1- Introduction
Rappel du contexte : Amelkis a souhaité réaliser un audit de sécurité informatique sous forme de tests d’intrusion externe sur les applications « Opera », « Lease », « Interco » et « XBRL », incluant le module DM (Disclosure Management)* » dans une démarche de sécurisation en profondeur. L’audit externe s’est réalisé du 19 novembre au 30 novembre 2021. Le présent document constitue le rapport associé à l’audit réalisé.
2- Synthèse et bilan de l’audit
L’audit du périmètre a permis de mettre en évidence plusieurs vulnérabilités sur le périmètre cible (Lease, Opéra, XBRL et Interco).
Amelkis Lease
Le niveau global de sécurité du périmètre audité est Très Bon.
Les vulnérabilités identifiées dans le cadre de l’audit font ressortir les risques suivants :
• Déni de service & Intrusion au niveau de l’application : niveau faible => Un internaute sans connaissance d’un compte peut effectuer des attaques par brute force au niveau du formulaire d’authentification de l’application web dans le but de saturer le serveur, bloquer des comptes légitimes, réussir à retrouver un couple valide pour s’y connecter. Nous avons remarqué la présence d’un captcha, cependant il est possible d’effectuer manuellement des tentatives de connexion infructueuses sans être bloqué (jusqu’à 5 tentatives). Une personne malveillante disposant d’un compte pour se connecter à l’application peut tenter d’uploader un fichier contenant un virus/un script ou cheval de troie ou des fichiers volumineux dans le but de porter atteinte aux critères DICT (Disponibilité, Intégrité, Confidentialité, Traçabilité). Il a par exemple été possible durant nos tests d’uploader un fichier .txt contenant la signature d’un programme malveillant et l’on remarque que ce dernier est toujours présent sur le serveur. Nous avons eu la preuve indiquant la présence d’un antivirus sur ce dernier.
Amelkis Opera
Le niveau global de sécurité du périmètre audité est Très Bon.
Les vulnérabilités identifiées dans le cadre de l’audit font ressortir les risques suivants :
• Déni de service et intrusion au niveau de l’application web : niveau faible => Un internaute sans connaissance d’un compte peut effectuer des attaques par brute force au niveau du formulaire d’authentification de l’application web dans le but de saturer le serveur, bloquer des comptes légitimes, réussir à retrouver un couple valide pour s’y connecter. Nous n’avons pas remarqué la présence d’un captcha. Mais au bout de 5 tentatives de connexion infructueuses, le compte de l’utilisateur est bloqué. Une personne malveillante disposant d’un compte pour se connecter à l’application peut tenter d’uploader un fichier contenant un virus/un script ou cheval de troie ou des fichiers volumineux dans le but de porter atteinte aux critères DICT (Disponibilité, Intégrité, Confidentialité, Traçabilité). Il a par exemple été possible durant nos tests d’uploader un fichier .txt contenant la signature d’un programme malveillant et l’on remarque que ce dernier est toujours présent sur le serveur. Nous avons eu la preuve indiquant la présence d’un antivirus sur ce dernier.
• Usurpation d’identité des utilisateurs : niveau faible => La durée de vie du mot de passe étant actuellement paramétrée à « illimitée », si ce dernier est découvert par un utilisateur mal intentionné, il pourra usurper le compte de l’utilisateur légitime. Nous avons été informés de l’existence d’une politique de sécurité qui vient renforcer le changement du mot de passe évitant ainsi que sa durée de validité soit « illimitée ». Aussi, l’utilisation du multisession pour un même utilisateur peut poser potentiellement un problème au niveau de la traçabilité des actions effectuées.
• Divulgation d’informations sensibles : niveau faible => L’identifiant de l’utilisateur peut être récupéré en analysant la mémoire de l’ordinateur de ce dernier en absence du verrouillage de son poste.
Amelkis InterCompany
Le niveau global de sécurité du périmètre audité est Très Bon.
Les vulnérabilités identifiées dans le cadre de l’audit font ressortir les risques suivants :
• Déni de service : niveau faible => Un internaute sans connaissance d’un compte peut effectuer des attaques par brute force au niveau du formulaire d’authentification à l’application web dans le but de saturer le serveur, bloquer des comptes légitimes, réussir à retrouver un couple valide pour s’y connecter. Nous avons noté l’absence d’un captcha sur le site. La présence d’outil d’analyse de flux de plateforme sur le serveur pourrait permettre à une personne malveillante de l’utiliser à d’autres fin.
• Usurpation d’identité des utilisateurs : niveau faible => La présence de la fonctionnalité autocomplete peut permettre à une personne malveillante d’accéder au compte d’un utilisateur si ce dernier n’a pas pris soin de verrouiller son poste. Le cookie de session n’ayant pas le flag HTTPOnly et Secure peut transiter sur des liens non sécurisés et peut se retrouver intercepter par du code javascript dans certaines conditions permettant donc d’usurper l’identité de son propriétaire.
• Divulgation d’informations sensibles et intrusion au niveau de l’application : niveau faible => La divulgation des versions des composants logiciels permet à une personne malveillante d’effectuer des recherches ciblées afin d’identifier des moyens permettant d’exploiter les failles associées.
Amelkis XBRL
Le niveau global de sécurité du périmètre audité est Très Bon.
Les vulnérabilités identifiées dans le cadre de l’audit font ressortir les risques suivants :
• Déni de service : niveau faible => Un internaute sans connaissance d’un compte peut effectuer des attaques par brute force au niveau du formulaire d’authentification à l’application web dans le but de saturer le serveur, bloquer des comptes légitimes, réussir à retrouver un couple valide pour s’y connecter. Au bout de six tentatives infructueuses, le couple compte utilisateur et son mot de passe d’origine ne permet plus à l’utilisateur de se connecter. La présence d’outil d’analyse de flux de plateforme sur le serveur pourrait permettre à une personne malveillante de l’utiliser à d’autres fin.
