Évaluation de la sécurité de l’application Web Micro Focus Solutions Business Manager 11.0de Sarah Timmons et Brock Bland, 8 décembre 2015

Livre blancSolutions Business Manager

Table des matières page

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Protections offertes par Solutions Business Manager en matière de sécurité . . 1

Résultats des tests de sécurité de l’application Web SBM 11.0 . . . . . . . . . . . . . . 3

1www.microfocus.com

Introduction

Les applications Internet continuent à être vulnérables aux attaques menées par des utilisateurs malveillants, des robots hostiles et des patrouilleurs qui savent exploiter les faiblesses des modèles de sécurité des données pour obtenir un accès non autorisé à des données importantes. Dans le cadre du processus de certification de chaque version, Micro Focus® Solutions Business Manager (SBM) fait l’objet d’une analyse de la sécurité d’application Web. Il est soumis à des tests exhaustifs pour valider la sécurité des données d’entreprise stockées dans la base de données.

Micro Focus a conscience que toute vulnérabilité détectée lors de ces tests peut être exploitée pour accéder à des données d’entreprise sensibles et, donc, entraîner une perte financière. Pendant chaque cycle de tests, nos équipes chargées du développement et de l’assurance qualité s’efforcent de mettre à jour ces types de vulnérabilités potentielles et de les supprimer. Pour Micro Focus, la sécurité est une affaire sérieuse. Nous nous efforçons énergiquement d’améliorer SBM afin d’offrir une protection contre toutes les nouvelles vulnérabilités découvertes.

À qui ce document est-il destiné ?Ce document a été conçu pour les administrateurs système, ainsi que pour d’autres intervenants, qui désirent comprendre les protections de sécurité offertes par SBM 11.0 et étudier les résultats des analyses les plus récentes en matière de sécurité des applications Web.

Protections offertes par Solutions Business Manager en matière de sécurité

Pour ce qui est de la sécurité dans SBM, Micro Focus applique une approche multicouche s’inspirant des meilleures pratiques pour prévenir les failles de sécurité et assurer l’intégrité et la confidentialité des données.

Configuration des serveurs et des bases de donnéesSBM Configurator fournit un mécanisme simple permettant de déployer divers composants de base de données et d’applications de SBM sur de nombreux serveurs, et dont la vocation est de réduire la « surface d’attaque ». Ainsi, il est possible de stocker les données mises à jour par des utilisateurs sur un serveur, celles servant à créer et à décrire des applications de processus et d’autres artéfacts conceptuels sur un autre, et les données de configuration et d’administration sur une autre machine encore. Il est ainsi possible pour les administrateurs de limiter comme il convient l’accès à ces serveurs, ce qui complique d’autant la tâche pour tout attaquant cherchant à exploiter le système en piratant simplement un serveur ou une machine physique.

Pour Micro Focus, la sécurité est une affaire sérieuse. Nous nous efforçons énergiquement d’améliorer SBM afin d’offrir une protection contre toutes les nouvelles vulnérabilités découvertes.

Table des matières page

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Protections offertes par Solutions Business Manager en matière de sécurité . . 1

Résultats des tests de sécurité de l’application Web SBM 11.0 . . . . . . . . . . . . . . 3

2

Livre blancÉvaluation de la sécurité de l'application Web Micro Focus Solutions Business Manager 11.0

Chiffrement des données en transitLes données sont les plus vulnérables aux accès non autorisés lorsqu’elles circulent sur Internet ou dans des réseaux. SBM Configurator intègre donc un mécanisme capable de configurer les serveurs appropriés pour qu’ils utilisent les protocoles HTTP sécurisé (HTTPS) et Secure Socket Layer (SSL) à des fins de chiffrement, d’authentification et de garantie de l’intégrité des données. Ce mécanisme peut s’appliquer aux interactions avec des utilisateurs finaux, aux communications entre composants, à celles avec des systèmes tiers et à des infrastructures telles que les serveurs LDAP et bases de données relationnelles.

Chiffrement des données au reposLes données résidant dans des systèmes et médias de stockage présentent de graves problèmes de sécurité en ce qui concerne la protection des données d’entreprise et la confidentialité des données. SBM applique deux approches aux données au repos, selon qu’elles sont stockées dans une base de données relationnelle ou dans un système de fichiers.

