Vol de session : une nouvelle méthode de prévention est née

Vol de session : une nouvelle méthode de prévention est née

02

L’importance croissante de la livraison sécurisée d’applications WebAujourd’hui, les entreprises sont partout sur la toile. Que ce soit pour offrir à leurs clients des produits et services ou à leurs employés un accès simple aux données, de plus en plus d’organisations exploitent le potentiel des applications en ligne.

Les nouveaux points d’accès à Internet sont ouverts 24 h/24 et les utilisateurs s’y connectent où et quand ils le souhaitent, depuis leur ordinateur portable, tablette ou smartphone.

Toutefois, cette flexibilité n’est pas sans danger. Les organisations fortement sollicitées doivent trouver un équilibre entre un accès utilisateur pratique et la mise en œuvre de techniques de sécurité adaptées, empêchant les pirates d’exploiter les points d’accès pour effectuer des achats en ligne frauduleux ou pratiquer du vol d’identité et d’autres activités malveillantes.

03

Définition du vol de sessionSon aspect pratique côté serveur a fait du protocole HTTP la méthode la plus prisée pour permettre aux utilisateurs d’accéder aux applications Web. S’agissant d’un protocole sans état, les applications Web utilisent principalement des cookies pour maintenir l’état d’une session une fois l’utilisateur connecté.

Expérience utilisateur simple

Le maintien de l’état d’une session au moyen de cookies offre une expérience simple aux utilisateurs finaux : une fois leur identité (et celle de leur périphérique) confirmée à l’aide d’une méthode d’authentification, les utilisateurs peuvent obtenir rapidement d’une application les informations qui les intéressent.

Bien que toutes les organisations, quelle que soit leur taille, soient guidées par la nécessité d’offrir une expérience utilisateur engageante, l’utilisation simple du protocole et des cookies HTTP entraîne des vulnérabilités permettant aux pirates de détourner des sessions avec authentification.

Toutefois, cette expérience conviviale a un coût. Les cookies peuvent être volés, interceptés ou relus.

Le serveur n’enregistre aucune information de session

Expérience utilisateur simple

Le serveur n’enregistre aucune information de session

Authentification

Demande 1

Réponse 1 + Cookie

Avant

Après

Authentification

Demande 1

Réponse 1 + Cookie

04

Le vol de session n’est pas un phénomène nouveau ; il constitue une menace réelle depuis l’apparition de HTTP 1.1. Néanmoins, ce qui n’était qu’une ombre au tableau de la sécurité informatique suscite désormais une réelle inquiétude. Cela s’explique en partie par l’utilisation accrue de protocoles de sécurité plus stricts.

Face à la montée en puissance de la connexion à deux facteurs, de l’authentification basée sur les risques et d’autres méthodes similaires au sein de la communauté de sécurité informatique, les pirates s’intéressent aux maillons plus faibles de la chaîne, comme les sessions HTTP. Pour eux, il devient de plus en plus difficile d’usurper l’identité d’une personne en utilisant des informations d’identification volées. Du coup, ils laissent les utilisateurs créer une session, puis récupèrent les informations d’identification de la session pour voler des données.

Dans son rapport « OWASP Top 10 – 2013: The Ten Most Critical Web Application Security Risks », l’initiative Open Web Application Security Project (OWASP) souligne la prévalence du vol de session. OWASP pointe notamment du doigt les éléments suivants :

Vol de session : comprendre la menace

Difficulté à étendre la mobilité sans augmenter les risques

Scripts intersites (XSS)

Falsification de requête intersites (CSRF)

05


Il arrive fréquemment que les fonctions applicatives liées à la gestion de l’authentification et des sessions ne soient pas correctement mises en œuvre, permettant ainsi aux pirates d’intercepter les mots de passe, les clés ou les jetons de session, ou encore d’exploiter d’autres problèmes d’implémentation afin de s’emparer de l’identité d’autres utilisateurs.







06

Les failles de type XSS se produisent chaque fois qu’une application accepte des données non vérifiées et les envoie à un navigateur Web sans possibilité de les valider ou de les refuser. Les scripts intersites permettent aux pirates d’exécuter des scripts sur le navigateur de la victime pour voler des sessions, trafiquer les sites Internet ou rediriger l’utilisateur vers des sites malveillants.








