EXIGENCES TECHNIQUES DE SECURITE
|
|
- Thérèse Déry
- il y a 8 ans
- Total affichages :
Transcription
1 EXIGENCES TECHNIQUES DE SECURITE DEVELOPPEMENT D'APPLICATIONS ANDROID ET IOS MARDI 9 JUIN VERSION 1.1 VERSION : RÉF. : ######################
2 SOMMAIRE Contenu DEFINITIONS 4 EXIGENCES TECHNIQUES DE SECURITE PERMISSIONS 5 COMMON-PERM Restreindre les permissions de l'application au strict nécessaire 5 ANDROID-PERM-NEW Créer de nouvelles permissions avec précaution STOCKAGE DES DONNEES 6 COMMON-STORAGE Stocker les informations sensibles sur l équipement uniquement si absolument nécessaire 6 COMMON-CRYPT Chiffrer les données sensibles stockées sur l équipement 6 ANDROID-EXT-STORAGE Sécuriser l utilisation du stockage externe 7 COMMON-LOGS Ne pas envoyer d'informations sensibles dans les logs 8 COMMON-PWDCODE Ne pas stocker d'informations sensibles dans le code de l'application 8 COMMON-SQLITE Ne pas stocker d'informations sensibles dans les bases de données SQLite 8 IOS-APP-PLIST Ne pas stocker d'informations sensibles dans des fichiers PLIST 9 IOS-APP-COREDATA Ne pas stocker d'informations sensibles dans les services CoreData 9 IOS-APP-NSURLCACHE Ne pas stocker d'informations sensibles dans le cache des requêtes HTTP 9 ANDROID- PROVIDER-PERM Restreindre les permissions sur les Content Providers au strict nécessaire 10 COMMON-PARAM-QUERY Utiliser les méthodes paramétrées pour interroger un content provider BACKEND ET UTILISATION DU RESEAU 10 COMMON-AUTH Authentification et autorisation doivent être décidées du côté d un backend 11 COMMON-TLS Chiffrer les échanges sur le réseau 11 ANDROID-IPC-NETWORK Ne pas utiliser le réseau pour des échanges entre applications sur le même équipement 12 COMMON-CRT Utiliser un certificat de chiffrement valide et vérifier sa validité 12 2/17
3 COMMON-INPUT-VALIDATION Valider toutes les entrées sur l application (backend ou application mobile) 13 ANDROID-SMS Ne pas utiliser les SMS pour envoyer des messages à l application ANTI-PIRATAGE ET BONNES PRATIQUES DE DEVELOPPEMENT 14 ANDROID-WEBVIEW Sécuriser l utilisation des WebView 14 COMMON-FILES Ne pas laisser de fichiers inutiles dans le répertoire de l'application 15 COMMON-UDID Ne pas utiliser les identifiants uniques de l équipement 15 COMMON-CRYPTO Utiliser des moyens cryptographiques robustes 15 IOS-APP-SCHEME Filtrer les entrées par une URL scheme 16 IOS-APP-ENCRYPT Chiffrer l'application pour sa distribution dans un store 16 3/17
4 DEFINITIONS Information sensible NFOS SENSIBLES Ce tag est positionné dans le document lorsque l exigence s applique dans le cadre du traitement d une information sensible (au sens de la définition du RA00110). Équipement Appareil mobile ou non, équipé d une interface graphique ou non, capable d établir des échanges d informations avec d autres équipements au moyen de liaisons réseau (ex : Bluetooth, WiFi, ). Exemples d équipement : téléphone, smartphone, tablette, phablette, ordinateur portable, objet connecté Backend Services interrogés au moyen de liaisons réseau pour récupérer ou traiter les informations de l application mobile (ex : webservices, API, ). 4/17
5 EXIGENCES TECHNIQUES DE SECURITE 1.1 PERMISSIONS Android et ios utilisent des mécanismes de sandboxes 1 qui permettent de cloisonner les applications entre elles. Ainsi chaque application doit partager explicitement ses ressources et ses données (si nécessaire). COMMON-PERM Restreindre les permissions de l'application au strict nécessaire Le principe sécurité de moindre privilège doit s appliquer. L application ne doit demander que les permissions qui lui sont vraiment nécessaires. Il faut par ailleurs porter une attention particulière aux permissions sensibles (exemples : envoi de SMS, position GPS, ). Cette exigence permet : + de réduire les risques d utilisation d une permission par inadvertance ; + de limiter les permissions et de favoriser l adoption de l application par les utilisateurs ; + de limiter les impacts en cas d exploitation d une vulnérabilité par un attaquant. + Android Security Tips Requesting Permissions 2 + ios Accessing user data 3 ANDROID-PERM-NEW Créer de nouvelles permissions avec précaution La plupart des permissions Android définies par le système suffisent à couvrir toutes les situations. Si une nouvelle permission est absolument nécessaire, il faut d abord considérer le niveau de protection par signature. Le mécanisme de signature permet de rester transparent vis-à-vis de l utilisateur et permet de donner l autorisation uniquement aux applications signées par le même développeur, sans nécessité la création d une nouvelle permission. + Android Security Tips Creating Permissions 4 1 Sandbox : Android possède des mécanismes de sécurité qui permettent d isoler les données d une application et son exécution de code des autres applications ervices.html 4 5/17
6 1.2 STOCKAGE DES DONNEES Le stockage d informations sensibles est un des principaux enjeux de la sécurité d une application mobile. Plusieurs scénarios de risques sont à prendre en compte dans le cadre de la protection des informations sensibles : + Équipement volé ou perdu ; + Application tierce malveillante cherchant à accéder aux données des autres applications ; + Utilisateur malveillant analysant le contenu de son équipement et de ses applications. COMMON-STORAGE Stocker les informations sensibles sur l équipement uniquement si absolument nécessaire Les informations sensibles peuvent être récupérées sur des backends et affichées à l utilisateur. En revanche, le stockage d informations sensibles sur l équipement en lui-même ne doit être mis en œuvre que si c est absolument nécessaire (par exemple dans le cadre d applications devant fonctionner sans connexion réseau). Dans le cas d une absolue nécessité, il faudra envisager le chiffrement des données (voir COMMON-CRYPT ). COMMON-CRYPT Chiffrer les données sensibles stockées sur l équipement Si le stockage d informations sensibles est absolument nécessaire (voir COMMON- STORAGE), plusieurs solutions sont envisageables. Le type de solution de chiffrement à utiliser dépend du type d informations sensibles à stocker sur l équipement. 1. Petite quantité d informations sensibles Dans le cadre de petites quantités d informations sensibles, telles que des identifiants d authentification, des jetons de session, des clefs de chiffrement, etc., le conteneur sécurisé de l équipement peut être utilisé : KeyStore : Keychain : inservconcepts/02concepts/concepts.html#//apple_ref/doc/uid/tp CH204-TP9 6/17
