Sécurité des bases de données Nicolas Jombart Alain Thivillon

Dimension: px
Commencer à balayer dès la page:

Download "Sécurité des bases de données Nicolas Jombart Alain Thivillon"

Transcription

1 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des bases de données Nicolas Jombart Alain Thivillon

2 Place des bases de données dans la sécurité du SI Budgets Securité vont d'abord à l'achat de système de sécurité (firewalls, IDS,...) à la formation à la sécurisation des applications le SGBD est le parent pauvre de la sécurité Complexité Les BD sont une affaire de spécialistes: au niveau de leur gestion : DBA au niveau de la programmation On ne peut pas sérieusement faire de l'oracle deux fois par an Quand c'est le cas, la sécurité est encore pire! 2 /24

3 Contraintes sur la sécurité 3 /24 Rôle du DBA maintenir le SGBD gérer les comptes, les applications,... pas de formation sécurité : ne peut pas «imaginer» les attaques possibles Mises à jour des systèmes d'expérience, 80% des serveurs de BD meurent avec le système et le SGBD initial: (Informix 7.2, Oracle 7.2,...) «If it works, don't fix it» Conséquence : de nombreuses failles système et applicatives ne sont JAMAIS corrigées, surtout sur les réseaux internes Criticité des applications : Arrêts impossibles La sécurité passe en dernier

4 Contraintes (2) Le SGBD est souvent un composant installé par ou avec un logiciel tiers ERP (SAP, Lawson) DataMining Gestion de parc (SMS,...) Pour SQL Server : 223 Applications recensées en 2003 Géré via ce logiciel tiers Dans une version limitée (exemple MSDE pour Epolicy Manager) dans un mode d'installation par défaut Sa configuration de sécurité est bien souvent encore plus obscure! et personne ne veut/peut prendre la responsabilité de modifier le paramétrage 4 /24

5 Types d'attaques Attaques sur le SGBD lui même failles connues classiques (buffer overflows, bugs d'autentification, injections SQL dans les procédures stockées,...) failles dans les applications associées: serveurs Web d'administration, applications Web, serveurs LDAP, démons snmp, programmes setuid root installés par le SGBD,... Mauvaises configurations modes d'authentification dégradés (.rhosts, OPS$......) mots de passe par défaut Interception de mots de passe par écoute du réseau par lecture de fichiers de configuration sur disque 5 /24

6 Types d'attaques (2) Attaques sur les applicatifs Injection SQL sur les applications Web détournement des requêtes effectuées par un ERP autorisations trop larges Attaques sur l'os via le SGBD écriture/lecture de fichiers, exécution de commandes la base de données tourne avec des privilèges différents contournement de la politique de sécurité 'safe_mode' de PHP chroot critique chez les hébergeurs Web mutualisés load data infile '/web/data/a/anotheruser/db.param' INTO hack... 6 /24

7 7 /24 Securité Listener Gestion des accès réseaux Oracle Problèmes de sécurité Peut être arrêté à distance sans mot de passe Peut être utilisé (via la fonction de trace) pour écraser n'importe quel fichier Oracle. Attention aux entrées ExtProc qui peuvent permettre à des anonymes d'exécuter du code arbitraitre via les appels de procédures externes Multiples dénis de service Possibilité: De placer un mot de passe De limiter l'accès réseau Oracle : tcp.validnode_checking = yes, tcp.invited_nodes = (x.x.x.x,...) Cf

8 Mots de passe par défaut Combien d'installations Oracle 8 ont encore SYSTEM/MANAGER et SYS/CHANGE_ON_INSTALL? Au moins 80% de nos audits (et c'est bien pratique,...) Permet d'accéder à tous l'environnement à distance Permer d'écrire des procédures stockées appelant le système Mots de passe des comptes applicatifs appli/appli... Comptes par défaut installés par Oracle... Possession des tables, privilèges DBA attribués abusivement,.. 8 /24

9 Vulnérabilités Oracle Multiples vulnérabilités découvertes en permanence 25 vulnérabilités en un seul jour Principalement liées aux extensions (mod_plsql,...) Beaucoup de problèmes liées aux procédures stockées nécessaires au fonctionnement de IAS et autres... Exemple: gain des privilèges via le compte CTXSYS Produit difficile à patcher La suppression des comptes par défaut, une installation minimalisée permet de réduire beaucoup de problèmes 9 /24

10 Vulnérabilités Oracle Problème le plus évident: utilisation d'une fonctionnalité dangereuse: «remote_os_authent» Oracle fait confiance au client pour authentifier l'utilisateur s'il envoie POUET, il est transformé en OPS$POUET (pas de mot de passe) ROMINET Hello, je suis POUET sqlplus OK POUET! 10 /24