07





Une attaque CSRF (Cross-site Request Forgery, Falsification de requête intersites) provoque l’envoi, par le navigateur de la victime connectée, d’une requête HTTP frauduleuse vers une application Web vulnérable. Le pirate peut ainsi forcer le navigateur de la victime à générer des requêtes considérées comme légitimes par l’application vulnérable.1

1 The Open Web Application Security Project (OWASP) https://www.owasp.org/index.php/Top_10_2013-Top_10. Disponible avec une licence Attribution-ShareAlike 3.0 de creativecommons (http://creativecommons.org/licenses/by-sa/3.0/). Le contenu n’a pas été modifié.




https://www.owasp.org/index.php/Top_10_2013-Top_10

http://creativecommons.org/licenses/by-sa/3.0/

08

L’authentification basée sur les risques étant de plus en plus dissuasive pour les pirates, ces derniers se tournent vers le vol de session. L’authentification forte s’impose désormais comme un rempart infranchissable, mais les sessions HTTP présentent encore de sérieuses failles de sécurité. Voici quelques exemples de techniques de vol de session :

Techniques de vol de session

Usurpation d’adresseAccès non autorisé à des sessions sur la base de la falsification de données

Attaque par interception (« Man-in-the-middle »)Vol de cookie HTTP en transit à l’insu de l’utilisateur

Attaque par infection du navigateur (« Man-in-the-browser ») Installation de code sur le navigateur pour transférer des données à un tiers

Les attaques CSS et XSS sont également fréquemment utilisées par les pirates et les fraudeurs. Cependant, les attaques les plus préoccupantes pour les entreprises sont peut-être bien celles de type inconnu que les pirates développent continuellement et qui affectent de plus en plus les sessions Web.

09

L’authentification unique, un multiplicateur de menaces

L’authentification unique est considérée à juste titre comme l’une des techniques les plus efficaces pour fournir une expérience conviviale : une seule authentification suffit à l’utilisateur pour accéder aux données de plusieurs applications.

Néanmoins, l’authentification unique peut également devenir la meilleure amie du pirate, puisqu’il lui suffit d’intercepter un seul cookie ou jeton de session pour accéder à plusieurs applications.

Utilisateur

Authentification unique

Serveur CRM

Système de fichiers

Serveur MAP

Serveur de messagerie

Approches traditionnelles de la prévention des vols de session

ArchitecturesLa réorganisation de l’architecture réseau est une approche de sécurité informatique classique. En réorganisant leurs systèmes IT sur un modèle de réseau en étoile, les spécialistes de la sécurité tentent de limiter considérablement l’extension des cookies à d’autres applications.

Gestion des cookiesL’instauration de règles et de bonnes pratiques autour des cookies, comme la limitation des cookies aux seuls cookies sécurisés (de type HTTP ou hôte uniquement, par exemple), permet d’enrayer la prolifération des données.

Vérification externe limitéeLa validité d’une session peut également être vérifiée par une approche centrée sur les adresses IP. Toutefois, les proxies, adresses IP dynamiques et autres facteurs peuvent compliquer la lecture de l’adresse IP du périphérique exécutant la session.

Délais d’expirationLimiter la durée de validité d’un cookie permet également d’atténuer le risque de vol de session, mais le vol peut se produire au moment où, une fois la session expirée, l’utilisateur est invité à s’identifier de nouveau.

Depuis bientôt 20 ans, des méthodes de prévention sont développées en parallèle des techniques de vol de session. Voici quelques exemples de méthodes de prévention employées par les entreprises :

10

Bien que ces méthodes soient un bon point de départ, elles ont toutes leurs défauts qui les rendent inefficaces pour les entreprises qui souhaitent atténuer le risque de vol de session et offrir une expérience utilisateur de qualité, tout en proposant plusieurs modes d’accès aux applications.

11

« More-in-the-Middle » : une approche innovante de la prévention des vols de session

En limitant l’étendue et les conséquences des attaques, les approches traditionnelles de prévention des vols de session offrent une protection acceptable. Néanmoins, de nouvelles méthodes sont en train d’émerger, qui travaillent de concert avec une authentification forte, pour rendre le vol de session extrêmement difficile.


Site Web

1

5

3

4

2

1. Connexion de l’utilisateur au site Web | 2. Avant qu’un jeton de session soit créé, l’utilisateur est redirigé vers le service de collecte DeviceDNATM 3. Collecte par DeviceDNA | 4. Stockage par DeviceDNA et création du jeton de session 5. Redirection de l’utilisateur vers le serveur Web avec session sécurisée

Renforcement du contrôle

Renforcement de la connexion

Approche active de la sécurité des sessions

12





En ajoutant une étape intermédiaire entre le client et le serveur, l’entreprise peut renforcer le contrôle de sécurité d’une session.

