appliances. Interface unique de déclaration des politiques de traitement des requêtes et des politiques de sécurité. Point unique de sauvegarde des configurations (automatisable) Point unique de centralisation et dʼanalyse des logs de sécurité. Rôles: administration, supervision, décision, etc. Appliance de management dédié

58 Traitement des flux par Workflow Création d'un arbre de traitement du flux à partir d'une vue graphique. Représentation de la requête sous forme d'attributs et tables d'attributs. Utilisation d'objets de traitement comme les conditions, modifications, suppression et ajout. Possibilité d'insérer des moteurs d analyse ou des appels externes dans le traitement (exemple : invocation du moteur de sécurité ICX, sous-requête HTTP, LDAP, ICAP, etc.).

59 Firewall Applicatif Moteur ICX: Protection contre les attaques de type XSS, SQL injection, manipulation de fichiers, de chemin, buffer overflow, etc. Filtre les flux Web et XML Tableau de règles à la manière des firewalls réseaux

60 Firewall Applicatif (Suite) Sécurité négative et positive Dissimulation des informations sensibles (en-têtes superflues, pages d'erreurs, etc.) retournées au client. Possibilité de travailler sur l'ip source et destination ainsi que le port destination, l'uri, la query string, les headers, les cookies, des variables GET et POST parsées, des messages XML. Possibilité de personnalisation des messages d'erreur renvoyés à l utilisateur.

61 Principe du reverse proxy dans i-suite :443 Tunnel :80 SSL Protocol + Ciphers

62 La technologie mise à part 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service

63 i-suite XML Firewall module Fonctionnalités XML dans les Workflows

64 i-suite XML Firewall module Règle XML dans la politique de sécurité de l ICX

65 XML Firewall module spécifications Features Message routing Encryption-Decryption Signatures Schema validation Authentication, authorisation Protection Transformation Standards supported SOAP, REST, RAW, over HTTP(S) SSL, WS-Encryption XML-DSig WSDL, Schema, WSI SAML Bee Ware Technology (ICX) XSLT, RegExp

66 Traitement & Sécurité 80% Part des fonctionnalités orientées traitement des XML Gateways* Fonctions de traitement Fonctions de sécurité (*) Sources : ibm.com, layer7.com

67 Traitement & Sécurité Médiation de protocoles BPM UDDI Protection Validation Authentification 85% Part estimée des fournisseurs de Web Services ne nécessitant que des fonctions de sécurité

68 Le marché Acteurs principaux et challengers 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service

69 Démo de manipulation d un flux XML Signature d un message SOAP et insertion du header Chiffrement du body du message SOAP Déchiffrement du body du message SOAP Validation de la signature du message SOAP Validation d un schéma WSDL

70 Démo de manipulation d un flux XML TCP 1080 SOAP message signature + header insertion SOAP Source Message TCP 1085 TCP 1084 TCP 1083 Tunnel définit dans le Reverse-Proxy Port d écoute TCP 1082 SOAP message signature validation SOAP body unencryption SOAP body encryption (dogooglesearchresponse)

71 Message SOAP source TCP 1080 SOAP Source Message

72 SOAP message signature + header insertion TCP 1082 TCP 1080 SOAP message signature + header insertion SOAP Source Message

73 SOAP Source Message SOAP body encryption (dogooglesearchresponse) TCP 1083 TCP 1082 TCP 1080 SOAP body encryption (dogooglesearchresponse) SOAP message signature + header insertion

74 SOAP Source Message SOAP body unencryption TCP 1084 TCP 1083 TCP 1082 TCP 1080 SOAP body unencryption SOAP body encryption (dogooglesearchresponse) SOAP message signature + header insertion

75 SOAP Source Message SOAP message signature validation TCP 1085 TCP 1084 TCP 1083 TCP 1082 TCP 1080 SOAP message signature validation SOAP body unencryption SOAP body encryption (dogooglesearchresponse) SOAP message signature + header insertion

76 Validation du schéma WSDL Envoi d une requête respectant le format du Webservice <?xml version="1.0" encoding="utf-8"?> <nomcomplet>prenom Nom</nomComplet> Envoi d une requête ne respectant pas le format du Webservice <?xml version="1.0" encoding="iso "?> <nomcomplet>prenom <b> Nom </b></nomcomplet> DEMO

77 DLP Mission impossible? 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque surun unweb Service

78 Petit-déjeuner sécurité du jeudi 9 juin 2011 Matthieu Estrade Responsable Innovation tel

79 Contexte Webservice Une URL pour le serveur Une page web qui agit comme client Simulation d un webservice de catalogue de pièces automobiles stockées dans une base de données

80 L infrastructure

81 Cinématique

82 Requêtes Récupération d un article du catalogue grâce à son ID Injection d un caractère non autorisé Affichage d informations sensibles Injection SQL Récupération du catalogue entier Récupération automatisé de contenu Récupération du catalogue entier

83 Démo Sécurité des Webservices DEMO

84 Conclusion Les Web Services sont de plus en plus utilisés, Ces architectures sont autant à risque que les architectures Web standard, Quelques facteurs de risque : Protocoles et infrastructures encore très méconnus, L interconnexion aux applications métiers, Les équipes de sécurité encore trop rarement impliquées, Des guidelines existent (WS-Security) Des solutions de sécurité dédiées sont maintenant disponibles sur le marché