• Usurpation d’identité des utilisateurs : niveau faible => L’utilisation du multisession pour un même utilisateur peut poser potentiellement un problème au niveau de la traçabilité des actions effectuées. Le cookie de session n’ayant pas le flag HTTPOnly et Secure peut transiter sur des liens non sécurisés et peut se retrouver intercepter par du code javascript dans certaines conditions permettant donc d’usurper l’identité de son propriétaire.
• Divulgation d’informations sensibles et intrusion au niveau de l’application : niveau faible => La divulgation des versions des composants logiciels permet à une personne malveillante d’effectuer des recherches ciblées afin d’identifier des moyens permettant d’exploiter les failles associées.
3- Conclusion de sécurité
POINTS POSITIFS DES TESTS D’INTRUSION EXTERNE :
Amelkis Opera
• Le nombre de ports Web ouverts sur Internet est limité au seul port 443 qui est associé au service HTTPS (Utilisation de protocole sécurisé)
• Absence d’utilisation de protocoles non sécurisés (SSLv2/v3, FTP…)
• Lorsqu’un des paramètres de l’authentification est erroné (identifiant ou mot de passe), un message est affiché et ne donne pas d’indications précises sur le paramètre en erreur
• Tentative d’injections (SQL..) en échec au niveau de la mire d’authentification du site
▪ Il n’a pas été possible d’accéder au contenu des répertoires
▪ Il n’a pas été possible d’accéder à des dossiers/répertoires sensibles avec le compte fourni ex : fichiers systèmes pour récupérer la base SAM)
• Le mot de passe de l’utilisateur ne figure pas dans la RAM de l’ordinateur
• Il n’a pas été possible d’exécuter des macros contenues dans un fichier Excel uploadé sur le serveur
Amelkis Lease
• Le nombre de ports Web ouverts sur Internet est limité au seul port 443 qui est associé au service HTTPS (Utilisation de protocole sécurisé)
• Absence d’utilisation de protocoles non sécurisés (SSLv2/v3, FTP…)
• Multisession non autorisé pour un même compte
• Lorsqu’un des paramètres de l’authentification est erroné (identifiant ou mot de passe), un message est affiché et ne donne pas d’indications précises sur le paramètre en erreur
• Tentative d’injections (SQL…) en échec au niveau de la mire d’authentification du site
• L’accès à des fichiers en mode non connecté n’a pas été possible en récupérer les urls associées depuis le mode connecté
• Il n’a pas été possible d’uploader certaines extensions de fichier (ex :.zip, .exe, .com…)
• Présence d’un captcha sur le site
Amelkis XBRL
• Le nombre de ports Web ouverts sur Internet est limité au seul port 443 qui est associé au service HTTPS (Utilisation de protocole sécurisé)
• Tentative d’injections (SQL..) en échec au niveau de la mire d’authentification du site
• Il n’a pas été possible d’accéder à des fonctionnalités en mode non connecté
• Le serveur est configuré pour le pas divulguer trop d’informations (versions composants installés, traversé de répertoires non possible)
• Présence d’un captcha sur le site
• Il n’a pas été possible d’uploader un fichier Excel contenant une macro dans l’application »
Amelkis InterCompany
• Le nombre de ports Web ouverts sur Internet est limité au seul port 443 qui est associé au service HTTPS (Utilisation de protocole sécurisé)
• Multisession non autorisée pour un même compte
• Lorsqu’un des paramètres de l’authentification est erroné (identifiant ou mot de passe), un message est affiché et ne donne pas d’indications précises sur le paramètre en erreur
• Tentative d’injections (SQL, XSS…) en échec
• Il n’a pas été possible d’accéder à des fonctionnalités en mode déconnecté
• Il n’a pas été possible d’uploader certains types de fichiers
POINTS À AMÉLIORER SUITE AUX TESTS D’INTRUSION EXTERNE :
Amelkis Opera
• Sécurité des communications : Présence du compte utilisateur dans la mémoire de l’ordinateur, Multisessions autorisées pour un même utilisateur
• Sécurité liée à l’exploitation : Utilisation d’une version de Microsoft IIS comportant une vulnérabilité
• Acquisition, développement et maintenance des systèmes d’information : Enumération possible des comptes utilisateurs et fuite d’information, Cookie non marqué « HTTPOnly », Divulgation de la version des composants logiciels
Amelkis Lease
• Sécurité liée à l’exploitation : Absence de blocage de compte au bout de cinq tentatives de connexion infructueuses
Amelkis XBRL
• Sécurité des communications : Multisessions autorisées pour un même utilisateur
• Sécurité liée à l’exploitation : Présence d’outil d’analyse de flux de plateforme sur le serveur
• Acquisition, développement et maintenance des systèmes d’information : Cookie non marqué secure et HTTPOnly, Divulgation de la version des composants logiciels, Absence de message d’erreur lors d’une connexion en échec
Amelkis InterCompany
• Sécurité liée à l’exploitation : Présence d’outil d’analyse de flux de plateforme sur le serveur
• Acquisition, développement et maintenance des systèmes d’information : Absence de captcha et de blocage de compte au bout de cinq tentatives de connexion infructueuses, Autocomplete sur la page d’authentification, Cookie non marqué secure ni HTTPOnly, Divulgation de la version des composants logiciels