L’utilisateur ne reçoit plus le jeton de session du serveur ou du site Internet, mais de cette couche intermédiaire qui relie le jeton de session au périphérique employé par l’utilisateur pour s’authentifier. Cette couche vérifie objectivement les cookies à la recherche de cookies volés. Les technologies qui utilisent cette méthodologie revérifient généralement l’identité du périphérique à intervalle régulier pour empêcher un fraudeur d’intercepter le cookie et de l’utiliser pour se connecter à une application.


Site Web

1

5

3

4

2



13





Dans cette approche, la connexion entre le cookie d’authentification unique et le cookie d’une application est une étape cruciale. En combinant ces deux jetons, les pirates sont incapables de se connecter au système de gestion des accès Web et de voler un cookie utilisé par une session Java.


Site Web

1

5

3

4

2



14





CA Single Sign-On offre une fonction essentielle, à savoir la garantie de sessions améliorée avec DeviceDNA™. Ce composant se « rappelle » du périphérique à partir duquel l’utilisateur s’est authentifié la première fois, puis compare activement les paramètres et l’historique du périphérique actif par rapport au périphérique initial afin de s’assurer de l’identité de l’utilisateur et de la légitimité de la tentative de connexion. Cette technologie en attente d’un brevet incluse dans CA Risk Authentication distingue cette approche des méthodes traditionnelles de protection des sessions.


Site Web

1

5

3

4

2



Vol de session en bref

15

Menace

Les applications Web ayant envahi le paysage économique, le vol de session présente un danger croissant pour les entreprises.

Avec l’amélioration des méthodes d’authentification, les pirates ont déplacé leur attention des informations de connexion vers les sessions elles-mêmes.

Le vol de session se présente sous différentes formes, notamment les attaques par interception et par infection du navigateur.

Approches traditionnelles

Depuis l’apparition de HTTP 1.1, la sécurité d’entreprise est en proie à une guerre de l’innovation lancée contre les voleurs de session.

Des modèles alternatifs d’architecture, une méthode de gestion des cookies et la vérification des adresses IP sont quelques-unes des approches courantes employées par les entreprises pour se protéger contre le vol de session.

Ces méthodes ont une efficacité restreinte et ne servent qu’à limiter les conséquences inévitables.

Technologie actuelle

Les approches plus modernes impliquent l’introduction d’une couche supplémentaire entre l’application et le serveur.

Cette couche intermédiaire est contrôlée par l’équipe de sécurité informatique et envoie le jeton de session à l’utilisateur, rendant extrêmement difficile le vol de session.

Pour renforcer l’efficacité de cette couche intermédiaire, l’entreprise doit relier à un périphérique donné le cookie d’authentification unique et tous les cookies d’application utilisés.

CA Technologies (NASDAQ : CA) crée des logiciels qui alimentent la transformation des entreprises et leur permettent de saisir toutes les opportunités de l’économie des applications. Le logiciel est au cœur de chaque activité et de chaque industrie. De la planification au développement, en passant par la gestion et la sécurité, CA Technologies collabore avec des entreprises partout dans le monde afin de transformer la façon dont nous vivons, interagissons et communiquons, dans les environnements mobiles, de Cloud public et privé, distribués et mainframe. Pour en savoir plus, rendez-vous sur ca.com/fr.

L’authentification sécurisée et la gestion souple des accès de CA Single Sign-On permettent à votre organisation d’authentifier les utilisateurs et de contrôler les accès aux portails et aux applications Web. Supportant les applications en ligne, intranet et Cloud, ces fonctionnalités permettent de sécuriser la livraison d’informations stratégiques et d’applications à vos employés, partenaires, fournisseurs et clients au moyen de l’authentification unique. Ce produit évolutif s’adapte aux besoins métiers croissants en proposant des outils d’administration flexibles pouvant supporter un modèle d’administration centralisé ou distribué.

Pour plus d’informations sur la prévention des vols de session, rendez-vous sur ca.com/fr/secure-sso.

À propos de la solution de CA Technologies

Copyright © 2014 CA. Tous droits réservés. Tous les noms et marques déposées, dénominations commerciales, ainsi que tous les logos référencés dans le présent document demeurent la propriété de leurs détenteurs respectifs.

CS200-86780

http://www.ca.com/fr

www.ca.com/fr/secure-sso

Documents

Vol de session : une nouvelle méthode de prévention est née