7 2. Informations sensibles concernant l utilisateur de l équipement Pour sécuriser un nombre plus important d informations sensibles concernant l utilisateur de l équipement, les mécanismes de protection fournis par le système d exploitation peuvent être mis en œuvre. 3. Informations sensibles ne concernant pas l utilisateur de l équipement Si l application nécessite absolument de stocker des informations sensibles (par exemple, des données métier confidentielles), il faut étudier l utilisation d un conteneur de chiffrement tiers, autre que les conteneurs fournis par les systèmes d exploitation. Ces derniers sont vulnérables à des faiblesses inhérentes à l utilisation du code PIN ou du mot de passe de déverrouillage de l équipement (qui peut être compromis par de multiples biais). Android Security Tips Using internal storage 5 OWASP ios Developer Cheat Sheet Insecure Data Storage (M1) 6 ANDROID-EXT-STORAGE Sécuriser l utilisation du stockage externe Certains téléphones sous Android peuvent permettre l ajout de cartes SD. Les données sur le stockage externe (carte SD) sont accessibles en lecture et écriture par tout le monde (et par toutes les applications). Par ailleurs, la carte SD est un support amovible qui peut être dissocié de l équipement, lu et modifié sans aucun contrôle de sécurité de la part de l application. C est pourquoi aucune donnée sensible ne doit être enregistrée sur le stockage externe, même de manière chiffrée. Elles doivent être stockées dans le répertoire personnel de l application sur lequel de plus fortes permissions seront en place. Par ailleurs, il est important d effectuer une vérification sécurité de toutes les données qui proviennent d un stockage externe. Pour Android, cette exigence induit entre autres les points suivants : - Ne pas stocker d exécutables ou de fichiers Class sur la carte SD - Signer et vérifier les empreintes des fichiers qui doivent être chargés dynamiquement Android Security Tips Using internal storage 7 Android Security Tips Using external storage /17
8 OWASP ios Develope r Cheat Sheet Insecure Data Storage (M1) 9 COMMON-LOGS Ne pas envoyer d'informations sensibles dans les logs Les logs de l application ne doivent pas contenir d informations sensibles, tels que les mots de passe des utilisateurs lors de leur authentification sur l application. Il est à noter que les logs sont une ressource partagée sur Android. Toutes les applications possédant la permission READ_LOGS peuvent lire les logs. Android Security Tips Handling User Data 10 OWASP ios Developer Cheat Sheet Insecure Data Storage (M1) 11 COMMON-PWDCODE Ne pas stocker d'informations sensibles dans le code de l'application Les mots de passe stockés dans le code de l'application peuvent se retrouver dans l'application fournie sur le Store. D une manière générale, il ne faut pas stocker de mots de passe ou de clefs d authentification ou de chiffrement directement accessibles à l application. Même si l application est compilée, toutes les variables définies dans le code source peuvent être retrouvées dans l application distribuée. Voir l exigence COMMON-CRYPT pour plus de détails. COMMON-SQLITE Ne pas stocker d'informations sensibles dans les bases de données SQLite En ayant accès à l équipement, les bases de données SQLite peuvent être facilement lues par un client approprié disponible librement sur Internet. En particulier, les identifiants et les tokens d'authentification ne doivent pas être stockés dans une base de données SQLite /17
9 IOS-APP-PLIST Ne pas stocker d'informations sensibles dans des fichiers PLIST En ayant accès au téléphone, les fichiers PLIST peuvent être facilement lus. Il est primordial de n'enregistrer aucune information sensible telle que des identifiants ou des tokens d'authentification. Cette préconisation est valable pour les NSUserDefaults (stockées dans un fichier PLIST). Dans tous les cas, il est préférable de ne stocker aucune information sensible sur le téléphone. Si de telles informations doivent absolument être conservées sur le téléphone, le keychain doit être utilisé. OWASP ios Developer Cheat Sheet Insecure Data Storage (M1) 12 Property Lists Are Vulnerable 13 How not to store Passwords in ios 14 IOS-APP-COREDATA Ne pas stocker d'informations sensibles dans les services CoreData Les services CoreData sont une fonctionnalité pour le développement d'applications ios permettant entre autres d'avoir des relations entre les objets. Si une telle fonctionnalité est utilisée, il est primordial de ne stocker aucune information sensible dans ces CoreData. Les données de cette fonctionnalité sont stockées dans une base de données SQLite et sont donc facilement accessibles en ayant accès au téléphone (cf. COMMON-SQLITE). IOS-APP-NSURLCACHE Ne pas stocker d'informations sensibles dans le cache des requêtes HTTP Par défaut, les requêtes HTTP effectuées avec NSURLSession sont mises en cache dans un fichier sur l'appareil. Toute personne pouvant accéder à ce fichier (en ayant un accès physique au téléphone par exemple) pourra alors observer les requêtes et les réponses associées effectuées par l'application. Il est important de ne pas stocker en cache des informations sensibles qui pourraient être contenues dans les réponses /17
10 ANDROID- PROVIDER-PERM Restreindre les permissions sur les Content Providers au strict nécessaire Les content providers offrent des mécanismes de partages des données stockées entre les applications de l équipement. Si l application ne met pas de données à disposition des autres applications, l attribut suivant doit être positionné dans le manifest de l application : android:exported=false Si l application doit mettre à disposition des données, il faut restreindre les permissions d accès au content provider au strict nécessaire (paramétrage dans le manifest). Si seule une liste limitée d applications doit accéder au content provider (par exemple, d autres applications du même développeur), il est préférable d utiliser le mécanisme de protection par signature (les applications vont utiliser la même clef). À noter que ce mécanisme permet une bonne sécurisation d accès, tout en évitant d ajouter des permissions qui nécessiteront la confirmation de l utilisateur. Android Security Tips Using content providers 15 Android Security Tips Using Interprocess Communication 16 COMMON-PARAM-QUERY Utiliser les méthodes paramétrées pour interroger un content provider Lors de l utilisation de requêtes (SQL par exemple), il est important d utiliser les mécanismes de requêtes paramétrées permettant de s assurer de la sécurisation des variables contre les risques d injection SQL. Cette exigence est aussi valable pour les content providers sur Android. Lors de l accès à un content provider, il est nécessaire d utiliser les méthodes paramétrées fournies par Android telles que query(), update(), insert(), delete(). Le fait d utiliser ces fonctions permet de limiter les possibilités d attaques de type sql injection. Android Security Tips Using content providers BACKEND ET UTILISATION DU RESEAU Les transactions sur le réseau, tel que l accès à un serveur de backend distribuant les données à afficher, est toujours un point sensible de l application en termes de sécurité. Les points suivants sont entre autres à prendre en compte dans la sécurisation de l application (y compris le backend) : /17