11 En environnement Internet Typiquement utilisé pour «dynamiser» les sites Web Contenu mobile (publications) Commerce électronique / Notion de compte Risques principaux sur la base de données : Injection SQL Compromission de la base depuis une autre machine compromise Les bases de données sont souvent moins durcies Comptes oracle/oracle Systèmes d'exploitation non configurés pour la sécurité Déni de service 11 /24

12 Défense en profondeur Architecture en strates HTTP/HTTPS Sqlnet/1521 Servlet/ /24

13 Conseils de sécurité Durcir le système d'exploitation Notamment l'accès, et les comptes Supprimer les exemples, les autres applications satellites Pour l'écriture de l'application Principe de séparation des privilèges Savoir quels comptes sont nécessaires (Création, Lecture, Mise à jour, Sauvegarde) Appliquer ces rôles dans la base de données Comptes SELECT seulement Comptes ayant accès à toutes les tables/à certaines tables... Se prémunir contre l'injection SQL et le déni de service En contrôlant ce qui est envoyé à la base de données 13 /24

14 Risques applicatifs Protection contre le déni de service Conception de la base Empêcher de générer trop de calculs ou trop de réponses Injection SQL Le principe de l'attaque : Insérer du code SQL dans une requête construite dynamiquement, pour modifier son comportement Outrepasser par exemple un contrôle effectué par l'application Fonctionnement d'une application : 1. Récupération de données client (formulaires, fichiers XML,...) 2. Construction d'une requête SQL (SELECT, INSERT, procédure,...) 3. Exécution de celle-ci sur la base 4. Traitement des résultats et présentation 14 /24

15 Injection SQL Différentes méthodes : Modification simple de comportement SELECT * FROM users WHERE name='hsc' and password='xxx' or 'x'='x' Enchaînement de deux requêtes SELECT * FROM table WHERE login='hsc' ; SELECT * FROM passwords ' Ne fonctionne plus avec la plupart des drivers Utilisations de fonctions spécifiques master..xp_cmdshell (MS SQL) shell("ping.exe ") 15 /24 Utilisation de UNION SELECT Ccnum, Ccexp FROM Creditcards WHERE Ccnum='xxx' UNION SELECT NULL, NULL FROM 1=1 '

16 Injection SQL Exemple : Vulnérabilité IMP (Webmail) de janvier 2003 $sql="select username from $default->db_pref_table where username='$user@$server'"; Écueils Utilisation des quotes (simples ou doubles) et des commentaires Les résultats ne sont pas toujours visibles Couche de présentation Les possibilités peuvent dépendre du driver utilisé et de la base attaquée 16 /24

17 De l'utilité des messages d'erreur Exemple avec le driver ODBC/ASP Microsoft OLE DB Provider for ODBC Drivers error ' ' [Microsoft][ODBC Microsoft Access Driver] You have written a subquery that can return more than one field without using the EXISTS reserved word in the main query's FROM clause. Revise the SELECT statement of the subquery to request only one field. /script.asp, line /24

18 Se prémunir Sécurité du développement : valider les entrées Règle fondamentale, ne protégera pas que contre l'injection SQL Injection de code, modification de comportements, buffer overflows,... Utiliser les fonctions spécialement conçues par le driver ->quote() (Perl DBI) mysql_escape_string (PHP) magic_quotes (PHP)... Se connecter avec des comptes différents si nécessaire Compte read-only Compte read-write 18 /24

19 Plusieurs niveaux: Sécurité des ERP Sécurité systèmes Sécurité réseau (chiffrement, firewalls, accès distants,...) Sécurité intrinsèque (accès, rôles, interfaces,...) Sécurité de la base de données Télémaintenance Doit être étudiée: Par les équipes fonctionnelles Par les consultants ERP Par l'équipe sécurité 19 /24

20 Exemple : SAP Peu d'études publiques de sécurité sur SAP («La sécurité SAP pour les nuls»): Comptes systèmes créés sur Unix <SID>adm, ora<sid> Privilèges SAP : SAP_ALL S_A.SYSTEM Certaines transactions permettent d'exécuter du code système (SM59, rôle S_RSZ_ADM). 20 /24

21 SAP et Oracle Mot de passe par défaut sur l'utilisateur SAPR3 : SAP Oracle en mode insécurisé remote_os_authent = TRUE Utilisateurs OPS$SIDADM et OPS$ORASID ont le pribilège SAPDBA Pas de restrictions dans le LISTENER 21 /24

22 SAP Router: Télémaintenance SAP Relais TCP générique authentifié Permet d'atteindre toutes les applications du LAN (!) Restrictions Limitations IP Sources Limitations IP Destinations et protocoles Doit être placé dans une DMZ 22 /24

23 Mobiles Sap Waldorf Proxy HTTPS Internet HTTPS IPSEC Sap Router VPN SSL Firewall SAP SAP LAN Infrastructure SAP 23 /24

