Partager via

Comprendre le modèle "STRIDE" (fr-FR)

  • Article

 

https://askthecloudexpert.files.wordpress.com/2018/01/stride_bigpicture_byhk.png

 

STRIDE ? Qu'est-ce que c'est ?

STRIDE (pour Spoofing - Tampering - Repudiation - Information Disclosure - Denial of Service - Elevation of Privilege) est un modèle de classification de Menaces (Threats) développé par Microsoft.

La compréhension des risques et menaces sont des items importants à prendre en considération lorsque vous concevez et construisez des Application Web (Locales ou hébergées dans le Cloud).

C'est la raison pour laquelle Microsoft a développé le modèle STRIDE, modèle sur lequel vous pouvez vous appuyez pour identifier, lister et classifier les différentes menaces représentant un "Risk" et pouvant impacter votre future "Business Application".

Je vous présente (brièvement) à travers cet article chaque catégorie du modèle STRIDE :

Spoofing (Userpation) : on appelle "Usurpation (d'identité)" le fait qu'un pirate informatique se fasse passer pour un autre utilisateur ou Device du réseau pour voler des données ou obtenir l'accès à des informations confidentielles (e.g : données financières). Les formes les plus courantes d'usurpation sont l'usurpation d'IP, l'usurpation d'e-mail et l'usurpation de DNS.

Tampering (Falsification) : falsifier signifie modifier ou supprimer une ressource sans autorisation. C’est le cas par exemple de l’altération d’une page Web par un utilisateur malveillant qui accède à un site et en modifie les fichiers. L’utilisation d’une attaque de script constitue un moyen de falsification indirect. Un utilisateur malveillant envoie du code (script) exécutable en le masquant comme entrée d’utilisateur d’un formulaire ou sous forme de lien

Repudiation (Répudiation) : la répudiation définit le comportement d’une personne qui nie malhonnêtement avoir reçu ou envoyé certaines informations au cours d’une transaction ou une communication au travers d’un réseau, alors que ce n’est pas le cas.

Information Disclosure (Divulgation de l'information) :  la divulgation de l'information permet à un pirate informatique d'obtenir des informations "précieuses" sur votre système d'information, ou simplement sur une plateforme applicative spécifique (WebSite, Web App...etc) : vol d'informations liées à un site Internet telles que la distribution de logiciels, les numéros de version et les niveaux de module de correction. Les informations collectées peuvent également comporter l'emplacement des fichiers de sauvegarde ou des fichiers temporaires.

Denial of Service (Déni de Service) : une attaque par Déni de Service a pour but de rendre indisponible un système informatique (WebSite, Application, Serveurs de données/fichiers...etc) et d'empêcher les utilisateurs légitimes du réseau de l'utiliser. À l’heure actuelle la grande majorité de ces attaques se font à partir de plusieurs sources, on parle alors d'attaque par déni de service distribuée (DDoS attack pour Distributed Denial of Service attack).

Elevation of Privilege (Elévation de privilège) :  L’élévation de privilège consiste, pour un utilisateur malveillant, à obtenir un niveau d’autorisation plus élevé que celui qui lui est normalement attribué (passage d'un rôle "Standard User" à "Admin User /root". Par exemple, dans une attaque d’élévation de privilège réussie, un utilisateur malveillant parvient à obtenir des privilèges d’administrateur sur un serveur Web, d'application ou d'annuaire (LDPA /AD) ce qui lui permet de réaliser librement tous les ravages qu’il souhaite.

Nous verrons dans un prochain article les méthodes/techniques vous permettant de vous protéger contre ces menaces/attaques, so stay connected et n'hésitez pas à vous abonner à mon Blog pour rester informé des nouveaux articles publiés.