11 + Les données transitant entre le backend et l équipement peuvent être sensibles (par exemple, des données métiers, ou des données personnelles de l utilisateur) ; + Une authentification des utilisateurs et des autorisations d accès au backend doivent être gérées (par le backend) ; + Les équipements mobiles se connectent souvent sur des réseaux non sûrs (par exemple, des hotspots WiFi publics). COMMON-AUTH Authentification et autorisation doivent être décidées du côté d un backend Il est important de garder en tête qu'un attaquant aura accès à l'application et à son équipement. Avec les outils appropriés, il est possible de modifier le comportement de l'application. Des décisions importantes, comme l'authentification et la gestion des autorisations ne doivent pas être prises sur l équipement, mais uniquement du côté du backend. Entre autres, les identifiants (login et mot de passe) des utilisateurs ne doivent pas être stockés sur l équipement mobile. Android Security Tips Handling Credentials 18 COMMON-TLS Chiffrer les échanges sur le réseau Dans la plupart des cas, il est nécessaire de chiffrer les flux entre l équipement et le backend par l utilisation de SSL/TLS. Les équipements mobiles peuvent se connecter sur des réseaux non sûrs, tels que des hotspots WiFi publics, et il est donc préférable de chiffrer les communications. Cette exigence s applique particulièrement à la communication faite entre l application et son backend (un webservice par exemple). Cette exigence peut éventuellement ne pas être appliquée dans le cadre d informations publiques pour lesquelles la confidentialité n est absolument pas nécessaire. Toutefois, dès lors qu un mécanisme d authentification ou d autorisation existe dans l application, il est fortement recommandé de chiffrer l ensemble des échanges (authentification, identifiant authentifié (cookie de session, token, ), données accessibles après authentification uniquement, ). Android Security Tips Using IP Networking 19 Making HTTPS requests Overview/WorkingWithHTTPAndHTTPSRequests/WorkingWithHTTPAndHTTPSRequests.html 11/17
12 ANDROID-IPC-NETWORK Ne pas utiliser le réseau pour des échanges entre applications sur le même équipement Certains développeurs peuvent mettre à disposition des informations directement en mettant un port en écoute sur le téléphone (sur localhost par exemple). Ce mécanisme ne permet pas de gérer l authentification et les permissions nativement et permet donc l accès aux données sans aucun contrôle. Par ailleurs, cette manière de faire sera plus grave si le port mis en écoute l est sur toutes les inferfaces (INADDR_ANY), puisque qu il sera potentiellement possible d accéder aux informations à distance (y compris de manière malveillante). C est pourquoi il est nécessaire de préférer les mécanismes IPC fournis nativement par Android, tels que les classes Service, Messenger, Intent, Binder, BroadcastReceiver. Ces classes permettent de vérifier l identité des applications qui se connectent à l IPC et permettent de gérer des politiques de sécurité. Android Security Tips Using IP Networking 21 Android Security Tips Using Interprocess Communication 22 COMMON-CRT Utiliser un certificat de chiffrement valide et vérifier sa validité Lors de chiffrement de flux au moyen d un certificat (par exemple, pour du HTTPS), il est primordial d utiliser un certificat valide. Un certificat peut être considéré comme valide s il répond à minima aux exigences ci-après. Par ailleurs, ces exigences doivent être vérifiées par l application à la connexion : + La date de fin de validité du certificat n est pas atteinte ; + Le certificat n est pas auto-signé ; + Les autorités de certification (y compris intermédiaires) sont reconnues par le système Android ; + Le subject (ou subject alternative) correspond bien au nom de domaine du backend accédé. Il est à noter que la vérification de ces exigences sont effectuées par les classes natives du système Android (telle que HttpURLConnection) ou ios (telle que NSURLSession). Dans le cas de l utilisation de telles classes, les mécanismes de vérification du certificat ne doivent en aucun cas être désactivés. Dans le cas de l utilisation de fonctionnalités qui n implémentent pas ces vérifications de certificat, il est nécessaire de les implémenter. Il faut également porter une attention particulière à l utilisation de librairies tierce-parties. Elles peuvent simplifier le travail du développeur, parfois au détriment de la sécurité. Un exemple pour ios est la librairie AFNetworking très utilisée, mais qui ne vérifie pas la validité des certificats /17
13 Android Security with HTTPS and SSL 23 ios Using Networking securely 24 COMMON-INPUT-VALIDATION Valider toutes les entrées sur l application (backend ou application mobile) Never Trust User Input. Toutes les entrées (données reçues, paramètres des requêtes, ajouts de fichiers, ) doivent être correctement validées afin de ne pas autoriser des actions inattendues (y compris malveillantes) : + paramètres des requêtes ; + fichiers reçus ; + données lues à partir de fichiers stockés sur l équipement ou la carte SD ; + données reçues sur le réseau (backend, webservice, ) ; + données reçues depuis un IPC (content provider, ). Il existe de nombreuses bonnes pratiques suivant les vulnérabilités liées aux erreurs de validation : + vérification de la longueur de la donnée (vulnérabilité de type buffer overflows) ; + utilisation de listes blanches dès que possible ; + utilisation de typages forts et vérifications que les données sont conformes au format (exemple : un ID qui doit être un entier strictement positif et inférieur à une valeur maximale et utilisations de regex fermées) ; + dans le cas de requêtes SQL, utilisation de requêtes paramétrées (voir COMMON- PARAM-QUERY) Android Security Tips Performing Input Validation 25 Android Security Tips Using IP Networking 26 ANDROID-SMS Ne pas utiliser les SMS pour envoyer des messages à l application Il est fortement déconseillé d utiliser le protocole SMS pour envoyer des messages à l application. Les SMS sont prévus pour être des messages user-to-user et apportent certaines limitations : Overview/SecureNetworking/SecureNetworking.html /17
