Applications Facebook : Quels Risques pour l'Entreprise ?

De
Publié par

Applications Facebook : Quels Risques pour l'Entreprise ?

Publié le : jeudi 21 juillet 2011
Lecture(s) : 94
Voir plus Voir moins
Cette publication est accessible gratuitement
IntroductionAppilacitnoPsue´Sceisures´euDionsinudppAeacilnoitmmanRecoonsCdatisuoinolcnrFio-snac¸,AeranlbeFumrnahuG,ualliivaXrBreebook:QutionsFacAkppilacnOrdjece
2 Orange Consulting alban.ondrejeck@orange-ftgroup.com
10 juin 2010
¸ Alban Ondrejeck 2 Francois-Xavier Bru 1 Guillaume Fahrner 1
1 Maste`reSpe´cialis´eenSe´curit´edesSyste`mesdInformation,Te´l´ecomBretagne {fx.bru,guillaume.fahrner}@telecom-bretagne.eu
?serieptrEnlruopseuqsiRsle
Applications Facebook : Quels Risques pour l’Entreprise ?
plApontinsioaticuce´SuePDsee´sirdocunIrtioatConslunconsiiusionduneApplcitaoiRncemoamdnmuFehanrreA,blnaXavierBru,GuillarFc¸na-sio
Agenda
3 Diffusion d’une Application Strate´giedeDiusion D´eveloppementdelApplication Mise en Œuvre de la Diffusion Re´sultats
2 ApplicationsPeuS´ecurise´es Applications Vulnerables ´ Applications Malveillantes
1 Introduction
se?epriEntrrulseopsiuqleRsQuk:ooebacsFontiacilppAkcejerdnO
5 Conclusion
4 Recommandations
ndatommanRecationoulisoCcnoisntroductiIntaoisnePnopAlpciees´isD´euSricupAencilpoisuudnG,iuBruremaFlluar,AlhrnendrebanOlppAkcejsnoitaciokboceFaRilsue:QraFcon¸-Xisieav
Desutilisateursvari´es
Unenaturefavorisantlese´changes
Unsucce`scroissant
sirp
Introduction
?eErlrentuesqousp
enudnoisuiDsees´ricu´euSPensiocnulsnoCtaoiamdnecomionRicatApplpAlpcitadocuitnoIntrnoisnObarendnehrAlr,tacisnoikcejlppAis-XavieFran¸colluaemaFBrurG,iu
UnePlate-FormedeDe´veloppementPeuSe´curis´ee
?esirp
Facebook Platform
4: requête API
1: requête initiale
6: contenu iframe
2: réponse FP 5: réponse API
3: requête contenu iframe
Serveur distant
Utilisateur
obkoaFecsliRQ:euspousquentrerlE
aXivrerB,uuGlialFran¸cois-rdnOcejeppAkacileFumrnah,AeranlbsiuqleRsrulseopsFactionk:QueboorieptrEn
Constat Tropdapplicationspourpermettreunevalidationdeleurs´ecurite´.
Injection SQL, modification HTTP/POST, XSS, etc.
ApplicationsVuln´erables Des Applications Vul ´rabl ne es
Combiendautresapplicationspopulairessontvuln´erables?
?seAnoiilppitacPsnoS´euurec´eisDiesIntroductionclussContionadnammoceRnoitaclippeAundonsiu
ionApplintroductIsiudon´eisDies´SueruceitacPsnosContionandacommnoeRacitppilnuAenoisulc
Applications Malveillantes Des Applications Malveillantes
Constat Tropdapplicationspourve´riersiellessontmalveillantesounon.
se?euqssrepetnanasschsaFre?neonleneaXivrerBnac¸io-sumeFahrnu,GuillacejerdnOnablA,reacsFonticalippkAsiuqleRs:kuQbeooepriEntrurlespoCendombiicatapplostnoisniellamvl
0 0
1
2
3
4
nombre d'installa-tions
