Applications Facebook : Quels Risques pour l'Entreprise ?

89 lecture(s)

Applications Facebook : Quels Risques pour l'Entreprise ?

Télécharger la publication

  • Format PDF
Commenter Intégrer Stats et infos du document Retour en haut de page
alurenum
publié par

suivre

Vous aimerez aussi

Annexes

Annexes

de alurenum

Internet

Internet

de alurenum

suivant
IntroductionAppilacitnoPsue´Sceisures´euDionsinudppAeacilnoitmmanRecoonsCdatisuoinolcnrFio-snac¸,AeranlbeFumrnahuG,ualliivaXrBreebook:QutionsFacAkppilacnOrdjece
2 Orange Consulting alban.ondrejeck@orange-ftgroup.com
10 juin 2010
¸ Alban Ondrejeck 2 Francois-Xavier Bru 1 Guillaume Fahrner 1
1 Maste`reSpe´cialis´eenSe´curit´edesSyste`mesdInformation,Te´l´ecomBretagne {fx.bru,guillaume.fahrner}@telecom-bretagne.eu
?serieptrEnlruopseuqsiRsle
Applications Facebook : Quels Risques pour l’Entreprise ?
plApontinsioaticuce´SuePDsee´sirdocunIrtioatConslunconsiiusionduneApplcitaoiRncemoamdnmuFehanrreA,blnaXavierBru,GuillarFc¸na-sio
Agenda
3 Diffusion d’une Application Strate´giedeDiusion D´eveloppementdelApplication Mise en Œuvre de la Diffusion Re´sultats
2 ApplicationsPeuS´ecurise´es Applications Vulnerables ´ Applications Malveillantes
1 Introduction
se?epriEntrrulseopsiuqleRsQuk:ooebacsFontiacilppAkcejerdnO
5 Conclusion
4 Recommandations
ndatommanRecationoulisoCcnoisntroductiIntaoisnePnopAlpciees´isD´euSricupAencilpoisuudnG,iuBruremaFlluar,AlhrnendrebanOlppAkcejsnoitaciokboceFaRilsue:QraFcon¸-Xisieav
Desutilisateursvari´es
Unenaturefavorisantlese´changes
Unsucce`scroissant
sirp
Introduction
?eErlrentuesqousp
enudnoisuiDsees´ricu´euSPensiocnulsnoCtaoiamdnecomionRicatApplpAlpcitadocuitnoIntrnoisnObarendnehrAlr,tacisnoikcejlppAis-XavieFran¸colluaemaFBrurG,iu
UnePlate-FormedeDe´veloppementPeuSe´curis´ee
?esirp
Facebook Platform
4: requête API
1: requête initiale
6: contenu iframe
2: réponse FP 5: réponse API
3: requête contenu iframe
Serveur distant
Utilisateur
obkoaFecsliRQ:euspousquentrerlE
aXivrerB,uuGlialFran¸cois-rdnOcejeppAkacileFumrnah,AeranlbsiuqleRsrulseopsFactionk:QueboorieptrEn
Constat Tropdapplicationspourpermettreunevalidationdeleurs´ecurite´.
Injection SQL, modification HTTP/POST, XSS, etc.
ApplicationsVuln´erables Des Applications Vul ´rabl ne es
Combiendautresapplicationspopulairessontvuln´erables?
?seAnoiilppitacPsnoS´euurec´eisDiesIntroductionclussContionadnammoceRnoitaclippeAundonsiu
ionApplintroductIsiudon´eisDies´SueruceitacPsnosContionandacommnoeRacitppilnuAenoisulc
Applications Malveillantes Des Applications Malveillantes
Constat Tropdapplicationspourve´riersiellessontmalveillantesounon.
se?euqssrepetnanasschsaFre?neonleneaXivrerBnac¸io-sumeFahrnu,GuillacejerdnOnablA,reacsFonticalippkAsiuqleRs:kuQbeooepriEntrurlespoCendombiicatapplostnoisniellamvl
