Vous êtes sur la page 1sur 11

Sponsoris par

>>

Publication
Le dtournement de session
Septembre 2011

Comment protger vos clients et vos donnes dentreprise

Le dtournement de session

Table des matires


Synthse
...............................................................................................................................................................................................................

p3
p3 p4 p4

Dtournement de session - simplement point et click FaceNiff Firesheep pour mobiles Les mdias sociaux et lentreprise Mitigation des risques Conclusion Une complaisance dangereuse propos de Thawte

..........

............................................................................................

Nous sommes tous dans le mme bain

.........................................................................

. .............................................................................................

p5
p7

. .................................................................................................................................................

...............................................................................................................

p9 p 10 p 11

.......................................................................................................................................................................................................

..............................................................................................................................................................

Ce document est la proprit dIncisive Media. Reproduction et distribution de cette publication sous toutes formes sans une autorisation crite sont interdites.

Computing I publication l sponsoris par Thawte

Le dtournement de session

Synthse
Firesheep est une extension de Mozilla Firefox, parue en automne 2010 pour dmontrer linscurit inhrente aux sites Web de mdias sociaux qui cryptent leurs pages de login avec SSL, pour repasser http ds que lutilisateur quitte la page de login. Computing, la principale publication de technologie au Royaume-Uni, a sond 140 dcideurs dentreprise afin de comprendre la faon dont les organisations considrent les menaces que font poser Firesheep, et son quivalent pour tlphones mobiles FaceNiff, et comment elles parviennent mitiger ces menaces. Notre objectif tait de comprendre si les organisations commerciales considrent ces vulnrabilits comme un problme rel qui doit les proccuper, ou bien comme une menace qui affectent strictement les consommateurs. La prsente communication comprend une discussion dtaille sur les conclusions du sondage, et les implications de Firesheep, et autres attaques dtournement de session, tant pour la scurit de linformation dentreprise que pour les clients et les utilisateurs de sites Web.

Dtournement de session - simplement point et click


Le dtournement de session, ou sidejacking, est tout simplement un moyen de sapproprier une session sur le Web en semparant de lidentifiant de session (normalement plac dans un cookie) et de se faire passer pour lutilisateur lgitime. Bien entendu, une fois que le hacker est parvenu semparer des informations de la session de sa victime, il est en mesure de faire, sur ce rseau, tout ce que lutilisateur lgitime est autoris faire. Bien que les pages de login, par exemple avec des sites de mdias sociaux, bnficient gnralement dune scurisation HTTPS, ces sites repassent normalement http aprs le login, en rendant alors disponible en texte clair le tmoin de connexion, ou cookie. Le dtournement de session ne peut avoir lieu que sur des rseaux publics non scuriss, cest dire les types de rseau que lon trouve frquemment dans des cafs, des htels, des aroports etc. Le dtournement de session nest pas un phnomne nouveau il existe depuis aussi longtemps que les crateurs Web font usage didentifiants de session pour nous apporter les sessions sans rupture sur le Web auxquelles nous prtendons dsormais. Des outils comme Hamster, Ferret, et Cookie Monster exploitent cette vulnrabilit depuis 2007. Toutefois, lemploi efficace de ces outils ncessitait une connaissance raisonnable des techniques de piratage. Puis, au mois doctobre, Eric Butler, crateur Web frustr par cette vulnrabilit incessante de la scurit, a lanc Firesheep, qui englobait ces vulnrabilits dans une extension Firefox pratique et bien conue, avec interface pointe et clique. Comme lexplique Butler, il a dvelopp Firesheep pour montrer la faon dont on ignore un problme essentiel trs rpandu de la scurit des sites Web .

Computing I publication l sponsoris par Thawte

Le dtournement de session

Mme si lintention de Butler tait entirement altruiste, le rsultat est quavec Firesheep, le dtournement de session est dsormais la porte de nimporte quelle personne motive. Avec plus dun million de tlchargements de Firesheep dj effectus jusqu prsent, un nombre qui ne fait quaugmenter, Butler avait peuttre sous-estim lenvergure de cette motivation.

FaceNiff Firesheep pour mobiles


FaceNiff, lanc au moins de juin de cette anne, est une application androde, qui permet aux hackers dintercepter des profils de sessions sur le Web sur des rseaux sans fils, et de semparer des justificatifs didentit de lutilisateur pour Facebook, Twitter, You Tube et autres sites de mdias sociaux. Les crateurs se sont engags lancer prochainement un plus grand choix de sites. FaceNiff est presque aussi facile a utiliser que Firesheep, et, sans doute plus important encore, il fonctionne sur des rseaux sans fils code WPA.