85 Questions? e-xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fait de leur passion leur métier : La sécurité des systèmes d'information

86

87 Petit-déjeuner sécurité du jeudi 9 juin 2011 Yann Desmarest Ingénieur Sécurité tel

88 e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél Fax Le mot de passe» Faiblesse d utilisation du mot de passe statique» Attaques et vulnérabilités liées le bon sens et l expérience

89 Les faiblesses d utilisation du mot de passe Création du mot de passe Compléxité Password Policy Longueur du mot de passe Utilisation des caractères spéciaux Augmentation des échecs Mémorisation impossible Inscription manuscrite Cycle de vie du mot de passe Fréquence d utilisation Fréquence de changement Réutilisation d anciens mot de passe Insatisfaction de l utilisateur Charge de l administrateur

90 Attaques et vulnérabilités liées

91 Impacts d une attaque réussie

92 e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél Fax L authentification forte» Définition de l authentification forte»one Time Password» Public Key Infrastructure et Biométrie le bon sens et l expérience

93 Définition de l authentification forte 2-factor authentication Strong authentication Ce que l on possède TOKEN PASSWORD BIOMETRIE Ce que l on connait Ce qui nous caractérise

94 OTP One Time Password TIME BASED EVENT BASED CHALLENGE/RESPONSE

95 Software Token Sécurité PIN non stocké sur mobile, ni transmis, ni stocké sur le serveur Sécurité PIN selectionné par l utilisateur, pas de PIN temporaire Compatibilité Supporté sur J2ME, WinCE, Brew, Blackberry, iphone, ipad, Androïd Fonctionnalités 2-factor authentication, Transaction Data Signing, Enrolement auto,

96 Tokens Hardware - NagraID Caractéristiques Dimensions: 85.5mm x 54mm x 0.8mm NagraLam lamination technology OTP Event Based Dynamic one-time password (OTP) Numerical 6-digit display (ISO/IEC, INCITS, ANSI, CQM) Personnalisation 1 to 3-year lifetime Tamper evident Custom artwork graphics Card personalization features and options

97 Tokens Hardware - Yubikey Caractéristiques Dimensions: 18 x 45 x 3 mm Poids: 2,5 grams Connecteur USB Multi-plateforme OTP Event Based

98 PKI (Public Key Infrastructure) et Biométrie Technologie MOC Match On Card Lecteur de carte Capteurs

99 e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél Fax Tendances du marché» Corroboration» Transaction Data Signing» Risk Based Authentication le bon sens et l expérience

100 Corroboration QUI? QUAND? Username OTP Date d envoi VALID

101 TDS Transaction Data Signing DEMO #1

102 Risk Based Authentication Risk Engine Définition du risque acceptable Apprentissage Compilation/Evaluation du risque

103 Risk Based Authentication Learning Behavior

104 Risk Based Authentication Strong Multi-factor

105 e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél Fax De nouveaux Standards» Initiative for Open authentication - OATH» OpenID / SAML le bon sens et l expérience

106 Initiative for Open Authentication - OATH

107 OpenID / SAML Security Assertion Markup Language (SAML) standard basé sur XML Echange des données d authentification et d autorisation entre domaines Service Provider / ID Provider OpenID 2.0 (http://openid.net) Fédération des identités Solution Web SSO à travers Internet

108 e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél Fax Démo authentification» i-suite IAM» Authentification par Certificat» Learning» Authentification par OTP» Authentification sur ressources sensible le bon sens et l expérience

109 i-suite - IAM Module d authentification et de Web SSO Authentification périmétrique (mot de passe, Radius, LDAP, certificats numérique, Kerberos, Elcard, etc.) Authentification applicative (Web SSO) (Basic, Forms, NTLMv2, Header) Learning des crédentiaux applicatif Gestion des autorisations

110 Scénario de la démo L utilisateur peut s authentifier par certificat ou par OTP sur la même ressource Web Le mot de passe applicatif est apprit (learning) à la 1 ere connexion pour effectuer du web SSO dans l application L accès à une ressource sensible est possible directement pour l utilisateur authentifié par certificat L accès à une ressource sensible est possible après authentification par mot de passe pour l utilisateur authentifié par OTP

111 Schéma de la démo Learning for Web SSO HTTPS HTTPS Radius

112 Démo authentification Authentification par certificat et learning Authentification par certificat et Web SSO Authentification par OTP et Web SSO Accès par mot de passe à une ressource confidentielle

113 Questions? e-xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fait de leur passion leur métier : La sécurité des systèmes d'information

Initiation à la sécurité des Web Services (SOAP vs REST)

Initiation à la sécurité des Web Services (SOAP vs REST) Initiation à la sécurité des Web Services (SOAP vs REST) Sylvain MARET Principal Consultant / MARET Consulting OpenID Switzerland & OWASP Switzerland Application Security Forum - 2012 Western Switzerland

Plus en détail

Sécurité des Web Services (SOAP vs REST)

