Applications Facebook : Quels Risques pour l Entreprise?

Documents pareils
Découvrir les vulnérabilités au sein des applications Web

Présenté par : Mlle A.DIB

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

Protection rapprochée contre les Cyber-Attaques de nouvelle génération

Résultats test antivirus ESIEA

BIG DATA APPLIQUÉES À LA SÉCURITÉ. Emmanuel MACÉ Akamai Technologies

Contrôle parental NOTE AUX PARENTS. Vita avant d autoriser votre enfant à jouer. Régler le contrôle parental sur le système PlayStation

Sécurité et Consumérisation de l IT dans l'entreprise

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

Les rootkits navigateurs

Symantec CyberV Assessment Service

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

Sécurité des applications web. Daniel Boteanu

Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4)

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

Sécurité des Postes Clients

Cisco Identity Services Engine

Les marchés Security La méthode The markets The approach

Gestion des menaces. Un White Paper Trend Micro I Février 2008

Sécurité des applications Retour d'expérience

Vulnérabilités et sécurisation des applications Web

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Le marché des périphérique mobiles

Tendances et défenses

ITIL pour les PME/PMI LIVRE BLANC SUR LES MEILLEURES PRATIQUES

Présentation CERT IST. 9 Juin Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME

L'infonuagique, les opportunités et les risques v.1

Présentation de la solution Open Source «Vulture» Version 2.0

Création d un «Web Worm»

Défense & médias sociaux La perspective belge

Infrastructure technique de géodonnées. Technische Geodateninfrastruktur. Cédric Moullet Forum e-geo.ch, 15. November 2013

Rapport de certification

Introduction aux antivirus et présentation de ClamAV

Découvrir et bien régler Avast! 7

«Evolution des menaces de sécurité et lutte contre les cyber attaques» Mathieu Vialetay, CISSP. Security Consultant, North Africa Tlemcen, juin 2013

The Path to Optimized Security Management - is your Security connected?.

La Sécurité des Données en Environnement DataCenter

CLOUD COMPUTING et Relation Client/Fournisseur Une Révolution culturelle?

Gestion des Incidents SSI

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

Les vols via les mobiles

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

Introduction à la Sécurité Informatique

Outil d aide à la vente

Sécuriser l entreprise étendue. La solution TRITON de Websense

JAB, une backdoor pour réseau Win32 inconnu

AGENT LÉGER OU SANS AGENT. Guide des fonctionnalités Kaspersky Security for Virtualization

TENDANCE BYOD ET SECURITE

Symantec MessageLabs Web Security.cloud

Dans les médias numériques!

Analyse statique de code dans un cycle de développement Web Retour d'expérience

Section I: Le Contexte du DATA CENTER Pourquoi l AGILITE est Nécessaire dans le DataCenter

Etat de l art des malwares

L entreprise face à la Cybercriminalité : menaces et enseignement

Michel TCHONANG LINZE Coordonnateur Région Afrique Centrale ACSIS - CAPDA capdasiege@gmail.com

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Bilan 2008 du Cert-IST sur les failles et attaques

Fiche Technique. Cisco Security Agent

Les bonnes pratiques des réseaux sociaux. Le guide de la préfecture de Police

Sécurisation du site web de la FFT

10 façons d optimiser votre réseau en toute sécurité

Impression de sécurité?

Cartographie des risques des réseaux sociaux v6. Clément Gagnon Tactika inc

Hébergement MMI SEMESTRE 4

BeEF : Browser Exploitation Framework

Jean-Nicolas Piotrowski, Dirigeant Fondateur d ITrust

Trend Micro Worry-Free Business Security 8.0 Première installation : trucs et astuces

EXIN Cloud Computing Foundation

VOLET 4 SECURITY BULLETIN KASPERSKY LAB. Prévisions 2015 (C) 2013 KASPERSKY LAB ZAO

Avira Professional Security Migrer vers Avira Professional Security version HowTo