14 + Les SMS ne sont ni chiffrés, ni authentifiés sur le réseau ou sur l équipement (un utilisateur pourrait envoyer de lui-même des SMS malveillants à l application) ; + Les SMS sont sujets au spoof et/ou à l interception sur le réseau ; + Les SMS sont envoyés en broadcast et peuvent être lus par toutes les applications qui possèdent la permission READ_SMS. Par ailleurs, comme énoncé dans COMMON-STORAGE, il n est pas recommandé de donner des permissions sensibles à une application (sauf si absolument nécessaire, car fonctionnalité primaire de l application). 1.4 ANTI-PIRATAGE ET BONNES PRATIQUES DE DEVELOPPEMENT ANDROID-WEBVIEW Sécuriser l utilisation des WebView Les WebView sont des classes qui permettent d inclure directement du contenu web (HTML et Javascript) dans l application et peuvent donc inclure directement des vulnérabilités web telles que les failles XSS (Cross-Site Scripting). Utilisation de Javascript Si l application n utilise pas Javascript pour la WebView, il est important de ne pas appeler la fonction setjavascriptenabled(). Cette méthode est souvent donnée dans les exemples de codes et se retrouve dans des applications en production alors que le Javascript n est pas nécessaire. Le fait de ne pas autoriser le Javascript réduit fortement la probabilité de l exploitation d une vulnérabilité. Interface Javascript L invocation de la méthode addjavascriptinterface() est à utiliser avec précaution, car elle autorise l appel de codes Javascript qui aura accès aux opérations normalement réservées aux applications Android. Dans ce cas, les entrées doivent être validées afin d éviter toute injection de code Javascript non autorisé. Données sensibles et cache Dans le cas classique de l utilisation de WebView, les pages web affichées peuvent être mises en cache par le système Android. S il s agit de données sensibles, il ne faut pas garder ce cache pour éviter une compromission des données contenues dans ce dernier. Pour cela, deux moyens : + Côté serveur, envoyer l entête HTTP Cache-Control : no-cache + Côté application, appeler la méthode clearcache() 14/17
15 Android Security Tips Using WebView 27 COMMON-FILES Ne pas laisser de fichiers inutiles dans le répertoire de l'application Il est nécessaire de restreindre au minimum les fichiers distribués avec l'application. Seuls les fichiers strictement utiles au bon fonctionnement de l application doivent être distribués avec l ensemble des fichiers contenus dans l application. En particulier, il n'est pas autorisé de laisser des documentations (par exemple, pdf) sur les librairies utilisées, des fichiers de debug, COMMON-UDID Ne pas utiliser les identifiants uniques de l équipement Ne pas utiliser d'identifiant unique (MAC, UDID, IMEI, IP) à l équipement pour des opérations par l application qui ne le nécessitent pas. Par exemple, si l application nécessite un identifiant unique (GUID), il est préférable de générer un grand nombre unique et de le stocker, plutôt que d utiliser le numéro IMEI du téléphone. Sur ios, il est aussi possible d utiliser la fonction de génération d un UUID par «vendor» (développeur) : ml#//apple_ref/occ/instp/uidevice/identifierforvendor Cette exigence permet de ne pas exposer inutilement des données personnelles ou sensibles de l utilisateur sans nécessité. Par ailleurs, les données personnelles sont soumises à des contraintes de sécurité plus fortes (IMEI par exemple), alors qu un numéro généré aléatoirement pourra être utilisé plus simplement et suffira généralement aux besoins de l application. Android Security Tips Handling User Data 28 Android Developers Blog Identifying App Installations 29 OWASP Mobile Application Coding Guidelines Authentication and Password Management F 30 COMMON-CRYPTO Utiliser des moyens cryptographiques robustes Si l application nécessite des moyens cryptographiques, il est primordial d utiliser des algorithmes existants, sûrs et robustes, et en aucun cas de redévelopper ses propres algorithmes de cryptographie (ch. Using Telephony Network) /17
16 Voici quelques exemples de bonnes pratiques concernant les moyens cryptographiques : + communication sécurisée sur le réseau avec TLS avec HttpsURLConnection ou SSLSocket pour Android, ou NSURLSession pour ios. + génération de nombres aléatoires avec SecureRandom pour Android, ou SecRandomCopyBytes pour ios. + génération des clefs de cryptographie avec SecureRandom et KeyGenerator pour Android et CommonCrypto pour ios. + stockage de données sensibles (ex : clefs de cryptographie) sur l équipement dans le KeyStore pour Android ou le Keychain pour ios. + utilisation d algorithmes approuvés par le NIST, tels que AES ou SHA2 Android Security Tips Using Cryptography 31 OWASP Mobile Application Coding Guidelines Authentication and Password Management 32 IOS-APP-SCHEME Filtrer les entrées par une URL scheme Une application ios permet d'ajouter des URL schemes sur le téléphone. Par exemple, une URL du type myapp://train/list pourra être envoyée directement à l'application. Il est nécessaire que l'accès à ces URL et les données présentes dans l'url soient vérifiés afin de ne pas produire de comportement inattendu ou non autorisé. Using URL Schemes to Communicate with Apps 33 IOS-APP-ENCRYPT Chiffrer l'application pour sa distribution dans un store Pour distribuer l'application, cette dernière doit être chiffrée (encrypted). C'est le cas par défaut, dans l'apple Store /Inter-AppCommunication/Inter-AppCommunication.html#//apple_ref/doc/uid/TP CH6-SW1 16/17
Tech-Evenings Sécurité des applications Web Sébastien LEBRETON
Tech-Evenings Sécurité des applications Web Sébastien LEBRETON Pourquoi revoir la sécurité des applications Web Des technologies omniprésentes Facilité de mise en œuvre et de déploiement. Commerce en ligne,
Plus en détailOWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI
OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est
Plus en détailPrincipales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement
Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.