Sécurité des Web Services (SOAP vs REST) The OWASP Foundation http://www.owasp.org Sécurité des Web Services (SOAP vs REST) Sylvain Maret Principal Consultant / MARET Consulting / @smaret OpenID Switzerland OWASP Switzerland - Geneva Chapter

Plus en détail

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET http://www.chambet.com

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET http://www.chambet.com Urbanisation des SI Conduite du changement IT 20/03/09 Sécuriser ses Web Services Patrick CHAMBET http://www.chambet.com Bouygues Telecom Direction Gouvernance, Outils et Architecture / Sécurité du SI

Plus en détail

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE Référence : BNX_Cible-de-sécurité_CSPN Version : 1.3 Etat : A valider Date : Affaire/projet : Client : BEE WARE Classification : Diffusion projet Bee Ware i-suite Cible de Sécurité CSPN Validation Fonctionnelle

Plus en détail

Présentation générale des Web Services

Présentation générale des Web Services Présentation générale des Web Services Vue Globale Type d'architecture reposant sur les standards de l'internet Alternative aux architectures classiques : Client/serveur n/tiers Orientée services permettant

Plus en détail

Manuel d utilisation 1.1 02-09-2014. Version Description Ecrit par Date 1.0 Version initiale. 1.1 Ajout du mode synchrone Xavier Martin 02-09-2014

Manuel d utilisation 1.1 02-09-2014. Version Description Ecrit par Date 1.0 Version initiale. 1.1 Ajout du mode synchrone Xavier Martin 02-09-2014 Produit : Type de document : Révision du document : Date du document : Manuel d utilisation 1.1 02092014 Historique Version Description Ecrit par Date 1.0 Version initiale Anne Noseda Xavier Martin 22042014

Plus en détail

Next Generation Application Security. Catalogue des formations

Next Generation Application Security. Catalogue des formations Next Generation Application Security Catalogue des formations Nbr de jours Janvier Février Mars Avril Mai Juin Juillet Août Septembre Octobre Novembre Décembre PLANNING DES FORMATIONS 2015 Denyall Web

Plus en détail

Responsable du cours : Héla Hachicha. Année Universitaire : 2011-2012

Responsable du cours : Héla Hachicha. Année Universitaire : 2011-2012 Chapitre 4- WS-Security Responsable du cours : Héla Hachicha Année Universitaire : 2011-2012 1 WS-Security (Microsoft) WS-Security est le standard proposé par IBM, Microsoft, VeriSign et Forum Systems

Plus en détail

Présentation de la solution Open Source «Vulture» Version 2.0

Présentation de la solution Open Source «Vulture» Version 2.0 Présentation de la solution Open Source «Vulture» Version 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 1 s/apache/mod_perl/ LE PROJET VULTURE Advens IST Day 15 septembre 2011 http://www.vultureproject.org

Plus en détail

Tutorial Authentification Forte Technologie des identités numériques

Tutorial Authentification Forte Technologie des identités numériques e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél +1 22 727 05 55 Fax +1 22 727 05 50 Tutorial Authentification Forte Technologie des identités numériques Volume 2/3 Par Sylvain Maret /

Plus en détail

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet REALSENTRY TM Gestion, Performance et Sécurité des infrastructures Web La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet L authentification

Plus en détail

Manuel d utilisation 1.2 22-04-2015. Version Description Ecrit par Date 1.0 Version initiale

Manuel d utilisation 1.2 22-04-2015. Version Description Ecrit par Date 1.0 Version initiale Produit : Type de document : Révision du document : Date du document : Manuel d utilisation 1.2 22042015 Historique Version Description Ecrit par Date 1.0 Version initiale Anne Noseda Xavier Martin 22042014

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

Sécurisation des architectures traditionnelles et des SOA

Sécurisation des architectures traditionnelles et des SOA Sécurisation des architectures traditionnelles et des SOA Un livre blanc de Bull Evidian Gestion SAML des accès SSO aux applications classiques et J2EE. Max Vallot Sommaire Émergence des architectures

Plus en détail

Service Web (SOAP) Urbanisation des SI NFE107. Fiche de lecture Y. BELAID

Service Web (SOAP) Urbanisation des SI NFE107. Fiche de lecture Y. BELAID Service Web (SOAP) Urbanisation des SI NFE107 Fiche de lecture Y. BELAID Plan Définitions Web Service Terminologie Communication avec les Web Service REST XML-RPC SOAP Qu est ce qu un Web Service Un Web

Plus en détail

BPEL Orchestration de Web Services

BPEL Orchestration de Web Services Orchestration de Web Services Grégory Le Bonniec gregory.lebonniec@zenika.com 26 novembre 2009 1 Zenika Conseil / Développement / Formation Localisation : Paris et Rennes Nos partenaires Mon expérience

Plus en détail

PortWise Access Management Suite

PortWise Access Management Suite Créez un bureau virtuel pour vos employés, partenaires ou prestataires depuis n importe quel endroit et n importe quel appareil avec Portwise Access Manager et Authentication Server. Fournir des accès

