Formation Sécurité des applications .NET

1/ Introduction

• L'importance de la sécurité

• Contre qui et quoi se défendre ?

• Les failles de sécurité classiques

• Comment une attaque survient ?

• Les challenges de la sécurité

2/ Problématique de sécurité en .NET

• Authentification, Protection, Cryptage

• Outils de sécurité .NET

• Sécurité d'exécution, authentification, protection des données et des accès

• Types de menaces, validation des données saisies

3/ Sécurité dans le framework .NET

• Protection du contenu des assembly

• Protection de l'exécution des programmes

• Déploiement d'une stratégie de sécurité du CLR

• Stratégie de sécurité et déploiement des applications. Principe d'utilisation des "preuves"

• Règles d'exécution selon la provenance des applications

• Nouveautés de .NET4

• Confiance totale/Partielle

4/ Les bases de la cryptographie

• Cryptographie - Les définitions

• Types de chiffrement : chiffrement à clés partagées, chiffrement à clé publique

• Symétrique vs. asymétrique, combinaisons symétrique / asymétrique

• Fonctions de hachage

• Signatures numériques, processus de signature, processus de vérification

5/ Chiffrement, hash, et signature des données en .NET

• Cryptographie Service Providers (CSP)

• Système, sécurité, cryptographie

• Choix des algorithmes de chiffrement

• Chiffrement symétrique :

• algorithme (DES, 3DES, RC2, AES)

• chiffrement de flux

• mode de chiffrement (CBC, ECB, CFB)

• Algorithmes asymétriques en .Net

• Algorithme : RSA, DSA

• Algorithme de hachage : MD5, SHA1

6/ Vue d'ensemble d'une infrastructure à clé publique (PKI)

• Certificat numérique : certificat X.509

• PKI - Les définitions

• Les fonctions PKI

• PKI - Les composants

• PKI - Le fonctionnement

• Applications de PKI : SSL, VPN, IPSec

• IPSec et SSL en entreprise

• Smart Cards (cartes intelligentes)

• Autorité de certification

7/ Sécurité du code .NET

• Code transparent de sécurité, critique de sécurité et critique sécurisée

• Quelles sont les autorisations d'accès du code ?

• Comment procéder à l'obfuscation du code. Chiffrement des informations de configuration

• Mettre en place la gestion déclarative/impérative des mécanismes de sécurité

• Effectuer la restriction/vérification des droits de l'exécution du programme

• Comment mettre en œuvre la gestion de la sécurité à partir des rôles

8/ SSL et certificat

• SSL et certificat de serveur

• Certificat de serveur SSL : présentation, autorité de certification d'entreprise, autorité de certification autonome

• SSL et certificats clients

• Certificats clients

• Fonctionnement de SSL : phase I, II, III et IV

• Classe X509 Certificate

• Classe HttpClient Certificate

9/ Sécurité des services Web

• Objectifs de la sécurisation des services Web :

• authentification

• autorisation

• confidentialité et intégrité

• Limitations liées à SSL

• Sécurité des services Web : WSE 2.0, sécurisation des messages SOAP

10/ Jetons de sécurité

• Jetons de sécurité : UserName Token, Binary Token, XML Token

• Certificats X.509

• Signature des messages SOAP

12/ Outil de sécurité et d'audit

• Outils du SDK liés à la sécurité

• Outils pour mener les tests de sécurité