24 Les SGBD sont: Complexes Conclusions Leur sécurité n'est pas toujours maîtrisée Les risques sont réels et parfois ignorés expériences HSC Il faut sensibiliser la chaîne: appels d'offre/cahier des charges développeurs recettes dba, admins, réseau,... Questions? 24 /24

cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007 A t t a q u e s c o n t r e l e s a p p l i s w e b cedric.foll@(education.gouv.fr laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007 D e l ' u t i l i t é d e l ' a t t a

Plus en détail

Virtualisation et Sécurité

Virtualisation et Sécurité HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet CIO - LMI Virtualisation et Sécurité Alain Thivillon Alain Thivillon

Plus en détail

ORACLE 10G DISTRIBUTION ET REPLICATION. Distribution de données avec Oracle. G. Mopolo-Moké prof. Associé UNSA 2009/ 2010

ORACLE 10G DISTRIBUTION ET REPLICATION. Distribution de données avec Oracle. G. Mopolo-Moké prof. Associé UNSA 2009/ 2010 ORACLE 10G DISTRIBUTION ET REPLICATION Distribution de données avec Oracle G. Mopolo-Moké prof. Associé UNSA 2009/ 2010 1 Plan 12. Distribution de données 12.1 Génération des architectures C/S et Oracle

Plus en détail

Les risques HERVE SCHAUER HSC

Les risques HERVE SCHAUER HSC HERVE SCHAUER HSC Les risques Les risques ne cessent d'augmenter: Informatisation systématique de l'ensemble de la société Ouverture des systèmes d'information sur Internet Démultiplication de ce qui est

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning

Plus en détail

Sécurité des applications Retour d'expérience

Sécurité des applications Retour d'expérience HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon

Plus en détail

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE Référence : BNX_Cible-de-sécurité_CSPN Version : 1.3 Etat : A valider Date : Affaire/projet : Client : BEE WARE Classification : Diffusion projet Bee Ware i-suite Cible de Sécurité CSPN Validation Fonctionnelle

Plus en détail

Vulnérabilités et solutions de sécurisation des applications Web

Vulnérabilités et solutions de sécurisation des applications Web Vulnérabilités et solutions de sécurisation des applications Web Patrick CHAMBET EdelWeb ON-X Consulting patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Eric Larcher RSSI Accor

Plus en détail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est

Plus en détail

Sécurité dans les SGBD

Sécurité dans les SGBD Sécurité dans les SGBD Olivier Perrin IUT Nancy-Charlemagne Département Informatique Université Nancy 2 Olivier.Perrin@loria.fr Plan Introduction sur la sécurité Contrôle d accès Bases statistiques Sécurité

Plus en détail

LES ACCES ODBC AVEC LE SYSTEME SAS

LES ACCES ODBC AVEC LE SYSTEME SAS LES ACCES ODBC AVEC LE SYSTEME SAS I. Présentation II. SAS/ACCESS to ODBC III. Driver ODBC SAS IV. Driver ODBC SAS Universel V. Version 8 VI. Références I. Présentation Introduction ODBC, qui signifie

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration Pierre-Alexandre FUHRMANN Vice-President Global R&D 25 Avril

Plus en détail

La haute disponibilité de la CHAINE DE

La haute disponibilité de la CHAINE DE Pare-feu, proxy, antivirus, authentification LDAP & Radius, contrôle d'accès des portails applicatifs La haute disponibilité de la CHAINE DE SECURITE APPLICATIVE 1.1 La chaîne de sécurité applicative est

Plus en détail

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet Expérience d un hébergeur public dans la sécurisation des sites Web, CCK Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet Plan Introduction Sécurisation des sites Web hébergés a Conclusion Introduction

Plus en détail

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.

Plus en détail

Sécurité de la Voix sur IP

Sécurité de la Voix sur IP HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JTR 2010 Sécurité de la Voix sur IP Jean-Baptiste Aviat Jean-Baptiste

Plus en détail

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse

Plus en détail

SQL MAP. Etude d un logiciel SQL Injection

SQL MAP. Etude d un logiciel SQL Injection Introduction Ce TP a pour but d analyser un outil d injection SQL, comprendre les vulnérabilités d une BD et de mettre en œuvre une attaque par injection SQL. Prise en main du logiciel SQLMap est un outil

Plus en détail

Failles XSS : Principes, Catégories Démonstrations, Contre mesures

Failles XSS : Principes, Catégories Démonstrations, Contre mesures HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Séminaire 15 ans HSC Failles XSS : Principes, Catégories Démonstrations,

Plus en détail

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET http://www.chambet.com

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET http://www.chambet.com Urbanisation des SI Conduite du changement IT 20/03/09 Sécuriser ses Web Services Patrick CHAMBET http://www.chambet.com Bouygues Telecom Direction Gouvernance, Outils et Architecture / Sécurité du SI