Plus en détail

Architectures et Web

Architectures et Web Architectures et Web Niveaux d'abstraction d'une application En règle générale, une application est découpée en 3 niveaux d'abstraction : La couche présentation ou IHM (Interface Homme/Machine) gère les

Plus en détail

Web Services et sécurité

Web Services et sécurité HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Web Services et sécurité Espace RSSI du Clusif 10 Septembre 2003 Hervé

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web Rencontres SPIRAL 25/02/03 Vulnérabilités et sécurisation des applications Web Pourquoi les firewalls sont impuissants face à certaines attaques patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com

Plus en détail

Bénéfices de Citrix NetScaler pour les architectures Citrix

Bénéfices de Citrix NetScaler pour les architectures Citrix Bénéfices de Citrix NetScaler pour les architectures Citrix 15 novembre 2007 Auteurs: Mahmoud EL GHOMARI E-mail: mahmoud.elghomari@eu.citrix.com Stéphane CAUNES E-mail: stephane.caunes@eu.citrix.com Riad

Plus en détail

Services Web. Fabrice Rossi. http://apiacoa.org/contact.html. Université Paris-IX Dauphine. Services Web p.1/26

Services Web. Fabrice Rossi. http://apiacoa.org/contact.html. Université Paris-IX Dauphine. Services Web p.1/26 Services Web Fabrice Rossi http://apiacoa.org/contact.html. Université Paris-IX Dauphine Services Web p.1/26 Plan du cours 1. Introduction 2. SOAP 3. WSDL 4. UDDI Site du cours : http://apiacoa.org/teaching/webservices/

Plus en détail

Services Web. Plan du cours

Services Web. Plan du cours Services Web Fabrice Rossi http://apiacoa.org/contact.html. Université Paris-IX Dauphine Services Web p.1/26 Plan du cours 1. Introduction 2. SOAP 3. WSDL 4. UDDI Site du cours : http://apiacoa.org/teaching/webservices/

Plus en détail

Plan du cours. Services Web. Un service web? Plan de l introduction. 1. Introduction 2. SOAP 3. WSDL 4. UDDI

Plan du cours. Services Web. Un service web? Plan de l introduction. 1. Introduction 2. SOAP 3. WSDL 4. UDDI Plan du cours Services Web Fabrice Rossi http://apiacoa.org/contact.html. Université Paris-IX Dauphine 1. Introduction 2. SOAP 3. WSDL 4. UDDI Site du cours : http://apiacoa.org/teaching/webservices/ Services

Plus en détail

Architectures web pour la gestion de données

Architectures web pour la gestion de données Architectures web pour la gestion de données Dan VODISLAV Université de Cergy-Pontoise Plan Le Web Intégration de données Architectures distribuées Page 2 Le Web Internet = réseau physique d'ordinateurs

Plus en détail

Cible de Sécurité rweb4. Certification Sécurité de Premier Niveau

Cible de Sécurité rweb4. Certification Sécurité de Premier Niveau Cible de Sécurité rweb4 Certification Sécurité de Premier Niveau Version 1.3 26 Février 2013 Table des Matières 1. Identification... 3 1.1 Identification de la cible de sécurité... 3 1.2 Identification

Plus en détail

La suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008

La suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008 La suite logicielle Lin ID Paris Capitale du Libre 25 septembre 2008 Pourquoi Lin ID? Le domaine de la gestion des identités est vaste et complexe L'offre logicielle est réduite, dominée par quelques grands

Plus en détail

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications. www.denyall.com.

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications. www.denyall.com. DenyAll Protect DenyAll Protect Parefeux pour applications et services Web Sécurité & accélération de vos applications Sites institutionnels ou marchands, messageries, outils collaboratifs, portails d

Plus en détail

Introduction aux «Services Web»

Introduction aux «Services Web» Introduction aux «Services Web» Sana Sellami sana.sellami@univ-amu.fr 2014-2015 Modalité de contrôle de connaissances Note de contrôle de continu Note projet Evaluation du projet la semaine du 17 novembre

Plus en détail

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité La sécurité des processus métiers et des transactions Stéphane Marcassin Bull Services Sécurité Bull : leader européen de la sécurité Spécialiste des infrastructures sécurisées Conseil Intégrateur Editeur

Plus en détail

Attaques sur les Web Services. Renaud Bidou

Attaques sur les Web Services. Renaud Bidou Attaques sur les Web Services Renaud Bidou Le monde merveilleux des Web Services Que sont les Web Services? Définition du WoldWide Web Consortium (W3C) a software system designed to support interoperable

Plus en détail

Groupe Eyrolles, 2004, ISBN : 2-212-11274-2

Groupe Eyrolles, 2004, ISBN : 2-212-11274-2 Groupe Eyrolles, 2004, ISBN : 2-212-11274-2 Table des matières Remerciements.................................................. Avant-propos.................................................... Structure

Plus en détail

Sécurité des réseaux sans fil

Sécurité des réseaux sans fil Sécurité des réseaux sans fil Francois.Morris@lmcp.jussieu.fr 13/10/04 Sécurité des réseaux sans fil 1 La sécurité selon les acteurs Responsable réseau, fournisseur d accès Identification, authentification

Plus en détail

*4D, quand c est la solution qui compte. 4D démocratise les services Web

*4D, quand c est la solution qui compte. 4D démocratise les services Web *4D, quand c est la solution qui compte. 4D démocratise les services Web Table des matières I. INTRODUCTION page 3 II. VERS UNE DEFINITION DES SERVICES WEB 1. Qu est ce que c est? page 3 2. A quoi ça sert?