Indicateur et tableau de bord

Un concentré de problèmes à l'usage de tous? Éric Hazane. Cédric Blancher

ASECRO PROFIL DE L ENTREPRISE. Web & App design Hosting Domain Cloud Encryption CDN SNS Software Development

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

Module de sécurité Antivirus, anti-spam, anti-phishing,

Stratégie nationale en matière de cyber sécurité

Quatre axes au service de la performance et des mutations Four lines serve the performance and changes

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

Trusteer Pour la prévention de la fraude bancaire en ligne

Jahia. Guillaume Monnette École Ingénieurs 2000 Marne-La-Vallée IR3

Mysql. Les requêtes préparées Prepared statements

Lieberman Software Corporation

ERA-Net Call Smart Cities. CREM, Martigny, 4 décembre 2014 Andreas Eckmanns, Responsable de la recherche, Office Fédéral de l énergie OFEN

Stratégies de protection de l information

La sécurité IT - Une précaution vitale pour votre entreprise

La gestion du risque et les réseaux sociaux v10

Cybercriminalité en 2014 : intelligente, dangereuse et furtive. Comment s'en prémunir?

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Primer LE CLOUD COMPUTING DÉMYSTIFIÉ PME ET CLOUD COMPUTING : 5 IDÉES REÇUES

.Réinventons l innovation.

Qualité et ERP CLOUD & SECURITY (HACKING) Alireza MOKHTARI. 9/12/2014 Cloud & Security

Transcription:

Applications Facebook : Quels Risques pour l Entreprise? François-Xavier Bru 1 Guillaume Fahrner 1 Alban Ondrejeck 2 1 Mastère Spécialisé en Sécurité des Systèmes d Information, Télécom Bretagne {fx.bru,guillaume.fahrner}@telecom-bretagne.eu 2 Orange Consulting alban.ondrejeck@orange-ftgroup.com 10 juin 2010

Agenda 1 Introduction 2 Applications Peu Sécurisées Applications Vulnérables Applications Malveillantes 3 Diffusion d une Application Stratégie de Diffusion Développement de l Application Mise en Œuvre de la Diffusion Résultats 4 Recommandations 5 Conclusion

Introduction Un succès croissant Des utilisateurs variés Une nature favorisant les échanges

Une Plate-Forme de Développement Peu Sécurisée 1: requête initiale 4: requête API Facebook Platform 2: réponse FP 5: réponse API Utilisateur 3: requête contenu iframe Serveur distant 6: contenu iframe

Applications Vulnérables Des Applications Vulnérables Constat Trop d applications pour permettre une validation de leur sécurité. Injection SQL, modification HTTP/POST, XSS, etc. Combien d autres applications populaires sont vulnérables?

Applications Malveillantes Des Applications Malveillantes Constat Trop d applications pour vérifier si elles sont malveillantes ou non. Combien d applications sont malveillantes sans que personne ne le sache?

Diffusion d une Application Une bonne diffusion peut être utile à : Une entreprise, dans un but commercial Un attaquant, pour toucher un maximum d utilisateurs Les possibilités offertes par Facebook sont impressionnantes 400000000 350000000 300000000 250000000 200000000 150000000 nombre d'installations 100000000 50000000 0 0 1 2 3 4

Stratégie de Diffusion Principe de la Stratégie de Diffusion Primordiale en amont du développement Que cherche-t-on à faire? Pourquoi veut-on le faire? Comment va-t-on le faire? Définit la cible à atteindre Victimes ou clientèle potentielle? Centre d intérêts? Tranche d âge? Dans le cas de notre étude : But : récolter un maximum de données personnelles Comment : relayage social (murs, notifications) Cible : le plus de monde possible Entre 15 et 25 ans Francophones Anglophones Fonctionnalités : utiles et amusantes

Introduction Applications Peu Se curise es Diffusion d une Application Recommandations Conclusion De veloppement de l Application Who Crashed You? Franc ois-xavier Bru, Guillaume Fahrner, Alban Ondrejeck Applications Facebook : Quels Risques pour l Entreprise?

