Homologation ARJEL : Retour d expérience



Documents pareils
Réguler les jeux d'argent : Le rôle de l'autorité Bruxelles le 12 octobre Intervention de M. Jean-François VILOTTE, Président de l ARJEL

SYNTHÈSE DES PROPOSITIONS

1 La base légale de l intervention de l ARJEL

Projet de loi sur l ouverture à la concurrence du secteur des jeux d argent et de hasard en ligne. Jeudi 5 mars 2009

«Baromètre de l enregistrement des joueurs sur les sites agréés en France»

Décrets, arrêtés, circulaires

Compte rendu. Mardi 30 mars 2010 Séance de 14 heures 30. Commission des Finances, de l économie générale et du contrôle budgétaire

CONSULTATION LIVRE VERT DE LA COMMISSION EUROPEENNE. CONTRIBUTION DE WINAMAX Opérateur de Poker en ligne en France

Traçabilité des administrateurs internes et externes : une garantie pour la conformité. Marc BALASKO Ingénieur Avant-vente

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Analyse trimestrielle du marché des jeux en ligne en France

LESPORT ÊTRE VIGILANT POUR PRÉSERVER

Les aspects paiements de la loi sur l ouverture à la concurrence du marché des jeux d argent et de hasard en ligne

La philosophie Ludi. recréer cet esprit chaleureux et amical afin de faire passer des bons moments à ses internautes autour d une même passion.

Guide d utilisation. Version 1.1

Sécurité des applications Retour d'expérience

Bilan 2011 du marché des jeux en ligne en France

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Jeux d argent en ligne

Ouverture à la concurrence et à la régulation du secteur des jeux d argent et de hasard en ligne

Garantir la sécurité de vos solutions de BI mobile

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Can we trust smartphones?

My Poker Manager Guide Utilisateur. Guide Utilisateur

COLLEGE DE L AUTORITE DE REGULATION DES JEUX EN LIGNE

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Analyse trimestrielle du marché des jeux en ligne en France. Autorité de régulation des jeux en ligne Données T2 2013

«Obad.a» : le malware Android le plus perfectionné à ce jour

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Sociologie des joueurs en ligne

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?

PASSI Un label d exigence et de confiance?

27 mars Sécurité ECNi. Présentation de la démarche sécurité

La prévention contre la perte de données (DLP) de Websense offre à votre entreprise les outils dont elle a besoin. Websense TRITON AP-DATA

Site de poker en ligne agréé par l ARJEL Agrément n : 0009-PO Site Internet :

LBPoker. Barrière BarrierePoker.fr est un site de poker en ligne agréé par l Arjel sous le numéro 0023-PO

Le Dossier Médical Personnel et la sécurité

Meilleures pratiques de l authentification:

JEUX EN LIGNE RISQUES ET ENJEUX

Big Data : se préparer au Big Bang

Conditions Générales d Utilisation des Site et Services de Jeux et Paris en ligne proposés par JOAONLINE 12/02/2014

YANN ROUDAUT - Professeur de l Ecole Française de Poker - roudaut@ecolefrancaisedepoker.fr

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI


E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en

Sent: mercredi 27 juillet :16 To: MARKT GAMBLING Subject: Mes remarques sur le livre vert des jeux en ligne

CIMAIL SOLUTION: EASYFOLDER SAE

Management de la sécurité des technologies de l information

Collection «Poker Expert» Sous la direction de François Montmirel. Parution le 3 avril Poker Cash 2

Xi Ingénierie. La performance technologique au service de votre e-commerce. Comment exploiter les cookies sur vos applications web en toute légalité?

Consultation de la Commission Européenne «Livre vert sur les jeux d argent et de hasard en ligne dans le marché intérieur» REPONSE DE LA FBF

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

état des lieux et recommandations

Les définitions suivantes ne s appliquent qu aux présentes Conditions d utilisation du Site API de Preva :

La conformité et la sécurité des opérations financières

Retour d'expérience sur le déploiement de biométrie à grande échelle

Standard de contrôle de sécurité WLA

RSA ADAPTIVE AUTHENTICATION

Intelligence Economique : risques ou opportunités? AMRAE - L exploitation et la reproduction de ce document sont strictement interdites

TPC - Team Poker Championship

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Analyse trimestrielle du marché des jeux en ligne en France. Autorité de régulation des jeux en ligne Données T3 2013

LOIS NOR : BCFX L. CHAPITRE I er. Dispositions relatives à l ensemble du secteur des jeux d argent et de hasard. Article 1 er.