Plus en détail

Notes de cours : bases de données distribuées et repliquées

Notes de cours : bases de données distribuées et repliquées Notes de cours : bases de données distribuées et repliquées Loïc Paulevé, Nassim Hadj-Rabia (2009), Pierre Levasseur (2008) Licence professionnelle SIL de Nantes, 2009, version 1 Ces notes ont été élaborées

Plus en détail

Mysql. Les requêtes préparées Prepared statements

Mysql. Les requêtes préparées Prepared statements Mysql Les requêtes préparées Prepared statements Introduction Les prepared statements côté serveur sont une des nouvelles fonctionnalités les plus intéressantes de MySQL 4.1 (récemment sorti en production

Plus en détail

INSTALLATION DE L APPLICATION DU CONTEXTE ITASTE

INSTALLATION DE L APPLICATION DU CONTEXTE ITASTE INSTALLATION DE L APPLICATION DU CONTEXTE ITASTE Le responsable de la société Itaste utilise une application installée sur son poste : elle est programmée en VBA sous Microsoft Access et pourvue d une

Plus en détail

<Insert Picture Here>ApExposé. Cédric MYLLE 05 Février 2008. Exposé Système et Réseaux : ApEx, Application Express d Oracle

<Insert Picture Here>ApExposé. Cédric MYLLE 05 Février 2008. Exposé Système et Réseaux : ApEx, Application Express d Oracle ApExposé Cédric MYLLE 05 Février 2008 Exposé Système et Réseaux : ApEx, Application Express d Oracle Sommaire Introduction Les besoins L outil ApEx Le développement d applications

Plus en détail

Présentation d'un Réseau Eole +

Présentation d'un Réseau Eole + Présentation d'un Réseau Eole + Le Pourquoi du comment... Comprendre les différents types de documentation fournit avec la solution Eole Plus. Novice Confirmé Expert Version 1.0 Mai 2006 Permission est

Plus en détail

La sécurité applicative

La sécurité applicative La sécurité applicative De quoi s'agit-il? Quel en est l'enjeu? Emilien Kia CLUSIR - antenne de Grenoble / UPMF-IUT2 8 juin 2009 La sécurité applicative Introduction : qu'est-ce et pourquoi? Les attaques

Plus en détail

Architectures web/bases de données

Architectures web/bases de données Architectures web/bases de données I - Page web simple : HTML statique Le code HTML est le langage de base pour concevoir des pages destinées à être publiées sur le réseau Internet ou intranet. Ce n'est

Plus en détail

LICENCE PROFESSIONNELLE SYSTEMES INFORMATIQUES & LOGICIELS

LICENCE PROFESSIONNELLE SYSTEMES INFORMATIQUES & LOGICIELS LICENCE PROFESSIONNELLE SYSTEMES INFORMATIQUES & LOGICIELS Contenu détaillé de la spécialité : MESSI : MEtiers de l'administration et de la Sécurité des Systèmes d'information Contenu détaillé de la Licence

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques THEGREENBOW FIREWALL DISTRIBUE TGB::! Pro Spécifications techniques SISTECH SA THEGREENBOW 28 rue de Caumartin 75009 Paris Tel.: 01.43.12.39.37 Fax.:01.43.12.55.44 E-mail: info@thegreenbow.fr Web: www.thegreenbow.fr

Plus en détail

RSX112 Sécurité et réseaux

RSX112 Sécurité et réseaux RSX112 Sécurité et réseaux Module 14 Sécurité des applications Web, annuaires, bases de données 1 CNAM 2007-14/EBU Sécurité des applications Web Projet OWASP (www.owasp.org) Publication de documents FAQ

Plus en détail

Sécurité des Postes Clients

Sécurité des Postes Clients HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des Postes Clients Table ronde CFSSI Jeudi 29 mars 2007 Benjamin

Plus en détail

Infrastructure Management

Infrastructure Management Infrastructure Management Service de Supervision et gestion des infrastructures informatiques DATASHEET Présentation générale Netmind Infrastructure Management (NIM) est un service de supervision et de

Plus en détail

Installation et configuration du CWAS dans une architecture à 2 pare-feux

Installation et configuration du CWAS dans une architecture à 2 pare-feux Installation et configuration du CWAS dans une architecture à 2 pare-feux Sommaire SOMMAIRE... 1 PRE REQUIS DU SERVEUR WEB ACCESS... 2 INSTALLATION DU SERVEUR WEB ACCESS EN DMZ... 3 Installation de base

Plus en détail

Attaques applicatives

Attaques applicatives Attaques applicatives Attaques applicatives Exploitation d une mauvaise programmation des applications Ne touche pas le serveur lui-même mais son utilisation/ configuration Surtout populaire pour les sites

Plus en détail

Installer le patch P-2746 et configurer le Firewall avancé

Installer le patch P-2746 et configurer le Firewall avancé Installer le patch P-2746 et configurer le Firewall avancé SOMMAIRE INTRODUCTION... 2 PRE-REQUIS... 2 MIGRATION DE DONNEES ET DE CONFIGURATION... 2 INSTALLATION... 2 PRINCIPALES EVOLUTIONS FONCTIONNELLES