Plus en détail

Didier Perrot Olivier Perroquin In-Webo Technologies

Didier Perrot Olivier Perroquin In-Webo Technologies Comment accéder concrètement, simplement et sans investissement aux bénéfices de l'authentification forte pour vos applications SI ou métier, Cloud, mobile ou web Didier Perrot Olivier Perroquin In-Webo

Plus en détail

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014 La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014 25/09/2014 1 RENATER Opérateur du réseau enseignement et recherche Sécurité Le CERT RENATER Animation réseau des

Plus en détail

Gestion de la sécurité SOA. Mokdad SALHI Architecte certifié IBM - SOA Leader msalhi@fr.ibm.com

Gestion de la sécurité SOA. Mokdad SALHI Architecte certifié IBM - SOA Leader msalhi@fr.ibm.com Gestion de la sécurité SOA Mokdad SALHI Architecte certifié IBM - SOA Leader msalhi@fr.ibm.com Agenda 1 SOA en deux mots! 2 La sécurité dans un contexte SOA 3 4 5 Le modèle WS-Security Les problématiques

Plus en détail

Introduction. aux architectures web. de Single Sign-On

Introduction. aux architectures web. de Single Sign-On Introduction aux architectures web de Single Sign-On Single Sign-on Authentifier 1 seule fois un utilisateur pour accéder à un ensemble d applications contexte web Nombre croissant d applications ayant

Plus en détail

Gestion des identités Christian-Pierre Belin

Gestion des identités Christian-Pierre Belin Gestion des identités Christian-Pierre Belin Architecte Microsoft France La gestion des identités Le périmètre et les rôles Services d annuaire Point de stockage et d administration des comptes, des informations

Plus en détail

Sécurisez et assurez la qualité de service des architectures SOA. Julien Bouyssou IBM Software Group Eric Trojman IBM Global Services

Sécurisez et assurez la qualité de service des architectures SOA. Julien Bouyssou IBM Software Group Eric Trojman IBM Global Services Sécurisez et assurez la qualité de service des architectures SOA Julien Bouyssou IBM Software Group Eric Trojman IBM Global Services 13 La sécurité dans un projet SOA, ce qui ne change pas et ce qui change

Plus en détail

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse

Plus en détail

Web Services. SLenoir@ugap.fr 17/01/2009

Web Services. SLenoir@ugap.fr 17/01/2009 Web Services SLenoir@ugap.fr 17/01/2009 1. Pourquoi les Web Services? 1.1. Historique des SI 1.2. Exigences actuelles 1.3. SOA 1.4. Mise en place de services 17/01/2008 Web Services 2 1.1. Historique des

Plus en détail

Qu'est-ce qu'un Web Service?

Qu'est-ce qu'un Web Service? WEB SERVICES Qu'est-ce qu'un Web Service? Un Web Service est un composant implémenté dans n'importe quel langage, déployé sur n'importe quelle plate-forme et enveloppé dans une couche de standards dérivés

Plus en détail

Tutorial Authentification Forte Technologie des identités numériques

Tutorial Authentification Forte Technologie des identités numériques e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél +1 22 727 05 55 Fax +1 22 727 05 50 Tutorial Authentification Forte Technologie des identités numériques Volume 1/3 Par Sylvain Maret /

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Application Control technique Aymen Barhoumi, Pre-sales specialist 23/01/2015

Application Control technique Aymen Barhoumi, Pre-sales specialist 23/01/2015 Bienvenue Application Control technique Aymen Barhoumi, Pre-sales specialist 23/01/2015 Contexte 2 Agenda 1 Présentation de la Blade Application Control: catégorisation, Appwiki 2 Interfaçage avec la Blade

Plus en détail

Conservatoire Nationale des Arts et Métiers

Conservatoire Nationale des Arts et Métiers Conservatoire Nationale des Arts et Métiers Centre d enseignements de Grenoble Année Universitaire: 2008-2009 SERVICE WEB SOAP Cours : NFE107 Urbanisation & Architecture des Systèmes d Information Auditeurs

Plus en détail

Extensions à OpenSSO :

Extensions à OpenSSO : Extensions à : compatibilité et gestion des autorisations Philippe BEUTIN DSI Grenoble-Universit Universités Thierry AGUEDA Univ.. Pierre-Mend Mendès-France Gérard FORESTIER Univ.. Joseph-Fourier Le-Quyen

Plus en détail

Tour d horizon des différents SSO disponibles

Tour d horizon des différents SSO disponibles Tour d horizon des différents SSO disponibles L. Facq, P. Depouilly, B. Métrot, R. Ferrere ANF Les systèmes d authentification dans la communauté ESR : étude, mise en oeuvre et interfaçage dans un laboratoire