itnoilacuce´SuePDsee´sirplApontinsioaticdocunIrtuiDnoisnudppAeioatConslunconsicitaoiRncemoamdniusionduneApplmuFelial,uuGrerBOndrlbaner,AahrnviXas-oi¸canFrrulnErtsiuqseop
` Unebonnediusionpeutˆetreutilea: Une entreprise, dans un but commercial Un attaquant, pour toucher un maximum d’utilisateurs Lespossibilite´soertesparFacebooksontimpressionnantes
400000000
350000000
300000000
250000000
200000000 150000000
100000000
50000000
eprise?acilnoitcejeppAkQuk:sRelacsFooeb
pplicationRecommseiDuisnodnuAenioadnanoitnoCssulctnorIe´siruce´SuePsnoticalippnAioctduntreprise?
Strat´egiedeDiusion PrincipedelaStrat´egiedeDiusion
Primordialeenamontdud´eveloppement Quecherche-t-ona`faire? Pourquoi veut-on le faire ? Comment va-t-on le faire ? Denitlaciblea`atteindre ´ Victimesoucliente`lepotentielle? Centredinte´rˆets? Tranchedaˆge? Danslecasdenotre´etude: But:re´colterunmaximumdedonn´eespersonnelles Comment : relayage social (murs, notifications) Cible : le plus de monde possible Entre 15 et 25 ans Francophones Anglophones Fonctionnalit´es:utilesetamusantes
sliRqseupsuolrEceFansioue:QokbokcejerdntacilppAhrnemeFabanOr,AlBrurvaeilluaG,iuoc¸nX-siarF
erejkcpAlpcitaoinsFacebook:QuelsiBRrqesieGu,pusrulolliruEemtunarherpFrairs,en?eb
De´veloppementdelApplication Who Crashed You ?
aAlndnOran¸F-XavcoisnoisulcnicationRuneAppltaoisnoCcemoamdnuSPecu´eaticnsiosuidnoi´sirDseepAlpitnodocunIrt
rtnIcudonoitplApaticnsiouSPemoceRnoioitadnamluncConsonsiir´se´ucisueeDsuneiondicatApplFiscon¸rarBieav-XurG,iulluaemaFrhner,AlbanOndrejepAkccilpoitaaFsnboce:QoklsuesqRireprEntourluesp
Mise en Œuvre de la Diffusion Cr´eationdeProlsFictifs
Profils fictifs comme ”rampe de lancement” Caracte´ristiquesd´ependantesdelastrate´giedediusion Lesm´ecanismessociauxdeFacebookpermettentde: Repererlesciblesselonunetranchedaˆge,unparcours,des ´ int´ereˆts Denvoyerrapidemmentdesajouts`alalistedamis(sans CAPTCHA) B´en´ecierduneetbouledeneigegrˆaceauxamiscommuns Danslecadredenotre´etude: 21prolsctifscre´´es 5043demandesenvoy´es Taux de retour de 38,6%
si?e
rhaFemualliuG,urjerendnObaAlr,neFierB-Xavcoisran¸
Fantaisiste
R´ealiste
Fantaisiste
Re´aliste
Neutre
Neutre
Neutre
Fantaisiste
Cr´edible
Re´aliste
Cre´dible
spuerlountEprre?esi
Acceptations
Citatio ´ entative n repres Onadˆusecoˆtoyer,vulaproximit´edenosparcours, Allain A.
Mise en Œuvre de la Diffusion Ecacite´desProlsFictifs
51 %
Type de profil
Avatar
Orientation avatar
Aguichant
14 %
17 %
42 %
ckApplicationsFaecobkoQ:eusliRqsecnRioatatndmaomudnoisucilppAenoCcnoisnnoulisrtdocuitnIioatPensAponicplee´siDse´Suiruc
Soyez le premier à déposer un commentaire !

17/1000 caractères maximum.

Diffusez cette publication

Vous aimerez aussi

Annexes

Annexes

de alurenum

Internet

Internet

de alurenum

suivant