I SITUATION ET PERSPECTIVES DE LA LIBÉRALISATION DU SECTEUR DES JEUX D ARGENT EN LIGNE

Jeux d argent en ligne. Quelques résultats

Collection «Poker Expert» Sous la direction de François Montmirel. Parution le 25 février Poker Cash 1

THE EUROPEAN LOTTERIES CODE DE CONDUITE SUR LES PARIS SPORTIFS

Analyse trimestrielle du marché des jeux en ligne en France. Autorité de régulation des jeux en ligne Données T4 2014

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection

Déploiement de l iphone et de l ipad Gestion des appareils mobiles (MDM)

Retour d expérience sur Prelude

CQP Développeur Nouvelles Technologies (DNT)

Intervention au Colloque de Bruxelles du jeudi 31 octobre 2013 (Mallorie Trannois)

Technologie data distribution Cas d usage.

Vulnérabilités et sécurisation des applications Web

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

LES OGRINES. Alors oui : on sait! Les Ogrines, c est simple mais il faut expliquer pendant longtemps

Votre inscription ou demande de création de compte sur le Site Eurosportbet, implique l adhésion aux présentes conditions générales d utilisation.

- d établir un panorama de la situation des jeux dans le marché intérieur, - de faciliter l échange de bonnes pratiques entre les États membres,

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

Angoulême Poker Club. Compétitions online et live

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

- un jeu de K cartes représentées par des nombres C 1, C 2 à C K avec K entier strictement

1. Le m-paiement. 2. Le régime juridique du m- paiement. 3. Le m-paiement et les failles de sécurité

APPLICATIONS MOBILES Catalogue de services Econocom-Osiatis

Trusteer Pour la prévention de la fraude bancaire en ligne

TERA Analytics FEVRIER 2010

responsabilité engagements

Déploiement d iphone et d ipad Gestion des appareils mobiles (MDM)

LOGO Smartphones, tablettes, et autres gadgets quel impact sur notre métier d ASR

LE POKER, INTERNET ET LE DROIT

Le contrat Cloud : plus simple et plus dangereux

ITIL V2. La gestion des mises en production

Rapport de certification

Analyse statique de code dans un cycle de développement Web Retour d'expérience

Transcription:

Homologation ARJEL : Retour d expérience Ossir Paris / Juin 2013 Thibaud Binétruy Consultant Sécurité Thibaud.Binetruy@intrinsec.com 1

Homologation ARJEL : Retour d expérience Intrinsec? Petite présentation! 2

Intrinsec - Présentation Thibaud Binétruy Consultant Sécurité Travaille pour Intrinsec depuis 3 ans ½ Spécialisé en sécurité applicative Intrinsec : acteur historique de la sécurité des SI (1995) Vieux briscard du pentest Paris Strasbourg Métiers Hébergement & infogérance de SI Sécurité de l information ~30 personnes Certificateur ARJEL depuis le 16/12/2010 Nantes Lyon Réalisations ARJEL Certifications Homologations 3

Homologation ARJEL : Retour d expérience Et l ARJEL? Qu est ce que c est? 4

ARJEL Définition / Présentation ARJEL : Autorité de Régulation des Jeux en Ligne Concerne les paris sportifs, les paris hippiques et les jeux de cercle (Poker) Création en 2010 Ouverture du marché des jeux en ligne LOI n 2010-476 du 12 mai 2010 relative à l'ouverture à la concurrence et à la régulation du secteur des jeux d'argent et de hasard en ligne 5 missions principales Délivrer des agréments et s assurer du respect des obligations par les opérateurs Protéger les populations vulnérables, lutter contre l addiction S assurer de la sécurité et de la sincérité des opérations de jeux Lutter contre les sites illégaux Lutter contre la fraude et le blanchiment d argent Sélection de certificateurs agréés (16 déclarés officiellement) chargés de Réaliser les certifications annuelles des opérateurs Réaliser les homologations des logiciels de jeux 5

ARJEL Définitions Capteur Frontal Elément enregistrant toutes les actions des joueurs (inscription, paris, ) Positionné en coupure entre le joueur et la plateforme de jeu Chargé de vérifier les interdits de jeu en interrogeant un référentiel avec le protocole DNS Enregistrement des événements au format XML suivant une grammaire spécifique Stockage des données dans un coffre fort numérique accessible directement par l ARJEL Doit être développé par l opérateur Coffre Fort Entrepôt pour les traces des joueurs Doit avoir obtenu une CSPN Logiciel de jeu Application ou programme mis à disposition par l opérateur aux utilisateurs afin d interagir avec la plateforme de jeux Peut être de type : client léger (Web), client lourd, mobile (Android, ios ) Tout nouveau logiciel doit être homologué Toute modification importante doit entrainer une nouvelle homologation 6

