C’est pour sensibiliser les développeurs mais également les décideurs que l’APSEL (Association pour la Promotion de la Sécurité Logicielle en suisse) et une équipe d’experts en sécurité logicielle dont Antonio Fontes membre de la section Suisse OWASP et co-auteur de « Top 25 most dangerous programing errors » ont décidé de mettre sur pied, en collaboration avec de nombreux partenaires, dont l’HEIG-VD, un cycle de conférences et de formations sur le thème de la sécurité logicielle.
Selon les chiffres de 54% à 68% des applications utilisées dans les entreprises présentent des failles de sécurité considérées comme critiques pour leur business.
Avec le nombre grandissant d’applications et de terminaux permettant d’être connecté à internet en permanence, il est vital de mettre en œuvre des stratégies d’atténuation des risques.
Si le sujet peut faire peur, force est de constater que les remèdes sont en réalité assez simples. En adoptant des méthodologies de développement sécurisé, en mettant en place des procédures d’audit de code et en adoptant quelques best practices, il est au final possible de parer à la plupart de ces vulnérabilités.
Si vous développez des applications mobiles (iPhone, Android), des logiciels embarqués, des applications ou sites web ou souhaitez lancer votre startup sur le Cloud, ces deux jours de conférences et de formation sont pour vous.
Accessibles à tous les niveaux, les conférences permettront aussi bien aux décideurs qu’aux personnes très techniques de repartir avec des informations utiles mais aussi et surtout un networking de qualité composé d’experts qui pourront vous aider dans l’atténuation de vos risques logiciels.
Application SVN & OTP
Ce billet vise à renforcer l'authentification fournie par l'http authentification d'Apache. Nous prendrons comme exemple d'application Subversion installé par l'intermédiaire du module Apache : mod_dav_svn.
Introduction
En guise de rappel, Subversion est un système permettant de gérer les différentes versions de fichiers. A l'origine utilisé par les développeurs, il peut être utilisé à des fins de partage, stockage de fichiers pour les particuliers. Il peut être utilisé de deux manières :
Voici un schéma décrivant le fonctionnement de SVN :
Les fichiers se trouvent sur le serveur Apache (ou le serveur SVN, suivant le mode choisi) ainsi que sur tous les pc en local de chaque individu ayant accès au repository et les synchronisant.
Pré-requis : Le module Subversion d'Apache est installé. Ce billet étant sous centos, vous pouvez trouver un tutoriel, pour l'installer et importer quelques fichiers pour l'exemple, sur ce site : http://wiki.centos.org/HowTos/Subversion
1. Installer le module otp pour Apache
Le module s'occupant de la vérification du bon otp pour Apache est téléchargeable sur le site :
Ce module a été utilisé car il est écrit en langage C, ce qui facilite son utilisation avec d'autres composants.
Une fois téléchargé, installez le suivant la procédure habituelle :
Ce dossier contient otptool qui sert au calcul et à la vérification des différents otp. A l'issue de l'installation, un fichier « mod_authn_otp.so » avec les autres modules Apache.
2. Charger le module dans le fichier de configuration de Subversion
cd httpd/conf.d (dav_svn.conf sous debian)
vi subversion.confAjoutez la ligne suivante en tête du fichier, à la suite des autres chargements de modules :
LoadModule authn_otp_module modules/mod_authn_otp.so 3. Créer un ficher otp-utilisateur
Ce fichier contient le nom utilisateur, la seed, le type d'algorithme utilisé. Un exemple type ; intitulé users.sample, est présent dans le répertoire mod_authn_otp.
vi votre_fichier_otp_utilisateursEditez votre fichier avec les informations nécessaires.
Exemple :
HOTP/T60 toto 1234 0123456789abcdef0123456789abcdef01234567 1 0
type token name pin seed décalage nombre de raté permisAu vu des informations sensibles contenues dans ce fichier, il est nécessaire d'effectuer quelques modifications dessus :
chown apache.apache votre_fichier_otp_utilisateurs
chmod 700 votre_fichier_otp_utilisateursL'exemple d'application étant Subversion, on considérera que le fichier de contrôle d'accès et utilisateurs classique sont créés (cf. premier lien pour l'installation de Subversion).
On rappelle que le fichier utilisateurs classique comprendra le code pin de l'utilisateur associé.
Il se créé bien comme le login/password habituel :
htpasswd -cm /etc/votre_fichier_de_pin votre_login
New password : 1234
Re-type new password : 1234De même pour le fichier de contrôle d'accès, par exemple :
vi votre_fichier_d_acl
[votre_repo:/votre/path/vers/le/repo]
votre_login=rwMême modifications sur ces deux fichiers en ce qui concerne le propriétaire et les permissions :
chown apache.apache vos_deux_fichiers
chmod 700 vos_deux_fichiers4. Configurer Subversion
Editez le fichier subversion.conf :
AuthUserFile "/etc/votre_fichier_de_pin"
OTPAuthUsersFile "/etc/votre_fichier_otp_utilisateurs"
OTPAuthLogoutOnIPChange On
OTPAuthPINAuthProvider votre_prov
OTPAuthMaxOTPFailure 5
DAV svn
SSLRequireSSL
SVNPath /var/www/svn/votre_repo
AuthzSVNAccessFile /etc/votre_fichier_d_acl
AuthType basic
AuthName "My otp authentication"
AuthBasicProvider votre_alias
AuthName "Subversion repo"
Require valid-userPour mémoire, l'http authentication peut se faire de deux manières :
Actuellement la version du module otp pour Apache ne permet pas d'utiliser un code pin pour la méthode Digest. La procédure consiste à conserver l'http authentification basic mais de forcer l'utilisation du protocole https, d'où l'utilisation de SSLRequireSSL.
Redémarrer ensuite le service Apache puis accéder à votre repo en https pour profiter de votre nouvelle authentification forte.
Ainsi, vous envoyez votre couple (login ; pincode+tokencode) par https. Est vérifié que le login soit bien autorisé ainsi que les permissions associées, votre tokencode, ensuite votre pincode.
5. SVN côté client
Vous pouvez désormais consulter vos fichiers situés dans votre repository SVN via :
Voici des tutoriels pour :
Présentation du Forum
L’Application Security Forum – Western Switzerland (ASF-WS) est une conférence annuelle dédiée à la sécurité et protection des données dans les logiciels informatiques. L’ASF-WS se tiendra à Yverdon-les-Bains, en Suisse, les 26 et 27 octobre 2011 à La Haute Ecole de Gestion et d’Ingénierie du Canton de Vaud (HEIG-VD).
L’ASF-WS se déroulera sur deux jours. Le premier jour sera constitué d’un programme de formations intensives, chacune se déroulant sur une demi-journée (workshops) ou une journée (trainings). Un programme de dix-huit conférences réparties sur trois pistes simultanées (tracks) sera proposé le second jour de la manifestation.
Audience cible
L’Application Security Forum – Western Switzerland (ASF-WS) aura pour audience cible:
Les professionnels de l’industrie du développement, souhaitant approfondir leurs connaissances en matière de sécurité logicielle
Les chefs de projets et décideurs provenant d’organisations pour lesquelles la sécurité des applications représente un enjeu majeur: réputation, continuité des activités, données confidentielles et/ou stratégiques, infrastructures critiques, etc.
Retrouvez toutes les informations utiles via les liens suivants :