Plus en détailMeilleures pratiques de l authentification:
Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données
Plus en détailBee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE
Référence : BNX_Cible-de-sécurité_CSPN Version : 1.3 Etat : A valider Date : Affaire/projet : Client : BEE WARE Classification : Diffusion projet Bee Ware i-suite Cible de Sécurité CSPN Validation Fonctionnelle
Plus en détailVulnérabilités et sécurisation des applications Web
OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning
Plus en détailOZSSI NORD 4 JUIN 2015 - LILLE. Conférence thématique: Sécurité des applications
OZSSI NORD 4 JUIN 2015 - LILLE Conférence thématique: Sécurité des applications www.advens.fr Document confidentiel - Advens 2015 Présentation de la société Advens 2 La sécurité est source de valeur Pas
Plus en détailCe document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.
PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des
Plus en détailFiche produit. Important: Disponible en mode SaaS et en mode dédié
Fiche produit Important: Disponible en mode SaaS et en mode dédié La plate-forme étant enrichie en permanence, la liste des fonctionnalités présentées n est pas exhaustive. Nous vous invitons donc à nous
Plus en détailDéploiement de l iphone et de l ipad Gestion des appareils mobiles (MDM)
Déploiement de l iphone et de l ipad Gestion des appareils mobiles (MDM) ios prend en charge la gestion des appareils mobiles (MDM), offrant aux entreprises la possibilité de gérer des déploiements évolutifs
Plus en détailSécurité des réseaux sans fil
Sécurité des réseaux sans fil Francois.Morris@lmcp.jussieu.fr 13/10/04 Sécurité des réseaux sans fil 1 La sécurité selon les acteurs Responsable réseau, fournisseur d accès Identification, authentification
Plus en détailSécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin
Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse
Plus en détailDéploiement d iphone et d ipad Gestion des appareils mobiles (MDM)
Déploiement d iphone et d ipad Gestion des appareils mobiles (MDM) ios prend en charge la gestion des appareils mobiles (MDM), donnant aux entreprises la possibilité de gérer le déploiement d iphone et
Plus en détailNote Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification
PLAN Note Technique Sécurité Système d'authentification Authentification hors APN LuxGSM Authentification 3G/APN Système de notification Pré-requis Sécurité et routage des notifications Système d'authentification
Plus en détailCan we trust smartphones?
Can we trust smartphones? Mathieu.RENARD@Sogeti.com - 03/10/2012 Synthèse Concernant la sécurité la plupart des solutions ne sont pas matures. La combinaison de solutions de sécurité peut permettre d atteindre
Plus en détailCIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)
CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document
Plus en détailPASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur
Plus en détailSécurité des applications Retour d'expérience
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon
Plus en détailDidier Perrot Olivier Perroquin In-Webo Technologies
Comment accéder concrètement, simplement et sans investissement aux bénéfices de l'authentification forte pour vos applications SI ou métier, Cloud, mobile ou web Didier Perrot Olivier Perroquin In-Webo
Plus en détailPoint sur les solutions de développement d apps pour les périphériques mobiles
Point sur les solutions de développement d apps pour les périphériques mobiles Par Hugues MEUNIER 1. INTRODUCTION a. Une notion importante : le responsive web design Nous sommes en train de vivre une nouvelle
Plus en détailL'AAA, késako? Bruno Bonfils, <asyd@solaris fr.org>, Novembre 2005. Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :
Introduction L'AAA, késako? Bruno Bonfils, , Novembre 2005 Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants : Authentication (authentification) Authorization
Plus en détailSSL ET IPSEC. Licence Pro ATC Amel Guetat
SSL ET IPSEC Licence Pro ATC Amel Guetat LES APPLICATIONS DU CHIFFREMENT Le protocole SSL (Secure Socket Layer) La sécurité réseau avec IPSec (IP Security Protocol) SSL - SECURE SOCKET LAYER Historique
Plus en détailwww.netexplorer.fr contact@netexplorer.fr
www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...
Plus en détailFTPS AVEC UNE APPLIANCE FAST360 EN COUPURE. Table des matières
FTPS AVEC UNE APPLIANCE FAST360 EN COUPURE Table des matières Principes de FTPS... 2 Généralités... 2 FTPS en mode implicite... 2 FTPS en mode explicite... 3 Certificats SSL / TLS... 3 Atelier de tests
Plus en détailSécurité des Web Services (SOAP vs REST)
The OWASP Foundation http://www.owasp.org Sécurité des Web Services (SOAP vs REST) Sylvain Maret Principal Consultant / MARET Consulting / @smaret OpenID Switzerland OWASP Switzerland - Geneva Chapter
Plus en détailSupplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de
Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de la PCI (PCI DSS) Version : 1.2 Date : Octobre 2008
Plus en détailÉtat Réalisé En cours Planifié
1) Disposer d'une cartographie précise de l installation informatique et la maintenir à jour. 1.1) Établir la liste des briques matérielles et logicielles utilisées. 1.2) Établir un schéma d'architecture
Plus en détailHomologation ARJEL : Retour d expérience
Homologation ARJEL : Retour d expérience Ossir Paris / Juin 2013 Thibaud Binétruy Consultant Sécurité Thibaud.Binetruy@intrinsec.com 1 Homologation ARJEL : Retour d expérience Intrinsec? Petite présentation!