Homologation ARJEL : Retour d expérience Certification vs Homologation 7

Certification vs Homologation La première certification est réalisée à 6 mois Audit de configuration de la plateforme d hébergement du frontal Test d intrusion et audit de code du capteur Analyse de la conformité des traces stockées dans le coffre-fort Les certifications doivent ensuite être réalisées tous les ans Pour la 1 ère certification (6 mois après) et uniquement pour celle-ci Analyse du suivi des recommandations de la certification à 6 mois Pour les autres certifications Audit de configuration / Audit de code «intrusif» sur le frontal Analyse de la conformité des traces Audit de configuration de la plateforme de jeu Audit de code «intrusif» des applications présentes dans le périmètre o Sauf des applications possédant une homologation Audit financier et légal par un cabinet d avocat et un cabinet de comptabilité En cas d «oubli» l opérateur peut perdre son agrément Ex: France-Pari-Sportif décision N 2012-06 du 16 avril 2013 de la Commission des sanctions 8

Certification vs Homologation Les homologations concernent tous les logiciels de jeu Ce sont des prestations TECHNIQUES «Trop de rapports réalisés par des prestataires opportunistes» En cas de modification, l ARJEL décide ou non de procéder à une nouvelle homologation Un logiciel de jeu spécifique à un support (tablette, mobile ) doit être considéré comme un nouveau logiciel de jeu D après le DET: «les vulnérabilités des logiciels de jeu détectées lors des différents audits des certifications annuelles devront impérativement être corrigées ou leur exploitation rendue impossible» Les actions à réaliser sont les suivantes Un audit de code «intrusif» de l application Une analyse du PRNG si concerné Une analyse de la bonne implémentation des règles de jeu si concerné (ex: Poker) 9

Certification vs Homologation Les logiciels de jeux doivent communiquer avec le frontal Pour enregistrer les événements de jeux des utilisateurs Pour assurer la gestion des interdits de jeux Les logiciels de jeux doivent afficher les messages de sensibilisation Pour rappeler aux joueurs que «jouer comporte des risques» Les logiciels de jeux doivent implémenter des limites de paris Pour éviter limiter les joueurs compulsifs Les logiciels de jeux ne doivent pas être vulnérables à des failles techniques 10

Homologation ARJEL : Retour d expérience Dallas ton univers impitoyable 11

Dallas ton univers impitoyable Possibilité d utiliser des logiciels de jeux développés par des prestataires étrangers Exemple d un prestataire dont les équipes sont basés dans des pays de l Europe de l Est Difficulté afin d accéder aux sources des applications (secret de fabrication, etc.) Barrière de la langue «On les soupçonne d être un peu trop dans l univers gris du jeu» Les audits ARJEL sont imposés par la loi Les opérateurs tentent souvent de négocier toutes les vulnérabilités identifiées «Si je corrige vite on est obligé de le mentionner dans le rapport?» Des clients qui refusent de payer si les livrables ne sont pas validés par l ARJEL 12

Homologation ARJEL : Retour d expérience Contraintes «légales» 13

Certification vs Homologation Intrinsec n a jamais constaté de manquement aux contraintes de base Les logiciels de jeux communiquent correctement avec le frontal Les architectures sont conçues pour qu il ne soit pas possible de faire autrement Les messages de sensibilisation sont toujours affichés sur les logiciels Permet de rassurer les utilisateurs en affichant le logo ARJEL Les logiciels de jeux implémentent tous les limitateurs Aucun défaut permettant de contourner ces limites n a été constaté 14

Homologation ARJEL : Retour d expérience Tests sur le PRNG 15

Tests sur le PRNG Ce qu Intrinsec réalise actuellement Génération d un très grand nombre de «seeds» collectées à la sortie du PRNG Utilisation de la suite DieHarder de Robert G. Brown sur ces «seeds» Transformation des seeds en tas de cartes mélangés (réduction sur 52 cartes) Analyse en utilisant l algorithme X² (Khi carré) Analyse du code source de la transformation des «seeds» Parfois difficile d obtenir des captures du code «C est bien mais pas suffisant» Groland L ARJEL, soucieuse sur ce point là, ne se satisfait pas de ces tests Khi² ne teste que l équiprobabilité de la 1ere carte d un tas mais pas la suite du tas Mais pas d autres solutions proposées par l ARJEL Le certificateur doit proposer des tests lui même 16

Homologation ARJEL : Retour d expérience Analyse des règles de jeu 17

Analyse des règles de jeu Concerne les applications de Poker Validation des règles de jeu énoncés dans les CGU Analyse des CGU puis réalisation des tests sur l application Le consultant doit «jouer» au poker (peut paraitre fun mais ) Difficulté pour recréer certains cas bien précis Split des pots Relance dite «invalide» Défauts principalement rencontrés Pas de violation flagrante des règles de jeu Bug d affichage empêchant un jeu normal (les applications testées sont souvent non finies) Cartes ne s affichant pas correctement ou pas du tout Plantage en cours de jeu 18