Deux facteurs caractérisent la sécurisation des données dans la base de données relationnelle. Le premier facteur concerne la restriction de l’accès aux données par le biais d’autorisations pour les bases de données utilisées par SBM. Ce facteur est régi par les comptes d’utilisateurs du système de gestion des bases de données ou par les comptes de domaine Windows auxquels l’accès aux bases de données a été accordé. Le second facteur tient au fait que les données se trouvant dans les bases de données peuvent être chiffrées par le système de gestion des bases de données afin d’instaurer une couche de sécurité supplémentaire.

Les données stockées dans le système de fichiers (informations de configuration et de connexion, par exemple) doivent aussi être sécurisées. SBM chiffre les références servant à se connecter à diverses bases de données à l’aide d’un algorithme de chiffrement triple DES avec clés de 184 bits. On peut considérer comme sensibles les informations utilisées pour se connecter à des fournisseurs d’identités dans le cadre du Single Sign-On (SSO). C’est pourquoi SBM offre la possibilité de chiffrer ces informations. Le SSO utilise des clés de 256 bits avec Blowfish, AES ou 3DES.

Gestion de l’authentification et des sessionsQuelle que soit la méthode d’accès (navigateur Web, applications mobiles ou applications de bureau), tous les accès utilisateurs sont soumis au processus d’authentification. SBM Configurator propose différentes options pour les fournisseurs d’identités (par exemple, base de données utilisateur interne, domaine Windows, LDAP) ou pour d’autres fournisseurs tiers. Dans SBM, il est possible de configurer la gestion des sessions afin d’utiliser des cookies HTTP, NTLM ou des jetons de sécurité via SSO. SBM prend également en charge des scénarios d’utilisation du SSO plus complexes. Il permet notamment d’effectuer une validation par rapport à plusieurs fournisseurs d’identités et d’appliquer une authentification à deux facteurs via cartes à puce.

Quelle que soit la méthode d’accès (navigateur Web, applications mobiles ou applications de bureau), tous les accès utilisateurs sont soumis au processus d’authentification. SBM Configurator propose différentes options pour les fournisseurs d’identités (par exemple, base de données utilisateur interne, domaine Windows, LDAP) ou pour d’autres fournisseurs tiers.

3www.microfocus.com

En outre, SBM inclut des contrôles pour gérer le timeout des durées de vie des jetons de session pour les jetons de sécurité.

Autorisation (contrôle d’accès)Grâce à SBM Application Administrator, les administrateurs peuvent définir des autorisations pour utilisateurs au niveau du rôle, du groupe ou de l’individu. Les administrateurs sont ainsi en mesure d’appliquer le principe du privilège minimal, c’est-à-dire qu’ils accordent aux utilisateurs les droits minimaux requis pour leur permettre d’effectuer leur travail. En outre, SBM prend en charge les connexions SSL bidirectionnelles afin de limiter l’accès à des interfaces non destinées à des utilisateurs finaux.

Sécurité des applications WebSBM intègre des fonctions de pare-feu et d’assainissement propriétaires et de tierces parties pour contrer divers types d’attaques :

Attaques par contenu XML/HTML (attaques par transfert de scripts inter-sites [XSS], injection de JavaScript, injection de SQL et bonne mise en forme)

Attaques cryptographiques (déni de service et attaques par relecture)

Attaques SOAP (filtrage d’opération SOAP et pièces jointes SOAP non fiables)

Attaques de communications (en-tête HTTP et analyse des chaînes de requête)

Attaques contre l’authentification (attaques par contrefaçon de requêtes inter-sites [XSRF])

SBM automatise cet assainissement par le biais d’Application Administrator.

Outre ses fonctions de monitoring et d’assainissement du contenu, SBM fournit un pare-feu d’application Web grâce à la fonction ModSecurity incluse. Il peut s’utiliser à des fins de monitoring ou être configuré de façon à bloquer activement les requêtes en fonction de règles de sécurité définies. Grâce à ces règles de sécurité personnalisables, les administrateurs peuvent adapter la configuration de la sécurité en fonction de leurs besoins spécifiques en matière de contenu ou de leurs exigences de sécurité accrues. En cas de détection d’une vulnérabilité de la sécurité, il est également possible d’appliquer des correctifs virtuels aux systèmes sur le terrain.

