Nous étions présents, mardi dernier (12 mars 2013), dans les locaux de la société Solucom afin d’assister à la réunion du chapitre français de l’OWASP. Le thème de cette session portait sur le développement sécurisé et la sensibilisation des équipes de développement aux Bonnes Pratiques de sécurité.
Après une courte introduction de Ludovic Petit et Sébastien Gioria, les représentants français de l’OWASP, des activités de l’organisation, la première partie de ce Chapter Meeting a été animée par Jim Manico, membre du Board de l’OWASP International et VP Security Architecture chez WhiteHat Security. Avant son passage à la conférence Black Hat Europe puis Hack In Paris, il était donc présent pour synthétiser les problèmes récurrents liés à l’implémentation d’un mécanisme de contrôle d’accès efficace ainsi qu’aux méthodes permettant de réaliser cette tâche. L’intervenant a notamment rappelé que des contrôles basés sur les rôles utilisateurs ne suffisent pas à traiter toutes les problématiques et qu’un système de contrôle d’accès efficace doit permettre une granularité plus importante. Sa présentation, orientée pour un public technique, a été accompagnée d’exemples concrets en Java ou en PHP illustrant les problématiques souvent rencontrées ainsi que les techniques à mettre en oeuvre pour les traiter.
Jim Manico a aussi résumé les Meilleures Pratiques dans ce domaine :
- une gestion par rôle pour les contrôles d’accès verticaux
- une gestion contextuelle pour les contrôles d’accès horizontaux
- les contrôles d’accès doivent être cohérents et constants sur toute l’application
- les mécanismes d’autorisation doivent être centralisés
- les contrôles doivent pouvoir être gérés en temps réel
- la logique doit être cohérente entre l’aspect « présentation » (client) et les contrôles effectués en amont (serveur)
- la politique mise en oeuvre doit refuser les accès par défaut.
Cette présentation s’est conclue par un rappel qu’il semble être encore nécessaire de faire : « c’est la couche applicative qui sera attaquée la première, protégez là ! »
Jim Manico en a profité pour vanter les mérites de solutions telles que Apache Shiro et OWASP HTML Sanitizer, qui permettent aux développeurs de mettre en place ces recommandations aisément.
Gérôme Billois, Manager Sécurité chez Solucom, a ensuite pris la parole afin de présenter la démarche mise en oeuvre par sa société afin d’accompagner les entreprises à intégrer la sécurité dans les cycles de développements. Il est parti du constat malheureux que la sécurité ne soit souvent pas prise en compte lors du développement d’applications et que presque 100% de ces applications se révèlent vulnérables lors d’audits de sécurité. Face à ses problèmes, souvent liés au grand nombre d’interlocuteurs dans les projets, au fait que la sécurité soit réinventée à chaque projet ou que peu de développeurs soient intéressés par la sécurité, Gérôme Billois a présenté la cellule SecApp, mise en oeuvre par les consultants de Solucom pour leurs clients.
Parmi les activités mises en oeuvre par cette cellule, il a rappelé l’importance de tâches bien connues des experts en sécurité, mais bien souvent pas ou peu réalisées :
- organiser des séminaires de sensibilisations,
- mettre en place des processus de revues de code,
- se baser sur les standards techniques existants (top 10 OWASP par exemple),
- et enfin, penser à inclure la sécurisation des applications développées de manière contractuelle.
Néanmoins, le tableau n’est pas totalement noir. De nombreux outils ont le mérite d’exister (ISO 27034, OpenSAMM, Microsoft Security Development Lifecycle, OWASP, etc.), reste à les intégrer dans les cycles de développement…
Cette matinée s’est terminée par la présentation des prochains évènements OWASP avec notamment la publication du Top10 2013 courant juin suivi de la conférence AppSecEU qui aura lieu à Hamburg du 20 au 23 août 2013.