Homologation ARJEL : Retour d expérience Audit de code intrusif 19

Audit de code intrusif : possibilité de triche Vulnérabilité la plus critique identifiée par Intrinsec sur le backend d une application mobile Les web services, non modifiés depuis la dernière homologation, étaient hors scope Possibilité de triche Possibilité de «rebuy» en tournoi de manière infinie Facile de gagner à tous les coups en faisant tapis systématiquement Vulnérabilité «backend» Deux web services: 1 pour les rebuy en «cash game» et 1 pour les rebuy en tournoi Appel du mauvais web service lors des tournois Défaut de vérification coté backend Défaut non identifié lors de l homologation des web services Comment l a-t-on identifié? 20

Audit de code intrusif : possibilité de triche Un peu comme ça 21

Audit de code intrusif : SSL mon amour Etude montrant que beaucoup d applications mobiles ne valident jamais les certificats https://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf Les applications mobiles de jeux en ligne ne sont pas épargnées La totalité des applications mobiles auditées par Intrinsec étaient vulnérables Possibilité d intercepter les flux à l insu de l utilisateur 22

Audit de code intrusif : SSL mon amour 1 Première raison : l utilisation de certificats auto-signés sur les environnements de recette Implémentation d un «bypass» des erreurs de certificat pour le développement Oubli de cette implémentation lors de la livraison de l application 23

Audit de code intrusif : SSL mon amour 2 Deuxième raison : on recopie un bout de code trouvé sur le net Comment on gère le chiffrement SSL avec Apache HTTPClient? Regarde donc sur Stack Overflow 24

Audit de code intrusif : SSL mon amour 3 Troisième raison: utilisation d une bibliothèque douteuse «La validation des certificats c est useless surtout sur mobile» 25

Audit de code intrusif : SSL mon amour 3 26

Audit de code intrusif : SSL mon amour 3 27

Audit de code intrusif : SSL mon amour 3 Validation des certificats pour le moins étrange Si le certificat est invalide soit l utilisateur accepte le défaut et tout est envoyé normalement Soit la requête est effectuée mais sans les «credentials» (authent HTTP!= FORM) 28

Audit de code intrusif : SSL mon amour 3 29

Audit de code intrusif : «Aie confiance» Le paiement «in-app» au sein d une WebView L utilisateur ne peut pas vérifier l URL L utilisateur ne peut pas vérifier le certificat Va à l encontre de toutes les sensibilisations réalisées par les banques 30

Audit de code intrusif : «Aie confiance» Problématique reconnue mais tolérée par l ARJEL 31

Audit de code intrusif : les mots de passe? «Les mots de passe c est chiant à retenir» Madame Michu Sur un secteur à forte concurrence on a tendance à prendre soin des clients On propose donc d enregistrer les identifiants sur le terminal Problème: un mobile ça se vole facilement 32

Audit de code intrusif : les mots de passe? Question de l auditeur chiant au développeur de l application «Comment vous stockez les mots de passe sur le terminal?» 33

Audit de code intrusif : les mots de passe? Réponse du développeur à l auditeur chiant «Boah, dans le truc standard où on stocke les machins des applications!» Intrinsec n a jamais constaté de chiffrement des identifiants sur les terminaux mobiles 34

Audit de code intrusif : les mots de passe? Pas de «keychain» sur Android Désactivation de la fonction de stockage des identifiants sur le terminal Certains opérateurs appliquent cette recommandation ios met à disposition un keychain chiffré avec une clé dérivée du PIN du terminal Le keychain est difficile à utiliser, Apple met à disposition un «wrapper» pour l utiliser Wrapper non inclus dans la bibliothèque «CoreFoundation» Peu utilisé par les développeurs 35

Audit de code intrusif : les mots de passe? Le stockage des identifiants de manière non «sécurisée» est toléré par l ARJEL 36

Homologation ARJEL : Retour d expérience Bonus 37

Bonus Les jeux d argent et de hasard ne sont pas autorisés sur le Play Store Android Est-ce que ça arrête les opérateurs? 38

Bonus Non 39

Bonus Cette problématique est également autorisée par l ARJEL 40

Homologation ARJEL : Retour d expérience Conclusion: «La sécurité est un échec?» 41

Conclusion Les risques de fraude et de blanchiment d argent sont plutôt limités La traçabilité des actions utilisateur est plutôt dissuasive Les audits permettent d identifier les cas de triches possibles L ARJEL est pointilleuse concernant la validation du PRNG La protection des personnes vulnérables est plutôt bien gérée L ARJEL est très pointilleuse sur les interdits de jeux Des messages de sensibilisation imposés dans les logiciels de jeu La sécurité informationnelle des utilisateurs est plutôt légère (pour le moment) Toutes les vulnérabilités identifiées ne sont pas forcément corrigées Difficulté pour tout faire appliquer d un coup La criticité des défauts de sécurité est revue chaque année par l ARJEL Nécessité de tenir compte des exigences des utilisateurs et des opérateurs 42

Merci de votre attention Questions? 43

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back