Mise en Œuvre de la Diffusion Création de Profils Fictifs Profils fictifs comme rampe de lancement Caractéristiques dépendantes de la stratégie de diffusion Les mécanismes sociaux de Facebook permettent de : Repérer les cibles selon une tranche d âge, un parcours, des intérêts D envoyer rapidemment des ajouts à la liste d amis (sans CAPTCHA) Bénéficier d un effet boule de neige grâce aux amis communs Dans le cadre de notre étude : 21 profils fictifs créés 5043 demandes envoyés Taux de retour de 38,6%

Mise en Œuvre de la Diffusion Efficacité des Profils Fictifs Type de profil Avatar Orientation avatar Acceptations Réaliste Crédible Aguichant 51 % Réaliste Crédible Neutre 42 % Réaliste Fantaisiste Neutre 17 % Fantaisiste Fantaisiste Neutre 14 % Citation représentative On a dû se côtoyer, vu la proximité de nos parcours, Allain A.

Résultats Courbe d Evolution 6000 5000 4000 3000 profils impactés 2000 1000 0 0 12 24 36 48

Résultats Données Récoltées Type d informations Récolte Date d anniversaire 89,10% Centres d intérêt 24,86% Opinions politique 17,94% Parcours professionnel 17,47% Orientation sexuelle 0,76% Religion 0,65%

Résultats Réaction de Facebook Aucun contrôle pendant le développement Aucun contrôle pendant la diffusion Manifestation seulement après réaction des utilisateurs (signaler cette application) Aucune sanction définitive, possibilité de recréer une application identique avec un autre nom Base de signatures des applications malveillantes?

Quelques Recommandations Les réseaux sociaux apportent de nouveaux risques Les politiques de sécurité doivent être adaptées Tout interdire? Difficile d un point de vue relationnel Difficile à mettre en place (proxys web) Incite à contourner la politique de sécurité Le point central est la formation Quels sont les risques des SN? Qui peut accéder à vos données? Comment paramétrer son profil? Éviter les contacts inconnus Éviter les applications tierces Utiliser les applications à son avantage?

Conclusion Les réseaux sociaux sont effectivement dangereux : Ils forment de nouveaux vecteurs de propagation de malwares Les utilisateurs gèrent mal leurs données personnelles De nombreuses attaques sont possibles, notamment par les applications tierces Mais ces dangers sont plus faibles qu on ne le pense : Un minimum de sensibilisation écarte la plupart des risques Diffuser une application malveillante n est pas si simple... Il est possible de tourner ces réseaux à l avantage de l entreprise

Références Winder, D. : Being virtual : who you really are online. John Wiley & Sons Ltd. p. 211 (2008) Jakobsson, M., Ramzan, Z. : Crimeware : Understanding New Attacks and Defenses. Symantec Press pp. 55 77 (2008) Baltazar, J., Costoya J., Flores, R. : The Real Face of KOOBFACE : The Largest Web 2.0 Botnet Explained. Trend Micro Threat Research (2009) IT Governance Research Team : How to Use Web 2.0 and Social Networking Sites Securely. IT Governance Publishing p. 10 (2009) Athanasopoulos, E., Makridakis, A., Antonatos, S., Antoniades, D., Ioannidis, S., Anagnostakis, K. G., Markatos, E. P. : Antisocial Networks : Turning a Social Network into a Botnet. Foundation for Research & Technology Hellas (2008)

Références Graham, W. : Facebook API Developers Guide. Apress pp. 20 28 (2008) Fogg, B. J., Iizawa, D. : Online Persuasion in Facebook and Mixi : A Cross Cultural Comparison. In : Persuasive Technology : Third International Conference, Springer pp. 35 46 (2008) Bitan, H. : Droit des créations immatérielles. Lamy p. 120 (2010) Fong, P. W. L., Anwar, M., Zhao, Z. : A Privacy Preservation Model for Facebook-Style Social Network Systems. In : ESORICS 2009 14th European Symposium on Research in Computer Security, Springer pp. 303 320 (2009) Rutledge, P.-A. : The Truth about Profiting from Social Networking. FT Press pp. 87 103 (2008)

Questions

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back