Plus en détail

Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA

Sécurité des applications Web : Réduire les risques. Sébastien PERRET sep@navixia.com NAVIXIA SA Sécurité des applications Web : Réduire les risques Sébastien PERRET sep@navixia.com NAVIXIA SA Basée à Ecublens, Navixia SA est une société suisse spécialisée dans le domaine de la sécurisation du système

Plus en détail

Guide Share France. Web Single Sign On. Panorama des solutions SSO

Guide Share France. Web Single Sign On. Panorama des solutions SSO Web Single Sign On Panorama des solutions SSO Agenda Concepts généraux Quelques solutions de Web SSO Questions & Réponses Définition Qu est-ce que le Single Sign-On? Solution visant à minimiser le nombre

Plus en détail

Urbanisme du Système d Information et EAI

Urbanisme du Système d Information et EAI Urbanisme du Système d Information et EAI 1 Sommaire Les besoins des entreprises Élément de solution : l urbanisme EAI : des outils au service de l urbanisme 2 Les besoins des entreprises 3 Le constat

Plus en détail

Business & High Technology

Business & High Technology UNIVERSITE DE TUNIS INSTITUT SUPERIEUR DE GESTION DE TUNIS Département : Informatique Business & High Technology Chapitre 3 : Le web dans l entreprise Sommaire Introduction... 1 Intranet... 1 Extranet...

Plus en détail

ENVOLE 1.5. Calendrier Envole

ENVOLE 1.5. Calendrier Envole ENVOLE 1.5 Calendrier Envole RSA FIM 1 avril 2008 V 1.13 sur EOLE V 2.0 1 septembre 2008 EOLE V 2.1 10 octobre 2008 V 1.15 RC sur EOLE V 2.0 Modification du SSO EOLE 2.2 (PAM-CAS, CT EOLE V 2.2 RC Prise

Plus en détail

Une Gestion [TITLE] intégrée de la sécurité. Mamadou COULIBALY, Direction Technique et Sécurité Microsoft Afrique du Centre et de l Ouest

Une Gestion [TITLE] intégrée de la sécurité. Mamadou COULIBALY, Direction Technique et Sécurité Microsoft Afrique du Centre et de l Ouest Une Gestion [TITLE] intégrée de la sécurité Mamadou COULIBALY, Direction Technique et Sécurité Microsoft Afrique du Centre et de l Ouest Agenda Contexte et approche de Microsoft Simplifier et étendre la

Plus en détail

ISA Serveur 2004 INTERNET SECURITY AND ACCELERATION SERVER OLIVIER D.

ISA Serveur 2004 INTERNET SECURITY AND ACCELERATION SERVER OLIVIER D. 2013 ISA Serveur 2004 INTERNET SECURITY AND ACCELERATION SERVER OLIVIER D. Table des matières 1 Rôles... 3 2 Organisation... 3 3 TP1 : Configurer les règles de pare-feu... 6 4 Le proxy cache... 7 5 Demander

Plus en détail

Formations. «Règles de l Art» Certilience formation N 82 69 10164 69 - SIRET 502 380 397 00021 - APE 6202A - N TVA Intracommunautaire FR17502380397

Formations. «Règles de l Art» Certilience formation N 82 69 10164 69 - SIRET 502 380 397 00021 - APE 6202A - N TVA Intracommunautaire FR17502380397 Formations «Règles de l Art» Nos formations Réf. ART01 14 Heures Authentification Réf. ART02 14 Heures Durcissement des systèmes Réf. ART03 14 Heures Firewall Réf. ART04 14 Heures Logs Réf. ART05 7 Heures

Plus en détail

Le cadre des Web Services Partie 1 : Introduction

Le cadre des Web Services Partie 1 : Introduction Sécurité en ingénierie du Logiciel Le cadre des Web Services Partie 1 : Introduction Alexandre Dulaunoy adulau@foo.be Sécurité en ingénierie du Logiciel p.1/21 Agenda (partie 1) 1/2 Introduction Services

Plus en détail

Contrôle d accès Centralisé Multi-sites

Contrôle d accès Centralisé Multi-sites Informations techniques Contrôle d accès Centralisé Multi-sites Investissement et exploitation optimisés La solution de contrôle d accès centralisée de Netinary s adresse à toute structure souhaitant proposer

Plus en détail

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO Page 1 Introduction Sommaire I- Présentation de la technologie II- Architectures classiques et étude du marché III- Implémentation en entreprise IV- Présentation de systèmes SSO Annexes Page 2 Introduction

Plus en détail

Web Services. Introduction à l aide d un exemple. Urs Richle

Web Services. Introduction à l aide d un exemple. Urs Richle Web Services Introduction à l aide d un exemple Urs Richle 7/12/2005 Problématique Requête Windows Mac Linux HTML XHTM CSS XML SVG XTM... ASP PHP Java Applet JSP Servlet... IIS Apache Tomcat... Data Oracle

Plus en détail

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria 1 Philippe Lecler TutoJRES «Sécurité des sites WEB» 4 février 2010 Contexte 2 PCI-DSS : Payment Card Industry Data Security

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

La haute disponibilité de la CHAINE DE

La haute disponibilité de la CHAINE DE Pare-feu, proxy, antivirus, authentification LDAP & Radius, contrôle d'accès des portails applicatifs La haute disponibilité de la CHAINE DE SECURITE APPLICATIVE 1.1 La chaîne de sécurité applicative est

Plus en détail

Mémoire de fin d études. Pour l obtention du diplôme d ingénieur d état en informatique. Option : Systèmes Informatiques. Thème.