Nous sommes tous dans le mme bain


Une grande partie de la publicit dont bnficient Firesheep et FaceNiff tant base sur des sites Web de mdias sociaux, on a eu tendance dire quil ne sagissait pas dun problme qui concernait les organisations commerciales. Toutefois, nombreuses sont les organisations commerciales qui utilisent des mdias sociaux pour les ventes, le marketing, le service la clientle, et des services dassistance. De plus, le dtournement de session peut, en thorie, tre utilis pour dtourner nimporte quelle autre application Internet ou dmatrialise. Avant dexaminer certains risques propres aux dtournements de session, il est ncessaire de comprendre lenvironnement ncessaire leur dveloppement : pour ceci, un des lments cl est lessor de lemploi de rseaux publics. Computing a pos la question suivante : votre connaissance, vos employs sont-ils en mesure daccder / accdent-ils Internet par des rseaux publics ? Comme lindique la figure 1, plus de 81 pour cent des personnes interroges ont rpondu oui .

Computing I publication l sponsoris par Thawte

Le dtournement de session

Fig. 1 : A votre connaissance, vos employs sont-ils en mesure daccder / accdent-ils Internet par des rseaux publics (avec ou sans fils) ?
Ne sais pas (4%) Non (15%)

Oui (81%)

Lutilisation de rseaux publics par la quasi-totalit des internautes, demploys dentreprises aux surfeurs du troisime ge , en passant par les tudiants, est dsormais fermement ancre dans nos coutumes daccs au Web, ces dernires ne saccompagnant malheureusement pas dun renforcement de la sensibilisation des utilisateurs sur les risques des rseaux publics. Dans le cadre de cette analyse contextuelle, Computing a galement demand aux personnes interroges si elles avaient plac dans le cloud des applications parmi celles quelles utilisent tous les jours, en souscrivant des services comme Salesforce.com. Plus dun tiers des personnes interroges ont rpandu par laffirmative, et ladoption de services dinformatique dmatrialise reste trs nettement en hausse. Le nombre croissant dapplications places dans le cloud, conjointement avec lexpansion de lemploi de rseaux publics, constituent un risque considrable pour la scurit de linformation dentreprise.

Les mdias sociaux et lentreprise


Du fait quune grande partie des discussions dcoulant de lextention Firesheep porte spcifiquement sur la scurit des sites Web des mdias sociaux, Computing a pos aux personnes interroges certaines questions spcifiques sur ces sites, et leur a demand, en premier lieu, sils utilisent des sites de rseautage social pour des applications dentreprise. Les rsultats sont reports dans la figure 2.

Computing I publication l sponsoris par Thawte

Le dtournement de session

Fig. 2 : Utilisez-vous des outils de rseautage social, comme Facebook, Twitter ou LinkedIn, lchelon de lentreprise ?
Ne sais pas / Pas sr (12%) Nous lutilisons des fins de marketing ; autrement dit, nous possdons une page Facebook dentreprise (46%)

Non (29%)

Le service commercial utilise des sites de mdias sociaux (13%)

Prs de 60 pour cent des personnes interroges utilisent des mdias sociaux un chelon commercial quelconque les services commerciaux et/ou de marketing utilisant des sites comme Facebook, Twitter et LinkedIn. Vingt-neuf pour cent seulement ont rpondu fermement non cette question, ce qui tmoigne bien dun emploi beaucoup plus gnralis quau premier abord des mdias sociaux. La gnralisation de lemploi de mdias sociaux des fins commerciales expose beaucoup plus quelles ne le croient les organisations commerciales des risques de vulnrabilit, comme ceux que posent Firesheep et FaceNiff. Un des problmes particuliers propres lapplication de sites de mdias sociaux des fins commerciales est que la responsabilit du maintien dune prsence commerciale est gnralement du ressort du personnel commercial et/ou de marketing : il est vident que ce personnel est souvent moins au courant des problmes de scurit que ne le sont ses collgues du service informatique. Nous avons pos la question suivante : Qui est responsable de la scurit des mdias sociaux dans votre organisation ? . Bien que 65 pour cent des personnes interroges ont rpondu que le service informatique tait toujours responsable de la scurit, 20 pour cent ont admis quen pratique, la bonne rponse est les responsabilits sont partages , et quils sefforcent dinculquer les principes des pratiques de scurit aux utilisateurs dentreprise. Ces conclusions illustrent les difficults que doivent affronter les responsables de la scurit de linformation. Ils sont sans doute les responsables gnraux de la scurit des donnes des clients, mais si nous prenons lexemple dun membre du service commercial qui utilise le site Web des mdias sociaux pour communiquer avec un client propos dune question dassistance, et qui se sert dun rseau public pour le faire, nous comprenons les graves risques que font peser certaines vulnrabilits comme Firesheep pour la scurit de linformation dentreprise. Ce problme ne concerne pas que les consommateurs.