Plus en détailUrbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET http://www.chambet.com
Urbanisation des SI Conduite du changement IT 20/03/09 Sécuriser ses Web Services Patrick CHAMBET http://www.chambet.com Bouygues Telecom Direction Gouvernance, Outils et Architecture / Sécurité du SI
Plus en détailKeyyo Guide de mise en service CTI / API / TAPI Keyyo
Keyyo Guide de mise en service CTI / API / TAPI Keyyo Keyyo Opération & Support http://www.keyyo.fr/fr/support/expert.php Version 1.0.7 Sommaire 1 Portée du document... 3 2 Introduction à la configuration...
Plus en détail5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération
Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération 5.4 Pour l exercice terminé le 31 décembre 2013 Sécurité des réseaux sans fil 5.4. Sécurité des
Plus en détailSécuriser un équipement numérique mobile TABLE DES MATIERES
Sécuriser un équipement numérique mobile TABLE DES MATIERES 1 INTRODUCTION... 2 2 REGLES DE BONNE CONDUITE CONCERNANT VOTRE MOBILE... 3 2.1 MEFIEZ-VOUS DES REGARDS INDISCRETS... 3 2.2 PREVOYEZ LE VOL OU
Plus en détailJournées MATHRICE "Dijon-Besançon" DIJON 15-17 mars 2011. Projet MySafeKey Authentification par clé USB
Journées MATHRICE "Dijon-Besançon" DIJON 15-17 mars 2011 1/23 Projet MySafeKey Authentification par clé USB Sommaire 2/23 Introduction Authentification au Système d'information Problématiques des mots
Plus en détailAccessMaster PortalXpert
AccessMaster PortalXpert Sommaire 1. Historique du document.....3 2. Sécuriser les ressources web...4 3. Description du produit PortalXpert.....7 Instant Secure Single Sign-on 4. Scénarios de déploiement
Plus en détailLivre blanc. Sécuriser les échanges
Livre blanc d information Sécuriser les échanges par emails Octobre 2013 www.bssi.fr @BSSI_Conseil «Sécuriser les échanges d information par emails» Par David Isal Consultant en Sécurité des Systèmes d
Plus en détailGuide pratique spécifique pour la mise en place d un accès Wifi
MINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ Guide pratique spécifique pour la mise en place d un accès Wifi Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S)- Mai 2014 - V1.0
Plus en détailMobilité, quand tout ordinateur peut devenir cheval de Troie
Mobilité, quand tout ordinateur peut devenir cheval de Troie SSTIC 2004, 2-4 juin, Rennes Cédric Blancher Arche, Groupe Omnetica MISC Magazine Agenda 1)Introduction : le concept
Plus en détailFonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011
Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011 Sommaire 1 Un peu de théorie 3 1.1 Qu est-ce qu un reverse proxy?................. 3 1.1.1 Généralités........................
Plus en détailNote technique. Recommandations de sécurité relatives aux ordiphones
DAT-NT-010/ANSSI/SDE P R E M I E R M I N I S T R E Secrétariat général Paris, le 19 juin 2013 de la défense et de la sécurité nationale N o DAT-NT-010/ANSSI/SDE/NP Agence nationale de la sécurité Nombre
Plus en détailLa sécurité des ordiphones : mythe ou réalité?
Institut du Développement et des Ressources en Informatique Scientifique www.idris.fr La sécurité des ordiphones : mythe ou réalité? 1 Plan de la présentation 1. La problématique pour l entreprise 2. Modèles
Plus en détailSécurité des réseaux Les attaques
Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques
Plus en détailDe l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012
De l authentification au hub d identité si simplement Présentation OSSIR du 14fev2012 Olivier Perroquin In-Webo Technologies Mission et solutions d In-Webo > Apporter aux Entreprises et Opérateurs de Services
Plus en détailCatalogue «Intégration de solutions»
Catalogue «Intégration de solutions» 1 Nos prestations Offre 01 Offre 02 Offre 03 Offre 04 Offre 05 Offre 06 Offre 07 Offre 08 Offre 09 Offre 10 Offre 11 Offre 12 Offre 13 Offre 14 Offre 15 Offre 16 Antivirus
Plus en détail[ Sécurisation des canaux de communication
2014 ISTA HAY RIAD FORMATRICE BENSAJJAY FATIHA OFPPT [ Sécurisation des canaux de communication Protocole IPsec] Table des matières 1. Utilisation du protocole IPsec... 2 2. Modes IPsec... 3 3. Stratégies
Plus en détailRapport de certification
Rapport de certification Évaluation EAL 4 + du produit VMware ESX 4.0 Update 1 and vcenter Server 4.0 Update 1 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de
Plus en détailSécurisation des accès au CRM avec un certificat client générique
NOTE TECHNIQUE Sécurisation des accès au CRM avec un certificat client générique OBJETIF DE SECURITE Réduire les risques d usurpation d identité et de vols de données (exemple : keylogger, cheval de Troie
Plus en détailAuthentification avec CAS sous PRONOTE.net 2011. Version du lundi 19 septembre 2011
1 Authentification avec CAS sous PRONOTE.net 2011 Version du lundi 19 septembre 2011 2 1 - Vocabulaire employé et documentation... 3 1.1 - SSO (Single Sign-On)... 3 1.2 - CAS (Central Authentication Service)...
