Symposium sur la sécurité des technologies de l'information et des communications

Soixante-dix pour cent des attaques viennent de l'intérieur de l'entreprise. L'affaire Kerviel en a fait une démonstration flagrante. Les projets JavaEEs sont très présents dans les entreprises. On peut même avancer que toutes les grandes entreprises ont au moins une application JavaEE. Par manque de temps, de compétences disponibles ou par excès de confiance, il n'est généralement fait aucun audit pour vérifier qu'un développeur malveillant ou qui subit des pressions n'a pas laissé une porte dérobée invisible dans le code. Dans son article, Philippe Prados propose de se mettre à la place d'un développeur Java pour étudier les différentes techniques permettant d'ajouter une porte dérobée à une application JavaEE, sans que cela soit visible par les autres développeurs du projet. Nous avons développé une archive Java qui permet, par sa simple présence dans un projet, d'ouvrir toutes les portes du serveur. Nous étudierons alors les risques et proposerons différentes solutions et outils pour interdire et détecter ce type de code.