Computing I publication l sponsoris par Thawte

Le dtournement de session

On a demand aux personnes interroges quels sont les paramtres quelles examinent pour valuer la scurit dun site Web de mdias sociaux. Les rponses varient considrablement. Soixante-huit pour cent optent pour un cadenas dans la barre dadresse : ces personnes nutilisent vraisemblablement pas des versions rcentes de Mozilla Firefox, car Mozilla a abandonn le cadenas dans la version 4.0 de Firefox et dans toutes les versions ultrieures, et la remplac par un bouton dIdentit du Site. Prs de la moiti des personnes interroges recherchent HTPPS dans les pages de login. Comme nous lavons indiqu prcdemment, ceci ne suffit pas empcher un dtournement de session, et cest peut-tre la raison pour laquelle 53 pour cent des personnes interroges sattendent trouver HTPPS doffice sur lintgralit du site. Mis part lemploi dun rseau priv virtuel (VPN), lutilisation de SSL pour lintgralit de la session est la seule faon de se protger contre les dtournements de session. Vingt-quatre pour cent recherchent une barre dadresse verte lindicateur visuel le plus fort de la prsence dun codage SSL Extended Validation ( validation renforce, SSL EV) le niveau de codage et dauthentification le plus lev pour une entreprise.

Mitigation des risques


Comme nous lavons mentionn prcdemment, les utilisateurs peuvent se protger de deux faons contre les attaques avec dtournement de session, chacune de ces solutions tant approprie pour un type dutilisateur diffrent. La solution la mieux approprie pour les utilisateurs de tlphones mobiles est la transmission de tout leur trafic Web travers un tunnel VPN authentifi correctement. En rponse la question : avez-vous apport des modifications spcifiques la scurit de votre tlphone mobile depuis le lancement de Firesheep ? , 11 pour cent ont rpondu quils conseillent aux utilisateurs daccder toutes les informations sensibles travers un rseau priv virtuel (VPN). Toutefois, les VPN sont, pour la plupart, des solutions pour entreprises, et non pas pour le consommateur. Bien quil existe des VPN pour consommateurs, le niveau de sensibilisation, mais aussi les connaissances techniques ncessaires pour les utiliser de faon efficace, sont rares dans la dmographie cible. Alors, comment assurer la protection de vos clients ? Si vous utilisez un site Web transactionnel qui change des informations avec les utilisateurs, la seule faon dassurer une protection intgrale contre les attaques avec dtournement de session est dtablir une protection HTTPS en permanence. Le fait que plus de la moiti des personnes interroges dans notre sondage dclarent quelles recherchent un url HTPPS pour tablir la scurit dun site indique bien que la gnralisation de lemploi de SSL sur tous les sites Web est une mesure que les organisations commerciales devraient envisager srieusement. Ceci dit, lorsquil sagit des sites Web des personnes interroges, les avis sur SSL semblent plutt partags (fig. 3).

Computing I publication l sponsoris par Thawte

Le dtournement de session

Fig. 3 : Utilisez-vous SSL pour lintgralit de votre site Web public, ou certaines sections seulement ?
Nous lutilisons pour lintgralit du site (16%) Ne sais pas (35%)

Nous lutilisons sur les pages transactionnelles seulement (12%)

Nous lutilisons sur toutes les pages de saisie de donnes et transactionnelles (37%)