Résultats des tests de sécurité de l’application Web SBM 11.0

Les tests ont été effectués à l’aide de Burp Suite Professional v1.6.28. L’outil d’analyse des vulnérabilités Web Burp intégré à cette suite a été spécifiquement utilisé pour analyser activement les requêtes provenant d’un client. Cet outil, qui jouit d’une excellente réputation dans le secteur, utilise une logique d’analyse basée sur les commentaires plutôt qu’une liste statique de vulnérabilités possibles.

Grâce à SBM Application Administrator, les administrateurs peuvent définir des autorisations pour utilisateurs au niveau du rôle, du groupe ou de l’individu. Les administrateurs sont ainsi en mesure d’appliquer le principe du privilège minimal, c’est-à-dire qu’ils accordent aux utilisateurs les droits minimaux requis pour leur permettre d’effectuer leur travail.

4

Livre blancÉvaluation de la sécurité de l'application Web Micro Focus Solutions Business Manager 11.0

Dans le cadre de ces tests, Burp Suite a surveillé des requêtes sur une installation distante autonome de SBM avec authentification interne SBM et gestion des sessions SSO.

Configuration du testBurp Suite a été exécuté sur une machine dédiée faisant office de serveur proxy qui assure la surveillance des requêtes adressées par l’intermédiaire du navigateur Web. Dans le cadre de ces tests, Burp Suite a surveillé des requêtes sur une installation distante autonome de SBM avec authentification interne SBM et gestion des sessions SSO. Burp Suite a enregistré les requêtes adressées par l’intermédiaire du navigateur, en notant simultanément les vulnérabilités détectées passivement. Burp Suite a ensuite servi à analyser activement toutes les requêtes enregistrées avec des paramètres, en envoyant de nombreuses (des centaines, voire des milliers) requêtes formatées d’après chaque requête analysée, mais avec des altérations des paramètres destinées à mettre en lumière les vulnérabilités. La configuration de SBM a été effectuée de façon à utiliser le protocole HTTPS pour les requêtes, et le SSO a été activé. Une bibliothèque de règles ModSecurity personnalisée a également été mise en oeuvre pour gérer la variabilité de la personnalisation. L’analyse a testé les types d’attaques suivants :

Injection de SQL

Injection de commande de système d’exploitation

Injection de code et de modèle côté serveur

Scripts inter-sites réfléchis et stockés

Traversée/Manipulation de chemins d’accès aux fichiers

Interactions externes/OOB (out-of-band)

Injection d’en-tête HTTP

Injection de XML/SOAP

Injection LDAP

Contrefaçon de requêtes inter-sites

Redirection ouverte

Manipulation d’en-tête

Problèmes au niveau du serveur

Micro Focus a évalué les résultats de ces analyses en recherchant les requêtes qui présentaient de possibles vulnérabilités.

Types d’utilisationL’analyse a été effectuée par rapport à une utilisation de SBM considérée comme typique. En voici quelques exemples :

Connexion à SBM

Affichage des données d’élément

Affichage de rapports

Affichage de backlogs

Affichage d’activités

5www.microfocus.com

Une attention toute particulière a été portée aux opérations impliquant le stockage ou la modification de données dans le système, notamment :

Envoi d’un élément

Transition d’un élément

Création et modification d’un rapport

Création de backlogs

Création d’activités

Recherche dans Work Center

Recherche dans l’espace de travail utilisateur

Mise à jour des informations du profil d’utilisateur

ConclusionsLes résultats des analyses de la sécurité ont été évalués. Aucune vulnérabilité grave n’a été identifiée. Les résultats signalés comme révélateurs de problèmes potentiels de faible gravité devant faire l’objet d’une évaluation ont été inspectés manuellement. Il a été déterminé qu’ils ne représentaient pas un problème, comme expliqué ci-dessous.

Les résultats des analyses de la sécurité ont été évalués. Aucune vulnérabilité grave n’a été identifiée.

Zone testée Résultat Complément d’informations Soumettre, afficher, faire la

transition de l’élément Réussite. Aucun problème de niveau élevé ou

moyen n’a été détecté —

Création et exécution de rapport

Réussite. XSS basé sur DOM faussement positif L’inspection du code a confirmé qu’il est correctement assaini. SBM a correctement bloqué la tentative de XSS basée sur DOM.