Plus en détail

Sécurité du cloud computing

Sécurité du cloud computing HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ADIJ 20 janvier 2011 Sécurité du cloud computing Frédéric Connes Frédéric

Plus en détail

SQL Server et Active Directory

SQL Server et Active Directory SQL Server et Active Directory Comment requêter AD depuis SQL Server Comment exécuter des requêtes de sélection sur un Active Directory depuis SQL Server? L'utilisation du principe des serveurs liés adapté

Plus en détail

Présentation d'un Réseau Escolan

Présentation d'un Réseau Escolan Présentation d'un Réseau Escolan Le Pourquoi du comment... Comprendre les différents types de documentation fournit avec la solution Escolan. Novice Confirmé Expert Version 1.0 Mai 2006 Permission est

Plus en détail

Test de HSQLDB et Comparatif avec Sqlite

Test de HSQLDB et Comparatif avec Sqlite Test de HSQLDB et Comparatif avec Sqlite Table des matières 1 - Conditions préalables... 2 2 - Installation de HSQLDB... 2 3 - Premier Test de HSQLDB... 2 4 - Deuxième Test pour bien comprendre :-)...

Plus en détail

Introduction sur les risques avec l'informatique «industrielle»

Introduction sur les risques avec l'informatique «industrielle» HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Introduction sur les risques avec l'informatique «industrielle» Paris,

Plus en détail

MySQL. (Administrateur) (Dernière édition) Programme de formation. France, Belgique, Suisse, Roumanie - Canada

MySQL. (Administrateur) (Dernière édition) Programme de formation. France, Belgique, Suisse, Roumanie - Canada MySQL (Administrateur) (Dernière édition) Programme de formation Microsoft Partner France, Belgique, Suisse, Roumanie - Canada WWW.SASGROUPE.COM Formez vos salariés pour optimiser la productivité de votre

Plus en détail

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2

Plus en détail

JAB, une backdoor pour réseau Win32 inconnu

JAB, une backdoor pour réseau Win32 inconnu JAB, une backdoor pour réseau Win32 inconnu Nicolas Grégoire Exaprobe ngregoire@exaprobe.com, WWW home page : http ://www.exaprobe.com 1 Introduction Le but de cet article est de montrer les possibilités

Plus en détail

Supervision système et réseau avec Zabbix. Anne Facq Centre de Recherche Paul Pascal 17 avril 2008

Supervision système et réseau avec Zabbix. Anne Facq Centre de Recherche Paul Pascal 17 avril 2008 Supervision système et réseau avec Zabbix Anne Facq Centre de Recherche Paul Pascal 17 avril 2008 Supervision avec Zabbix 17/04/2008 RAISIN 2 Plan Introduction Architecture de zabbix Fonctionnalités de

Plus en détail

Technologies du Web. Créer et héberger un site Web. Pierre Senellart. Page 1 / 26 Licence de droits d usage

Technologies du Web. Créer et héberger un site Web. Pierre Senellart. Page 1 / 26 Licence de droits d usage Technologies du Web Créer et héberger un site Web Page 1 / 26 Plan Planification Choisir une solution d hébergement Administration Développement du site Page 2 / 26 Cahier des charges Objectifs du site

Plus en détail

Mobilité et sécurité

Mobilité et sécurité Observatoire de la Sécurité des Systèmes d'information et des Réseaux www.ossir.org Mobilité et sécurité Forum mobilités DSI restez connectés! 20 janvier 2005 Hervé Schauer OSSIR

Plus en détail

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES et après? 3 avril 2012 www.advens.fr Document confidentiel - Advens 2012 Etat des lieux en 2012 Augmentation de la fréquence et de la complexité des attaques

Plus en détail

et Groupe Eyrolles, 2006, ISBN : 2-212-11747-7

et Groupe Eyrolles, 2006, ISBN : 2-212-11747-7 Tsoft et Groupe Eyrolles, 2006, ISBN : 2-212-11747-7 OEM Console Java OEM Console HTTP OEM Database Control Oracle Net Manager 6 Module 6 : Oracle Enterprise Manager Objectifs Contenu A la fin de ce module,

Plus en détail

Table des matières Chapitre 1 Virtualisation, enjeux et concepts Chapitre 2 Ligne de produit XEN

Table des matières Chapitre 1 Virtualisation, enjeux et concepts Chapitre 2 Ligne de produit XEN Table des matières 1 Chapitre 1 Virtualisation, enjeux et concepts 1. Définition et vue d'ensemble....13 1.1 Terminologie et concepts...13 1.2 Bénéfices....15 1.3 Technologies et solutions de virtualisation...16