Mémoire de fin d études. Pour l obtention du diplôme d ingénieur d état en informatique. Option : Systèmes Informatiques. Thème. Mémoire de fin d études Pour l obtention du diplôme d ingénieur d état en informatique Option : Systèmes Informatiques Thème Contrôle Surveillance d accès en aux temps plateformes réel des basées réseaux

Plus en détail

Conception d Applications Réparties

Conception d Applications Réparties Jean-François Roos LIFL - équipe GOAL- bâtiment M3 Extension - bureau 206 -Jean-Francois.Roos@lifl.fr 1 Objectifs du Cours Appréhender la conception d applications réparties motivations et concepts architectures

Plus en détail

Formations. «Produits & Applications»

Formations. «Produits & Applications» Formations «Produits & Applications» Nos formations Réf. PAP01 14 Heures ANTIVIRUS - McAfee : Endpoint Réf. PAP02 7 Heures ANTIVIRUS - ESET NOD32 Réf. PAP03 28 Heures FIREWALL - Check Point Réf. PAP04

Plus en détail

SOA Services Web Etendus SOAP : Communiquer

SOA Services Web Etendus SOAP : Communiquer SOA Services Web Etendus SOAP : Communiquer Mickaël BARON 2010 (Rév. Janvier 2011) mailto:baron.mickael@gmail.com ou mailto:baron@ensma.fr Licence Creative Commons Contrat Paternité Partage des Conditions

Plus en détail

Les technologies de gestion de l identité

Les technologies de gestion de l identité Commission Identité Numérique Groupe de travail Gestion des identités Les technologies de gestion de l identité ATELIER 1 Paul TREVITHICK, CEO de Parity Responsable projet Higgins Président Fondation Infocard

Plus en détail

Protection contre les menaces Prévention

Protection contre les menaces Prévention Protection contre les menaces Prévention Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Prévention Routeurs Pare-feu Systèmes de prévention d intrusion Conclusions Jean-Marc

Plus en détail

DirectAccess Mobilité et nomadisme, mise en oeuvre de la solution Microsoft

DirectAccess Mobilité et nomadisme, mise en oeuvre de la solution Microsoft DirectAccess pour quoi faire? 1. Le nomadisme en quelques mots 15 1.1 Du point de vue de l'utilisateur 15 1.2 Du point de vue de l'exploitant 17 2. Objectifs de DirectAccess 18 2.1 Du point de vue de l'utilisateur

Plus en détail

Technologies du Multimédia et du Web

Technologies du Multimédia et du Web 3 ème Année Licence appliquée Technologies du Multimédia et du Web MoezBEN HAJ HMIDA ISSAT Sousse 2009/2010 Plan Les systèmes e-services Évolution des architectures d applications Les architectures client/serveur

Plus en détail

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO) CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document

Plus en détail

Présentation de la société. Aout 2011

Présentation de la société. Aout 2011 Présentation de la société Aout 2011 En quelques mots SonicWALL Inc, (Nasdaq SNWL), est un leader mondial de solutions intelligentes de sécurité des réseaux et de protection de données. Fournisseur de

Plus en détail

Plateforme PAYZEN. Définition de Web-services

Plateforme PAYZEN. Définition de Web-services Plateforme PAYZEN Définition de Web-services Ordre de paiement Version 1.1 Rédaction, Vérification, Approbation Rédaction Vérification Approbation Nom Date/Visa Nom Date/Visa Nom Date/Visa Lyra-Network

Plus en détail

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012 De l authentification au hub d identité si simplement Présentation OSSIR du 14fev2012 Olivier Perroquin In-Webo Technologies Mission et solutions d In-Webo > Apporter aux Entreprises et Opérateurs de Services

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Exemple de configuration USG & ZyWALL

Exemple de configuration USG & ZyWALL ZyXEL OTP (One Time Password) avec IPSec-VPN et USG ou ZyWALL Ce document vous démontre la marche à suivre afin d'implémenter le serveur Authentication Radius ZyXEL OTP avec un logiciel VPN IPSEec et un

Plus en détail

1. Formation F5 - Local Traffic Manager Configuring (LTM)

1. Formation F5 - Local Traffic Manager Configuring (LTM) Description F5 F5 Networks, Inc. (NASDAQ: FFIV) est une entreprise informatique américaine fondée en 1996 établie à Seattle qui commercialise des équipements réseau. Dans les années 1990, la société a

Plus en détail

Présentation SafeNet Authentication Service (SAS) Octobre 2013

Présentation SafeNet Authentication Service (SAS) Octobre 2013 Bâtir un environnement d'authentification très fiable Présentation SafeNet Authentication Service (SAS) Octobre 2013 Insérez votre nom Insérez votre titre Insérez la date 1 Présentation de l offre SAS

