![Page 1: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/1.jpg)
AuthentificationsGestion des Sessions Gestion des Sessions
Contrôle d'Accès
Le point de vue d' OWASP ASVS (Application Security Verification Standard )
Geneva Application Security Forum 4 mars 2010
![Page 2: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/2.jpg)
Philippe Léothaud : chez BeeWare depuis 2003, d'abord en charge de l'offre Web SSO puis CTO depuis 2006
Bee Ware : – éditeur d'un WAF depuis 2001– solution de WebSSO depuis 2003– outil d'Application Security Assessment depuis 2005 – Gateway XML complète depuis 2007– Gateway XML complète depuis 2007
Aujourd'hui, regroupement de toutes ces fonctionnalités sur une plate-forme unique : i-Suite
But : fournir aux Systèmes d'Information une gamme de modules pilotés par une console centralisée couvrant l'intégralité des besoins techniques des infrastructures applicatives métier :
Geneva Application Security Forum 4 mars 2010
des besoins techniques des infrastructures applicatives métier : – sécurité– contrôle d'accès– manipulation des flux – optimisation de la bande passante – haute disponibilité et répartition de charge – audit et monitoring des flux.
![Page 3: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/3.jpg)
Qu'est-ce que ASVS
� Unité de mesure du niveau de sécurité d'une application Web Liste exhaustive des contrôles à mettre en place pour � Liste exhaustive des contrôles à mettre en place pour garantir un niveau de sécurité donné
� Base d'exigences pour la contractualisation des vérifications de sécurité.
Geneva Application Security Forum 4 mars 20103
![Page 4: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/4.jpg)
Quelles réponses apporte l'ASVS
� Quels contrôles de sécurité sont nécessaires pour garantir à mon application le niveau de sécurité attendu ?
� Quelles doivent être les parties couvertes et le niveau d'exigence lors de ces contrôles de sécurité ?
� Quel est le niveau de sécurité d'une application Web ?
Geneva Application Security Forum 4 mars 20104
![Page 5: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/5.jpg)
Exigences de vérification de l'ASVS
� Exigences d'architecture
� Exigences de vérification de la sécurité
Geneva Application Security Forum 4 mars 20105
� Liste détaillée des vérifications à effectuer, par niveau
![Page 6: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/6.jpg)
Exigences de reporting de l'ASVS
� R1 –Introduction
� R2 – Description de l'application
� R3 – Approche architecturale
� R4 – Résultats de la vérification
Geneva Application Security Forum 4 mars 20106
![Page 7: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/7.jpg)
Les niveaux de vérification de l'ASVS
The linked image cannot be displayed. The file may have been moved, renamed, or deleted. Verify that the link points to the correct file and location.
Geneva Application Security Forum 4 mars 20107
![Page 8: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/8.jpg)
Définition des niveaux
� Niveau 1 – Vérification automatisée (vérification partielle de l'application)
− Niveau 1A –Scan dynamique− Niveau 1A –Scan dynamique− Niveau 1B – Analyse du code source
� Niveau 2 – Vérification manuelle (vérification partielle de l'application)
− Niveau 2A – Test d'intrusion− Niveau 2B – Revue de code
� Niveau 3 – Vérification de la conception
Geneva Application Security Forum 4 mars 2010
� Niveau 3 – Vérification de la conception
� Niveau 4 – Vérification des fonctions internes
8
![Page 9: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/9.jpg)
Niveau 1 en détail
� Vérification automatisée en «boite noire» de l'application noire» de l'application vue soit comme un tout, soit comme un groupe de composants
� Le chemin d'une requête à travers l'application n'a pas
Geneva Application Security Forum 4 mars 20109
l'application n'a pas besoin d'être documenté
![Page 10: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/10.jpg)
Niveau 1A et niveau 1B
� Niveau 1A
Analyse dynamique partielle
� Niveau 1B
Analyse partielle du code source
Geneva Application Security Forum 4 mars 201010
Les 2 sont nécessaires pour obtenir un niveau 1 complet
![Page 11: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/11.jpg)
Niveau 2 en détail
� Vérification manuelle d'une application vue comme un groupe de comme un groupe de composants organisés selon une architecture de haut niveau
� Les chemins des requêtes testées à travers l'application
Geneva Application Security Forum 4 mars 201011
travers l'application doivent être documentés
![Page 12: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/12.jpg)
Niveau 2A et niveau 2B
� Niveau 2A
Tests de pénétration manuels � Niveau 2B
Revue manuelle du code source
Geneva Application Security Forum 4 mars 201012
Les 2 sont nécessaires pour obtenir un niveau 2 complet.