Plus en détailPrésentation SafeNet Authentication Service (SAS) Octobre 2013
Bâtir un environnement d'authentification très fiable Présentation SafeNet Authentication Service (SAS) Octobre 2013 Insérez votre nom Insérez votre titre Insérez la date 1 Présentation de l offre SAS
Plus en détailConcept Compumatica Secure Mobile
LivreBlanc Concept Compumatica Secure Mobile La solution voix et SMS sécurisés pour les organisations et Compumatica secure networks 2014 Compumatica secure networks www.compumatica.com La solution voix
Plus en détailVulnérabilités et solutions de sécurisation des applications Web
Vulnérabilités et solutions de sécurisation des applications Web Patrick CHAMBET EdelWeb ON-X Consulting patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Eric Larcher RSSI Accor
Plus en détailSOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS
SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS DES RESEAUX D ENTREPRISE SO Une sécurité réseau déficiente
Plus en détailQu est ce que Visual Guard. Authentification Vérifier l identité d un utilisateur
Qu est ce que Visual Guard Authentification Vérifier l identité d un utilisateur Autorisation Qu est-ce qu un utilisateur peut faire dans l application Audits et rapports Fonctionnalités d Audit et de
Plus en détailRapport de certification
Rapport de certification NetScout ngeniusone Unified Performance Management Platform V5.2.1 and ngenius InfiniStream V5.2.1 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme
Plus en détailFiche Technique Windows Azure
Le 25/03/2013 OBJECTIF VIRTUALISATION mathieuc@exakis.com EXAKIS NANTES Identification du document Titre Projet Date de création Date de modification Fiche Technique Objectif 25/03/2013 27/03/2013 Windows
Plus en détailOauth : un protocole d'autorisation qui authentifie?
Oauth : un protocole d'autorisation qui authentifie? Maxime Féroul Directeur Technique / KYOS IT SECURITY Application Security Forum - 2012 Western Switzerland 7-8 novembre 2012 - Y-Parc / Yverdon-les-Bains
Plus en détailSÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE
PUBLICATION CPA-2011-102-R1 - Mai 2011 SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE Par : François Tremblay, chargé de projet au Centre de production automatisée Introduction À l
Plus en détailCryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI
Cryptologie Algorithmes à clé publique Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Cryptographie à clé publique Les principes essentiels La signature électronique Infrastructures
Plus en détailFileMaker Server 11. Publication Web personnalisée avec XML et XSLT
FileMaker Server 11 Publication Web personnalisée avec XML et XSLT 2007-2010 FileMaker, Inc. Tous droits réservés. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, Californie 95054 FileMaker est une
Plus en détailDevoir Surveillé de Sécurité des Réseaux
Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La
Plus en détailInformations sur la sécurité
Informations sur la sécurité SMART kapp inclut des fonctionnalités de sécurisation des données conçues pour contrôler de manière prévisible votre contenu. Cette page explique quelles fonctionnalités de
Plus en détailPrésentation du relais HTTP Open Source Vulture. Arnaud Desmons <ads@intrinsec.com> Jérémie Jourdin <jjn@intrinsec.com>
Arnaud Desmons Jérémie Jourdin Présentation Motivations Historique Démonstration Présentation fonctionnelle Présentation technique L'interface d'administration Roadmap
Plus en détailLINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation
Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance
Plus en détailDÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES
DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques
Plus en détailDécouvrir les vulnérabilités au sein des applications Web
Applications Web Découvrir les vulnérabilités au sein des applications Web Les vulnérabilités au sein des applications Web sont un vecteur majeur du cybercrime. En effet, selon le rapport d enquête 2012
Plus en détailAccès réseau Banque-Carrefour par l Internet Version 3.2. 06/06/2005
ISMS (Information Security Management System) Utilisation de l Internet comme moyen d accès au réseau de la Banque-Carrefour de la sécurité dans le cadre du traitement de données à caractère personnel
Plus en détailGuide d administration de Microsoft Exchange ActiveSync
Guide d administration de Microsoft Exchange ActiveSync Copyright 2005 palmone, Inc. Tous droits réservés. palmone, HotSync, Treo, VersaMail et Palm OS sont des marques commerciales ou déposées dont palmone,
Plus en détailProtection des protocoles www.ofppt.info
ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Protection des protocoles DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2
Plus en détailLa sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta
La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information
Plus en détailSQUID P r o x y L i b r e p o u r U n i x e t L i n u x
SQUID P r o x y L i b r e p o u r U n i x e t L i n u x 1. P r é s e n t a t i o n : SQUID est un proxy (serveur mandataire en français) cache sous linux. De ce fait il permet de partager un accès Internet
Plus en détailWindows Server 2008. Chapitre 3 : Le service d annuaire Active Directory: Concepts de base
Windows Server 2008 Chapitre 3 : Le service d annuaire Active Directory: Concepts de base omar.cheikhrouhou@isetsf.rnu.tn omar.cheikhrouhou@ceslab.org Objectives Comprendre les concepts de base d Active
Plus en détailLes solutions mobiles et Cloud au service de votre productivité
Les solutions mobiles et Cloud au service de votre productivité Solutions services mobiles et Cloud you can *Bien sûr vous pouvez Optez pour la flexibilité, grâce aux solutions mobiles et services Cloud
Plus en détailPourquoi choisir ESET Business Solutions?
ESET Business Solutions 1/6 Que votre entreprise soit tout juste créée ou déjà bien établie, vous avez des attentes vis-à-vis de votre sécurité. ESET pense qu une solution de sécurité doit avant tout être
Plus en détailVirtual Browser Management Console. Guide de l utilisateur
Virtual Browser Management Console Guide de l utilisateur Ce document contient des informations propriétaires et confidentielles appartenant à la société commonit SAS, qui ne doivent pas être révélées,
Plus en détailRapport de certification
Rapport de certification Évaluation EAL 2+ du produit Symantec Endpoint Protection Version 12.1.2 Préparé par : Centre de la sécurité des télécommunications Canada Organisme de certification Schéma canadien
Plus en détailLe protocole SSH (Secure Shell)
Solution transparente pour la constitution de réseaux privés virtuels (RPV) INEO.VPN Le protocole SSH (Secure Shell) Tous droits réservés à INEOVATION. INEOVATION est une marque protégée PLAN Introduction
Plus en détailDéfinition des Webservices Ordre de paiement par email. Version 1.0
Définition des Webservices Ordre de paiement par email Version 1.0 Rédaction, Vérification, Approbation Rédaction Vérification Approbation Nom Date/Visa Nom Date/Visa Nom Date/Visa Historique du document
Plus en détailLe protocole RADIUS Remote Authentication Dial-In User Service
Remote Authentication Dial-In User Service CNAM SMB 214-215 Claude Duvallet Université du Havre UFR des Sciences et Techniques Courriel : Claude.Duvallet@gmail.com Claude Duvallet 1/26 Objectifs du cours
Plus en détailGuide de Démarrage. Introduction... 2 Scénarios pour l utilisation de votre procloud@ocim.ch... 2 Scénarios à venir :... 2
Guide de Démarrage Introduction... 2 Scénarios pour l utilisation de votre... 2 Scénarios à venir :... 2 Accès à vos données depuis un navigateur internet... 3 Démarrage... 3 Explorez votre nouvel environnement...