Plus en détail

Projet Sécurité des SI

Projet Sécurité des SI Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance

Plus en détail

SQL Parser XML Xquery : Approche de détection des injections SQL

SQL Parser XML Xquery : Approche de détection des injections SQL SQL Parser XML Xquery : Approche de détection des injections SQL Ramahefy T.R. 1, Rakotomiraho S. 2, Rabeherimanana L. 3 Laboratoire de Recherche Systèmes Embarqués, Instrumentation et Modélisation des

Plus en détail

Sécurité des réseaux sans fil

Sécurité des réseaux sans fil Sécurité des réseaux sans fil Francois.Morris@lmcp.jussieu.fr 13/10/04 Sécurité des réseaux sans fil 1 La sécurité selon les acteurs Responsable réseau, fournisseur d accès Identification, authentification

Plus en détail

Sécurité des applications web. Daniel Boteanu

Sécurité des applications web. Daniel Boteanu I F8420: Éléments de Sécurité des applications web Daniel Boteanu Architecture des applications web Client légitime Internet HTTP 浀 HTML Server Web 2 Architecture des applications web Client légitime Internet

Plus en détail

TOPOLOGIES des RESEAUX D ADMINISTRATION

TOPOLOGIES des RESEAUX D ADMINISTRATION 1 TOPOLOGIES des RESEAUX D ADMINISTRATION Approches Variables selon le type et la taille de réseaux Réseau local d entreprise Réseau étendu Intranet Réseau hébergeur Réseau «public» (F.A.I., etc.) Poids

Plus en détail

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1

Firewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1 Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité

Plus en détail

FileMaker 13. Guide ODBC et JDBC

FileMaker 13. Guide ODBC et JDBC FileMaker 13 Guide ODBC et JDBC 2004-2013 FileMaker, Inc. Tous droits réservés. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, Californie 95054 FileMaker et Bento sont des marques commerciales de

Plus en détail

Clients et agents Symantec NetBackup 7

Clients et agents Symantec NetBackup 7 Protection complète pour les informations stratégiques de l'entreprise Présentation Symantec NetBackup propose un choix complet de clients et d'agents innovants pour vous permettre d optimiser les performances

Plus en détail

Menaces et sécurité préventive

Menaces et sécurité préventive HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Menaces et sécurité préventive Matinales Sécurité Informatique 18

Plus en détail

1 / Introduction. 2 / Gestion des comptes cpanel. Guide débuter avec WHM. 2.1Créer un package. 2.2Créer un compte cpanel

1 / Introduction. 2 / Gestion des comptes cpanel. Guide débuter avec WHM. 2.1Créer un package. 2.2Créer un compte cpanel Guide débuter avec WHM 1 / Introduction WHM signifie Web Host Manager (ou gestionnaire d'hébergement web). WHM va donc vous permettre de gérer des comptes d'hébergement pour vos clients. (création de compte,

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

Windows Front-End Installation Guide HOPEX V1R1 FR

Windows Front-End Installation Guide HOPEX V1R1 FR Révisé le : 5 novembre 2013 Créé le : 31 octobre 2013 Auteur : Jérôme Horber SOMMAIRE Résumé Ce document décrit les procédures et les paramétrages techniques nécessaires à l'installation, à la mise à jour

Plus en détail

CS REMOTE CARE - WEBDAV

CS REMOTE CARE - WEBDAV CS REMOTE CARE - WEBDAV Configuration des serveurs archange KONICA MINOLTA BUSINESS SOLUTIONS FRANCE Date Version Marque de révision Rédaction 18/10/2011 1 - Claude GÉRÉMIE Nicolas AUBLIN Sommaire 1) PRINCIPE

Plus en détail

Sécurité des réseaux Les attaques

Sécurité des réseaux Les attaques Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques

Plus en détail

PostgreSQL. Formations. Catalogue 2011. Calendrier... 8

PostgreSQL. Formations. Catalogue 2011. Calendrier... 8 Formations PostgreSQL Catalogue 2011 Administration PostgreSQL... 2 PostgreSQL Avancé... 3 PostgreSQL Réplication : Hot Standby... 4 Développer avec PostgreSQL... 5 Migration Oracle vers PostgreSQL...

Plus en détail

E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com

E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com - 5, rue Soutrane - 06560 Valbonne Sophia-Antipolis E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com NQI Orchestra 3.3 - Guide d'installation Linux....................................................................

