Sécurité Java / Jee

Présentation
- La sécurité, une veille histoire...
- Bob, Alice et Charly
- Problématiques de sécurisation
a) Identification
b) Authentification
c) Autorisation
d) Confidentialité
e) Non-répudiation
- Techniques de sécurisation
a)Chiffrement (DES, AES, ...)
b) Code de hachage
c) Signature (MD5, ...)

JCE : Java Cryptography Extension

- Mise en oeuvre du chiffrement et du déchiffrement
- Mise en oeuvre de la signature
- Configuration et choix des Security Provider

PKI : les Infrastructures à clef publique

- Différences entre une Clef, une Bi-Clef et un Certificat
- llustration d'un envoi d'email avec thunderbird
- Les acteurs d'une PKI

a) Autorités de Certification
b) Exemples : Entrust, VeriSign, Thawte
c) Créer votre propre AC

- Listes de révocation
- Où stocker toutes ces clefs ?

Keytool : le magasin de clefs Java

- Génération, manipulation, export et import de clefs et de certificats

SSL

- Le ou les finalités de SSL
- SSL simple / SSL mutuelle
- Procédure de Handshake
- Présentation de TLS
- HTTP + SSL = HTTPS
- Les Magasins de certificats de Internet Explorer et FirefoxJSSE : l'API SSL du monde Java
- Présentation de Java Secure Socket Extension
- Manipulation de certificats X.509
- Sécurisation d'un échange client/serveurJAAS : Java Authentication and Authorization Service
- Présentation du principe et des acteurs JAAS
- Notion de Principal et de Subject
- Présentation de modules de Login classiques (Exemples: Windows, LDAP, SGBD, ...)

Sécurité de la JVM

- Sécurité liée au classloader

a) Classloader par défaut
b) Politique de chargement des classes
c) Créer votre propre classloader

- Garantir l'intégrité du code par signature
- Inconvénients du ByteCode : décompilation et obfuscation de code
- Apprendre à activer le SecurityManager
- Définir des politiques d'accès grâce aux JavaPolicy (*.policy)
- Mettre en oeuvre les Security

Permissions

- Présentation du Bac à sable (sandbox)
a) Cas des Applets
b) Cas des applications JavaWebStart

Sécurité d'une application JEE

- Une sécurité basée sur les rôles (security role based)
- Notion de Realm : JDBC, LDAP, XML, ...
- Sécurité déclarative par Security Contraints dans les descripteurs de déploiement
- Sécurité programmative par l'utilisation d'API dans le code applicatif
- Sécurisation des EJB et des Applications Web
- Exemple de configuration du container web Tomcat
- Problématique d'accès aux autres acteurs (Exemple: la base de données)

Moyens d'authentification standards

Introduction à la Sécurité matérielle

- Hub et Switch
- Firewall et DMZ
- Ouverture de ports
- Système d'exploitation
- Proxy / Reverse Proxy
- Réseaux privés et VPN