Plus en détailUn exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi
Un exemple d'authentification sécurisée utilisant les outils du Web : CAS 111 L authentification CAS : «Central Authentication Service» CAS ou le service central d authentification Le système CAS, développé
Plus en détail7.1.2 Normes des réseaux locaux sans fil
Chapitre 7 7.1.2 Normes des réseaux locaux sans fil Quelles sont les deux conditions qui poussent à préférer la norme 802.11g à la norme 802.11a? (Choisissez deux réponses.) La portée de la norme 802.11a
Plus en détailFICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement
COREYE CACHE Solution d absorption de charge pour une disponibilité et une performance optimales des applications Web En bref Architecture technique La plateforme Coreye Cache délivre la majeure partie
Plus en détailWIFI sécurisé en entreprise (sur un Active Directory 2008)
Cette œuvre est mise à disposition selon les termes de la Licence Creative Commons Paternité - Pas d'utilisation Commerciale 3.0 non transposé. Le document est librement diffusable dans le contexte de
Plus en détailFailles XSS : Principes, Catégories Démonstrations, Contre mesures
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Séminaire 15 ans HSC Failles XSS : Principes, Catégories Démonstrations,
Plus en détailIPS-Firewalls NETASQ SPNEGO
IPS-Firewalls NETASQ SPNEGO Introduction Un utilisateur doit gérer de nombreux mots de passe. Un mot de passe pour la connexion au poste de travail, un mot de passe pour la messagerie et n mots de passe
Plus en détailLa citadelle électronique séminaire du 14 mars 2002
e-xpert Solutions SA 29, route de Pré-Marais CH 1233 Bernex-Genève Tél +41 22 727 05 55 Fax +41 22 727 05 50 La citadelle électronique séminaire du 14 mars 2002 4 info@e-xpertsolutions.com www.e-xpertsolutions.com
Plus en détailManuel d'installation
CyberMUT P@iement P@iement CIC P@iement OBC SERVICE SECURISE DE PAIEMENT INTERNET PAR CARTE BANCAIRE (Sécurisé par le protocole SSL) Manuel d'installation (Document 2/2) EURO Sp.Tech. 1.2.8 Octobre 2001
Plus en détailSécurité de Dropbox Entreprises Un livre blanc Dropbox
Un livre blanc Dropbox Sommaire Introduction 3 Sous le capot 3 Architecture Interfaces utilisateur Dropbox Fiabilité Chiffrement Fonctionnalités produit 6 Fonctionnalités d administration Fonctionnalités
Plus en détailSQL MAP. Etude d un logiciel SQL Injection
Introduction Ce TP a pour but d analyser un outil d injection SQL, comprendre les vulnérabilités d une BD et de mettre en œuvre une attaque par injection SQL. Prise en main du logiciel SQLMap est un outil
Plus en détailNote technique. Recommandations de sécurité relatives aux réseaux WiFi
DAT-NT-005/ANSSI/SDE P R E M I E R M I N I S T R E Secrétariat général Paris, le 30 mars 2013 de la défense et de la sécurité nationale N o DAT-NT-005/ANSSI/SDE/NP Agence nationale de la sécurité Nombre
Plus en détailACCEDER A SA MESSAGERIE A DISTANCE
Pour garder le contact avec leur entreprise, de plus en plus de collaborateurs ont besoin d accéder à leurs emails lorsqu ils sont en déplacement ou à domicile. Cet accès distant est facilité si la messagerie
Plus en détailAndroid 2.3 Gingerbread
Android 2.3 Gingerbread Laurent Villain Le but de cette documentation est de permettre d utiliser à des fins professionnelles un smartphone avec l OS Android. Les appareils qui ont servi à cette expérimentation
Plus en détail1. Présentation de WPA et 802.1X
Lors de la mise en place d un réseau Wi-Fi (Wireless Fidelity), la sécurité est un élément essentiel qu il ne faut pas négliger. Effectivement, avec l émergence de l espionnage informatique et l apparition
Plus en détailPar KENFACK Patrick MIF30 19 Mai 2009
Par KENFACK Patrick MIF30 19 Mai 2009 1 Introduction II. Qu est ce qu un OpenId? III. Acteurs IV. Principe V. Implémentation VI. Sécurité VII. conclusion I. 2 Vue le nombre croissant de sites web nous
Plus en détailExtension SSO Java. Cette note technique décrit la configuration et la mise en œuvre du filtre de custom SSO Java.
Note technique W4 Engine Extension SSO Java Cette note technique décrit la configuration et la mise en œuvre du filtre de custom SSO Java. 1 Présentation 3 2 Custom SSO Java 4 3 Bilan 10 Sommaire Référence
Plus en détailGuide d'administration
Guide d'administration BES12 Version 12.2 Publié : 2015-08-24 SWD-20150824141635730 Table des matières Introduction... 11 À propos de ce guide... 12 Qu'est ce que BES12?...13 Principales fonctionnalités
Plus en détailACCÉDER A SA MESSAGERIE A DISTANCE
ACCÉDER A SA MESSAGERIE A DISTANCE Lorraine Pour garder le contact avec leur entreprise, de plus en plus de collaborateurs ont besoin d accéder à leurs emails lorsqu ils sont en déplacement ou à domicile.
Plus en détail