Plus en détail

Formation en Logiciels Libres. Fiche d inscription

Formation en Logiciels Libres. Fiche d inscription République Tunisienne Ministère de l'industrie et la Technologie - Secrétariat d'état de la Technologie Unité des Logiciels Libres Formation en Logiciels Libres Fiche d inscription (Une fiche par candidat)

Plus en détail

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates! Tom Pertsekos Sécurité applicative Web : gare aux fraudes et aux pirates! Sécurité Le mythe : «Notre site est sûr» Nous avons des Nous auditons nos Firewalls en place applications périodiquement par des

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

Configuration de plusieurs serveurs en Load Balancing

Configuration de plusieurs serveurs en Load Balancing Le serveur de communication IceWarp Configuration de plusieurs serveurs en Load Balancing Version 10.4 27 février 2013 Icewarp France / DARNIS Informatique i Sommaire Configuration de plusieurs serveurs

Plus en détail

Evidian IAM Suite 8.0 Identity Management

Evidian IAM Suite 8.0 Identity Management Evidian IAM Suite 8.0 Identity Management Un livre blanc Evidian Summary Evidian ID synchronization. Evidian User Provisioning. 2013 Evidian Les informations contenues dans ce document reflètent l'opinion

Plus en détail

Les formations. ENI Ecole Informatique

Les formations. ENI Ecole Informatique Titre professionnel : Inscrit au RNCP de niveau I (Bac) (J.O. du 14 avril 2012) 17 semaines page 1/7 Unité 1 : Spécifier, concevoir et réaliser une application n-tiers 7 semaines Module 1 : Algorithme

Plus en détail

Note Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification

Note Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification PLAN Note Technique Sécurité Système d'authentification Authentification hors APN LuxGSM Authentification 3G/APN Système de notification Pré-requis Sécurité et routage des notifications Système d'authentification

Plus en détail

Point de situation et plan d'action du SITEL. Présentation de A. Mokeddem, devant la Commission informatique le 2 octobre 2000

Point de situation et plan d'action du SITEL. Présentation de A. Mokeddem, devant la Commission informatique le 2 octobre 2000 Point de situation et plan d'action du SITEL Présentation de A. Mokeddem, devant la Commission informatique le 2 octobre 2000 1. Point de situation du plan d'action du SITEL (phase 1) 2. Projet de sécurisation

Plus en détail

Fiche Technique. Cisco Security Agent

Fiche Technique. Cisco Security Agent Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit

Plus en détail

COMMANDES SQL... 2 COMMANDES DE DEFINITION DE DONNEES... 2

COMMANDES SQL... 2 COMMANDES DE DEFINITION DE DONNEES... 2 SQL Sommaire : COMMANDES SQL... 2 COMMANDES DE DEFINITION DE DONNEES... 2 COMMANDES DE MANIPULATION DE DONNEES... 2 COMMANDES DE CONTROLE TRANSACTIONNEL... 2 COMMANDES DE REQUETE DE DONNEES... 2 COMMANDES

Plus en détail

Serveur d application WebDev

Serveur d application WebDev Serveur d application WebDev Serveur d application WebDev Version 14 Serveur application WebDev - 14-1 - 1208 Visitez régulièrement le site www.pcsoft.fr, espace téléchargement, pour vérifier si des mises

Plus en détail

Jérôme FESSY. IUT de Paris 5. Base de Données. Cours Introductif. Base de Données

Jérôme FESSY. IUT de Paris 5. Base de Données. Cours Introductif. Base de Données Base de Données Cours Introductif Base de Données Quelques chiffres Évolution annuelle moyenne 2004/2000 15% +20% 12% 5% 0.5% 2000 2004 L3G IA SG mono poste : Part de marché 5% 5% 10% Paradox 65% SG 15%

Plus en détail

PySQLi. Framework d'injection de code SQL

PySQLi. Framework d'injection de code SQL PySQLi Framework d'injection de code SQL Meeting #Hackerzvoice 3 novembre 2012 Plan (1/2) Les camés du SQL TOP 10 OWASP Rappels sur les injections Exploitations possibles Outils (non exhaustif) Sqlmap

Plus en détail

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS DES RESEAUX D ENTREPRISE SO Une sécurité réseau déficiente

Plus en détail

Protection des protocoles www.ofppt.info

Protection des protocoles www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Protection des protocoles DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2

Plus en détail

Créer un rapport pour Reporting Services

Créer un rapport pour Reporting Services Créer un rapport pour Reporting Services Comment créer des rapports pour SSRS Maintenant que nous avons vu que la version de SQL Server 2005 Express Edition with Advanced Services intègre SQL Server Reporting

Plus en détail

Etat des lieux sur la sécurité de la VoIP

Etat des lieux sur la sécurité de la VoIP Etat des lieux sur la sécurité de la VoIP Loic.Castel@telindus.com CHANGE THINGS YOUR WAY Quelques chiffres La téléphonie par IP en général Résultat d une enquête In-Stat sur des entreprises nord-américaines

Plus en détail

Notre Catalogue des Formations IT / 2015

Notre Catalogue des Formations IT / 2015 Notre Catalogue des Formations IT / 2015 Id Intitulé Durée Gestion de projets et méthodes I1101 I1102 I1103 I1104 I1105 I1106 I1107 I1108 I1109 I1110 I1111 I1112 I1113 I1114 I1115 I1116 I1117 I1118 I1119