Plus en détail

SECURITE DES SI ET CYBER SECURITE

SECURITE DES SI ET CYBER SECURITE SECURITE DES SI ET CYBER SECURITE Aziz Da Silva WWW.AZIZDASILVA.NET [Company address] Sommaire du Document Formation : Synthèses et Référentiels... 2 Sécurité et Cyber Sécurité : la synthèse technique

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante Solutions d accès sécurisées pour opérer une Market Place Saas multitenante Plan de la présentation Le Saas et les enjeux économiques des services en ligne La notion de shops multi-tenantes dans une market

Plus en détail

Sécurité des bases de

Sécurité des bases de HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet CLUSIR-EST Sécurité des bases de données Louis Nyffenegger Louis Nyffenegger

Plus en détail

Direction de la Sécurité Sociale

Direction de la Sécurité Sociale Spécifications détaillées du mode «application à application» Standard d'interopérabilité entre organismes de la sphère sociale Réf. : Standard Interops-A1.0_SpécificationsDétaillées Version 1.0 du 07/10/2008

Plus en détail

Conception Exécution Interopérabilité. Déploiement. Conception du service. Définition du SLA. Suivi du service. Réception des mesures

Conception Exécution Interopérabilité. Déploiement. Conception du service. Définition du SLA. Suivi du service. Réception des mesures Software propose une offre d intégration unique, qui apporte l équilibre parfait entre investissements et performances pour les entreprises qui doivent sans cesse améliorer leurs processus. Des caractéristiques

Plus en détail

Retour d'expérience sur le déploiement de biométrie à grande échelle

Retour d'expérience sur le déploiement de biométrie à grande échelle MARET Consulting Boulevard Georges Favon 43 CH 1204 Genève Tél +41 22 575 30 35 info@maret-consulting.ch Retour d'expérience sur le déploiement de biométrie à grande échelle Sylvain Maret sylvain@maret-consulting.ch

Plus en détail

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.

Plus en détail

Aperçu technique Projet «Internet à l école» (SAI)

Aperçu technique Projet «Internet à l école» (SAI) Aperçu technique Projet «Internet à l école» (SAI) Contenu 1. Objectif 2 2. Principes 3 3. Résumé de la solution 4 4. Adressage IP 4 5. Politique de sécurité 4 6. Mise en réseau Inhouse LAN 4 7. Organisation

Plus en détail

INF4420: Éléments de Sécurité Informatique

INF4420: Éléments de Sécurité Informatique : Éléments de Module III : Sécurité des réseaux informatiques José M. Fernandez M-3109 340-4711 poste 5433 Où sommes-nous? Semaine 1 Intro Semaines 2, 3 et 4 Cryptographie Semaine 6, 7 Sécurité dans les

Plus en détail

Les services web. Module 04 Les Services Web. Campus-Booster ID : 697. www.supinfo.com. Copyright SUPINFO. All rights reserved

Les services web. Module 04 Les Services Web. Campus-Booster ID : 697. www.supinfo.com. Copyright SUPINFO. All rights reserved Les services web Module 04 Les Services Web Campus-Booster ID : 697 www.supinfo.com Copyright SUPINFO. All rights reserved Les services web Objectifs de ce module En suivant ce module vous allez: Comprendre

Plus en détail

Java, développement d'applications mobiles (J2ME) XML 21/03/2007. Formation ITIN

Java, développement d'applications mobiles (J2ME) XML 21/03/2007. Formation ITIN Java, développement d'applications mobiles (J2ME) XML Rappels rapides XML est un acronyme pour extensible Markup Language. Utilisation de tags pour délimiter le contenu et représenter une structure. XML

Plus en détail

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM LemonLDAP::NG / SAML2 Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM 16, 17 et 18 MARS 2010 SOMMAIRE Définition du WebSSO Présentation de LemonLDAP::NG SAML2 et

Plus en détail

TUNIS LE : 20, 21, 22 JUIN 2006

TUNIS LE : 20, 21, 22 JUIN 2006 SÉMINAIRE SUR LA SSI : LA SÉCURITÉ DES SYSTÈMES D INFORMATION TUNIS LE : 20, 21, 22 JUIN 2006 La Sécurité Informatique : LES TECHNOLOGIES ET LES PRODUITS ORGANISÉ PAR : PARTENARIAT AVEC : ARAB ENGINEERING

Plus en détail

Solution de déploiement de certificats à grande échelle. En savoir plus...

Solution de déploiement de certificats à grande échelle. En savoir plus... Solution de déploiement de certificats à grande échelle permet un déploiement des certificats numériques à grande échelle en toute sécurité sans avoir à fournir un support physique (token, carte à puce

Plus en détail

Sécurite Web. Xavier Tannier xavier.tannier@limsi.fr. Yann Jacob yann.jacob@lip6.fr

Sécurite Web. Xavier Tannier xavier.tannier@limsi.fr. Yann Jacob yann.jacob@lip6.fr Sécurite Web Xavier Tannier xavier.tannier@limsi.fr Yann Jacob yann.jacob@lip6.fr Généralités 80 % des sites contiennent au moins une faille de sécurité 24 familles de failles différentes : on ne présente

Plus en détail