![Page 13: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/13.jpg)
Niveau 3 en détail
� En plus du niveau 2, modélisation des menaces contre les
The linked image cannot be displayed. The file may have been moved, renamed, or deleted. Verify that the link points to the correct file and location.
menaces contre les assets critiques et vérification de la conception
� Tous les chemins des requêtes à travers l'application doivent être
Geneva Application Security Forum 4 mars 201013
l'application doivent être documentés
![Page 14: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/14.jpg)
Niveau 4 en détail
� En plus du niveau 3, prise en compte du code des librairies et
The linked image cannot be displayed. The file may have been moved, renamed, or deleted. Verify that the link points to the correct file and location.
code des librairies et des frameworks
Geneva Application Security Forum 4 mars 201014
![Page 15: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/15.jpg)
ASVS dans le Cycle de Vie des Développements
Geneva Application Security Forum 4 mars 201015
![Page 16: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/16.jpg)
Les 14 familles d’exigences
� V1. Architecture sécurisée
� V2. Authentification
V3. Gestion de Sessions
� V9. Protection des données
� V10. Sécurité des voies de � V3. Gestion de Sessions
� V4. Contrôle d'accès
� V5. Validations des entrées
� V6. Encodage et échappement des sorties
� V7. Cryptographie
V8. Gestion des erreurs et
� V10. Sécurité des voies de communications
� V11. Sécurité de HTTP
� V12. Configuration de la sécurité
� V13. Recherche de codes malicieux
Geneva Application Security Forum 4 mars 2010
� V8. Gestion des erreurs et de la journalisation
� V14. Sécurité interne
16
![Page 17: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/17.jpg)
Authentification
« Les exigences de vérification d'authentification définissent un ensemble d'exigences pour générer etgérer les jetons d'authentification utilisateur de manière sûre »gérer les jetons d'authentification utilisateur de manière sûre »
Geneva Application Security Forum 4 mars 201017
![Page 18: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/18.jpg)
Authentification
Geneva Application Security Forum 4 mars 201018
![Page 19: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/19.jpg)
Authentification
Geneva Application Security Forum 4 mars 201019
![Page 20: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/20.jpg)
Gestion des sessions
« Les exigences de vérification de gestion des sessions, définissent un ensemble d'exigences pour utiliser de manière sûre : requêtes HTTP, réponses, sessions, cookies, en-têtes sûre : requêtes HTTP, réponses, sessions, cookies, en-têtes (headers) et la journalisation de sorte à gérer les sessions correctement.
Le tableau ci-dessous définit les exigences de vérification correspondantes s'appliquant aux quatre niveaux de vérification »
Geneva Application Security Forum 4 mars 201020
![Page 21: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/21.jpg)
Gestion des sessions
Geneva Application Security Forum 4 mars 201021
![Page 22: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/22.jpg)
Gestion des sessions
Geneva Application Security Forum 4 mars 201022
![Page 23: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/23.jpg)
Contrôle d’accès
« Ces exigences définissent les points requis de vérification de contrôles d'accès pour les URLs, les fonctionnalités commerciales, les données, les services ainsi que les fichiers. commerciales, les données, les services ainsi que les fichiers.
Le tableau ci-dessous définit les exigences de vérification correspondantes qui s'appliquent pour chacun des quatre niveaux de vérification »
Geneva Application Security Forum 4 mars 201023
![Page 24: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/24.jpg)
Contrôle d’accès
Geneva Application Security Forum 4 mars 201024
![Page 25: 2010 - Intégration de l'authentification: les mesures proposées par OWASP](https://reader033.vdocuments.pub/reader033/viewer/2022052901/557013ccd8b42ac0178b4f1c/html5/thumbnails/25.jpg)
Contrôle d’accès
Geneva Application Security Forum 4 mars 201025