Plus en détail

«Sécurisation des données hébergées dans les SGBD»

«Sécurisation des données hébergées dans les SGBD» Journée CLUSIR EST 28 septembre 2007 «Sécurité, Virtualisation et Bases de données» «Sécurisation des données hébergées dans les SGBD» Bruno Rasle bruno.rasle@cortina.fr Bruno Rasle Responsable des Offres

Plus en détail

Faille dans Internet Explorer 7

Faille dans Internet Explorer 7 Janvier Faille dans Internet Explorer 7 Une faille a été découverte dans le nouveau navigateur, celle-ci permettrait à un pirate d'insérer du code malicieux. Lorsque le navigateur est lancé, des DLL sont

Plus en détail

RÉCAPITULATIF DES ENJEUX ET DE LA MISE EN PLACE POLITIQUE DE SÉCURITÉ DANS UN RÉSEAU

RÉCAPITULATIF DES ENJEUX ET DE LA MISE EN PLACE POLITIQUE DE SÉCURITÉ DANS UN RÉSEAU 181 RÉCAPITULATIF DES ENJEUX ET DE LA MISE EN PLACE D UNE POLITIQUE DE SÉCURITÉ DANS UN RÉSEAU INFORMATIQUE Aucun réseau informatique n est à l abri d une attaque (volontaire ou non) à sa sécurité (Orange

Plus en détail

Couche application. La couche application est la plus élevée du modèle de référence.

Couche application. La couche application est la plus élevée du modèle de référence. Couche application La couche application est la plus élevée du modèle de référence. Elle est la source et la destination finale de toutes les données à transporter. Couche application La couche application

Plus en détail

Glossaire. Acces Denied

Glossaire. Acces Denied Glossaire Acces Denied Littéralement, Accès refusé. Procédure en vigueur sur les espaces de discussion et permettant aux administrateurs d'interdire l'accès à une personne, en général repérée par son adresse

Plus en détail

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons <ads@intrinsec.com> Jérémie Jourdin <jjn@intrinsec.com>

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons <ads@intrinsec.com> Jérémie Jourdin <jjn@intrinsec.com> Arnaud Desmons Jérémie Jourdin Présentation Motivations Historique Démonstration Présentation fonctionnelle Présentation technique L'interface d'administration Roadmap

Plus en détail

Chapitre 2 Rôles et fonctionnalités

Chapitre 2 Rôles et fonctionnalités 19 Chapitre 2 Rôles et fonctionnalités 1. Introduction Rôles et fonctionnalités Les rôles et fonctionnalités ci-dessous ne sont qu'une petite liste de ceux présents dans Windows Server 2012 R2. 2. Les

Plus en détail

Logiciel Enterprise Guide Version 1.3 Windows

Logiciel Enterprise Guide Version 1.3 Windows Configuration requise Logiciel Enterprise Guide Version 1.3 Windows Ce document indique la configuration requise pour l'installation et l'exécution du logiciel Enterprise Guide. Vous devez mettre votre

Plus en détail

INTRODUCTION AUX SGBD/R LUW

INTRODUCTION AUX SGBD/R LUW INTRODUCTION AUX SGBD/R LUW ( Introduction (Linux/Unix/Windows) à DB2 Connect Réunion du Guide DB2A le vendredi 2 octobre 2009 Croissy-Beaubourg (77) blaise.jm@free.fr AGENDA Venedim Architecture DRDA

Plus en détail

LA PROTECTION DES DONNÉES

LA PROTECTION DES DONNÉES LA PROTECTION DES DONNÉES PROTECTION DES BASES DE DONNÉES 22/11/2012, Swissôtel Métropole INTRODUCTION UNE CIBLE DE CHOIX Contient énormément de données confidentielles Rarement protégée autrement que

Plus en détail

Fonctions avancées de document dans Word 2003 Options de collaboration dans Word 2003

Fonctions avancées de document dans Word 2003 Options de collaboration dans Word 2003 Microsoft Office Généralités Windows XP pour débutants Initiation à Microsoft Windows XP / Getting Started with Microsoft Windows XP Exploitation de Microsoft Windows XP / Up and Running with Microsoft

Plus en détail

ArcGIS 10.1 for Server

ArcGIS 10.1 for Server SIG 2012 - Conférence francophone Esri Versailles, France Atelier Technique - 4 Oct. 2012 ArcGIS 10.1 for Server Gaëtan LAVENU Plan de la présentation La vision Une nouvelle architecture Des nouveaux processus

Plus en détail

WWW.MELDANINFORMATIQUE.COM

WWW.MELDANINFORMATIQUE.COM Solutions informatiques Procédure Sur Comment créer un premier Site SharePoint 2010 Historique du document Revision Date Modification Autor 3 2013-04-29 Creation Daniel Roy 1. But.4 2. Configuration..4

Plus en détail