Création et exécution de rapport

Réussite. Détection faussement positive d’un en-tête de réponse

L’inspection du code révèle qu’il est correctement nettoyé après une redirection.

Modification du profil d’utilisateur

Réussite. —

Recherche classique Réussite. XSS basé sur DOM faussement positif L’inspection du code révèle que les valeurs ont été assainies. SBM a correctement bloqué la tentative de XSS basée sur DOM.

Work Center Réussite avec exception. Problème de XSS reflété détecté avec paramètre de shell (consultez la section « Informations supplémentaires »)

Micro Focus met à disposition des règles de sécurité pour la configuration du pare-feu d’application Web afin de bloquer ce résultat. Les clients peuvent également opter pour une configuration autorisant les shells personnalisés.

Création et exécution d’une activité

Réussite avec exception. Problème de XSS reflété détecté (consultez la section « Informations supplémentaires »)

L’inspection du code révèle que les valeurs ont été assainies. SBM a correctement bloqué la tentative de XSS basée sur DOM. Micro Focus met également à disposition des règles de sécurité pour la configuration du pare-feu d’application Web afin de bloquer ce résultat.

Création et exécution d’un backlog

Réussite avec exception. Problème de XSS reflété détecté (consultez la section « Informations supplémentaires »)

SBM a correctement bloqué la tentative de XSS basée sur DOM. Micro Focus met à disposition des règles de sécurité pour la configuration du pare-feu d’application Web afin de bloquer ces résultats.

162-FR0094-002 | S | 06/17 | © 2017 Micro Focus. Tous droits réservés. Micro Focus et le logo Micro Focus, entre autres, sont des marques ou des marques déposées de Micro Focus ou de ses filiales et sociétés affiliées au Royaume-Uni, aux États-Unis et dans d’autres pays. Toutes les autres marques sont la propriété de leurs détenteurs respectifs.

Micro FocusFrance+33 (0) 1 55 70 30 13

Micro FocusSiège social au Royaume-UniRoyaume-Uni+44 (0) 1635 565200

www.microfocus.com

Dix meilleurs résultats du projet OSWASP

www.microfocus.com

ID Zone testée Résultat Complément d’informations A1 Injection Aucun problème

détecté SBM surveille activement différents types d’attaques par

injection et applique les modèles de conception conçus pour les prévenir.

A2 Violation de la gestion de l’authentification et des sessions

Aucun problème détecté

SBM applique les meilleures pratiques du secteur à la gestion des sessions, à l’authentification et à la gestion des mots de passe.

A3 Scripts inter-sites (XSS) Aucun problème détecté

SBM surveille activement les attaques XSS et fournit une configuration rigoureuse pour le contenu autorisé.

A4 Références d’objet direct non sécurisées

Aucun problème détecté

Tout accès à des objets dans SBM est soumis à un contrôle d’accès centralisé afin de vérifier les autorisations dont dispose l’utilisateur.

A5 Mauvaise configuration de la sécurité

Aucun problème détecté

SBM fournit une application de configuration qui facilite la configuration des paramètres de sécurité et conseille sur la façon de sécuriser correctement la configuration.

A6 Exposition de données sensibles

Aucun problème détecté

Dans SBM, les données sensibles sont stockées de façon sécurisée lorsqu’elles sont au repos et, si la configuration le prévoit, lors de leur transfert vers le serveur.

A7 Absence d’un contrôle d’accès au niveau de la fonction

Aucun problème détecté

Toutes les demandes de données sont validées au niveau du client et à celui du serveur afin de garantir les autorisations d’accès aux données appropriées.

A8 Contrefaçon de requêtes inter-sites (CSRF)

Aucun problème détecté

SBM dispose de fonctions actives de monitoring et d’atténuation des attaques CSRF.

A9 Utilisation de composants affectés par des vulnérabilités connues

Aucun problème détecté

Dans le cadre du processus de gestion des versions, les composants tiers sont vérifiés par rapport à une liste de vulnérabilités, et ils sont mis à jour comme il convient.

A10 Redirections et transferts non validés

Aucun problème détecté

SBM applique un contrôle strict aux redirections internes et externes.