0 0
1
2
3
4
nombre d'installa-tions
itnoilacuce´SuePDsee´sirplApontinsioaticdocunIrtuiDnoisnudppAeioatConslunconsicitaoiRncemoamdniusionduneApplmuFelial,uuGrerBOndrlbaner,AahrnviXas-oi¸canFrrulnErtsiuqseop
` Unebonnediusionpeutˆetreutilea: Une entreprise, dans un but commercial Un attaquant, pour toucher un maximum d’utilisateurs Lespossibilite´soertesparFacebooksontimpressionnantes
400000000
350000000
300000000
250000000
200000000 150000000
100000000
50000000
eprise?acilnoitcejeppAkQuk:sRelacsFooeb
pplicationRecommseiDuisnodnuAenioadnanoitnoCssulctnorIe´siruce´SuePsnoticalippnAioctduntreprise?
Strat´egiedeDiusion PrincipedelaStrat´egiedeDiusion
Primordialeenamontdud´eveloppement Quecherche-t-ona`faire? Pourquoi veut-on le faire ? Comment va-t-on le faire ? Denitlaciblea`atteindre ´ Victimesoucliente`lepotentielle? Centredinte´rˆets? Tranchedaˆge? Danslecasdenotre´etude: But:re´colterunmaximumdedonn´eespersonnelles Comment : relayage social (murs, notifications) Cible : le plus de monde possible Entre 15 et 25 ans Francophones Anglophones Fonctionnalit´es:utilesetamusantes
sliRqseupsuolrEceFansioue:QokbokcejerdntacilppAhrnemeFabanOr,AlBrurvaeilluaG,iuoc¸nX-siarF
erejkcpAlpcitaoinsFacebook:QuelsiBRrqesieGu,pusrulolliruEemtunarherpFrairs,en?eb
De´veloppementdelApplication Who Crashed You ?
aAlndnOran¸F-XavcoisnoisulcnicationRuneAppltaoisnoCcemoamdnuSPecu´eaticnsiosuidnoi´sirDseepAlpitnodocunIrt
rtnIcudonoitplApaticnsiouSPemoceRnoioitadnamluncConsonsiir´se´ucisueeDsuneiondicatApplFiscon¸rarBieav-XurG,iulluaemaFrhner,AlbanOndrejepAkccilpoitaaFsnboce:QoklsuesqRireprEntourluesp
Mise en Œuvre de la Diffusion Cr´eationdeProlsFictifs
Profils fictifs comme ”rampe de lancement” Caracte´ristiquesd´ependantesdelastrate´giedediusion Lesm´ecanismessociauxdeFacebookpermettentde: Repererlesciblesselonunetranchedaˆge,unparcours,des ´ int´ereˆts Denvoyerrapidemmentdesajouts`alalistedamis(sans CAPTCHA) B´en´ecierduneetbouledeneigegrˆaceauxamiscommuns Danslecadredenotre´etude: 21prolsctifscre´´es 5043demandesenvoy´es Taux de retour de 38,6%
si?e
rhaFemualliuG,urjerendnObaAlr,neFierB-Xavcoisran¸
Fantaisiste
R´ealiste
Fantaisiste
Re´aliste
Neutre
Neutre
Neutre
Fantaisiste
Cr´edible
Re´aliste
Cre´dible
spuerlountEprre?esi
Acceptations
Citatio ´ entative n repres Onadˆusecoˆtoyer,vulaproximit´edenosparcours, Allain A.
Mise en Œuvre de la Diffusion Ecacite´desProlsFictifs
51 %
Type de profil
Avatar
Orientation avatar
Aguichant
14 %
17 %
42 %
ckApplicationsFaecobkoQ:eusliRqsecnRioatatndmaomudnoisucilppAenoCcnoisnnoulisrtdocuitnIioatPensAponicplee´siDse´Suiruc
Soyez le premier à déposer un commentaire !

17/1000 caractères maximum.

Lisez à volonté, où que vous soyez
1 mois offert, sans engagement Plus d'infos