Comme nous pouvions le prvoir, une majorit des personnes interroges (37%) utilisent SSL la fois pour la saisie de donnes et pour les pages transactionnelles. Toutefois 12 pour cent ne lutilisent que pour les pages transactionnelles, et non pas sur celles o des changes de donnes ont lieu. Il est vident que ceci expose leurs clients un risque de dtournement de session sils accdent leur site Web depuis un rseau non scuris. Une certaine proportion dutilisateurs prvoyants, qui se chiffre 16 pour cent, utilise SSL pour lintgralit de leur site Web. Il est intressant de noter quun grand nombre de personnes interroges semblent tre de lavis que cette situation est loin dtre idale. Lorsquon leur demande : votre avis, vos clients bnficieraient-ils de lapplication de SSL sur chaque page de votre site Web ? , 42 pour cent rpondent quelles en sont convaincues. Toutefois, en dpit de lavis des personnes interroges, 12 pour cent seulement de celles-ci prvoient dappliquer SSL sur leur site intgral, en rponse au lancement de Firesheep, ou pour diffrentes questions de scurit. Lorsquon demande quest-ce qui empche une adoption plus gnralise de SSL, la grande majorit (62%) rpond que lon nen peroit pas la ncessit dans lorganisation au sens large. Ceci dit, 31 pour cent dclarent que les inquitudes subsistent, mais quelles ne sont pas urgentes, tandis que 19 pour cent invoquent des restrictions budgtaires qui les forceraient laisser des sections de leurs sites non cryptes. Si lon prend ces deux derniers chiffres ensemble, la conclusion que lon en tire est quenviron 50 pour cent des personnes interroges sont sans doute entirement convaincues de la ncessit de lapplication intgrale de SSL, mais nont peut-tre pas t en mesure de convaincre les responsables budgtaires.

Computing I publication l sponsoris par Thawte

Le dtournement de session

Une complaisance dangereuse


Si nous prenons les chiffres susmentionns, et que nous les examinons conjointement avec la conclusion daprs laquelle 71 pour cent des personnes que nous avons interroges nont pas procd lapplication de changements dans leur politique de scurit mobile, dans le sillage de la publicit produite par Firesheep, et nont aucune intention de le faire, nous relevons un scnario inquitant. En dpit du fait quun grand nombre de professionnels de linformatique utilisent SSL comme rfrence de la scurit des sites Web, nombreuses sont les organisations commerciales qui ne protgent pas leurs employs, et, par consquent, leurs propres informations dentreprise ou, plus important encore, leurs clients en utilisant la mme technologie. Cette situation reflte les rponses de sites Web comme Twitter et Facebook, qui (dans le cas de Facebook, jusqu une priode relativement rcente) sont au courant de cette vulnrabilit depuis le tout dbut de son exploitation, mais dcident de ne rien faire pour la combattre. Mme la rponse fort tardive du rseau Facebook, qui a annonc cette anne quil est maintenant en mesure, en option, de naviguer dans le site par HTPPS par dfaut, est tributaire de lactivation, par lutilisateur, des options de scurit correspondantes. Le fait est que les organisations commerciales ont le devoir de protger les informations de leurs clients. Les rglementations gouvernementale et de lindustrie, comme par exemple le PCI DSS, la commission nationale de linformatique et des liberts (CNIL) ou encore les lois gnrales de protection des donnes, ont pour objet de sensibiliser ces organisations sur leur responsabilit de protection de linformation de leurs clients. Elles comportent un cadre de rgles que lon doit observer. Les pnalits pour linobservation vont de limposition damendes jusque, dans le cas du PCI DSS, le risque thorique dune interdiction du traitement des paiements par carte. Mais lincitation sans doute la plus importante est le risque dune censure par le public. Les cas de Lush et Cotton Traders dmontrent le tort que peut faire une violation de donnes de grande envergure pour la marque et la rputation dune organisation. Le grand nombre de personnes que nous avons interroges, pour lesquelles lextension de SLL dans leur site Web est une initiative envisage trs longue chance, auraient peut-tre intrt envisager de lui accorder une plus grande priorit.

Computing I publication l sponsoris par Thawte

Le dtournement de session

Conclusion
Une grande partie de lanalyse de Firesheep sest concentre sur les utilisateurs, au niveau des consommateurs, de rseaux et sites Web non scuriss. Toutefois, le sondage de Computing confirme que, du fait de lemploi toujours plus rpandu des mdias sociaux dans les secteurs des ventes, du marketing et de lassistance au sein des organisations, on ne devrait pas limiter lanalyse de Firesheep aux utilisateurs. En outre, ces attaques dtournement de session peuvent tre aussi efficaces sur le Web dentreprise que dans des applications cloud. Les organisations commerciales doivent examiner la faon dont elles emploient les mdias sociaux et les rseaux publics afin dassurer la protection des donnes cl de leurs applications dentreprise notamment les informations de clients. Il est galement ncessaire de protger les clients contre les attaques dtournement de session, qui ne peuvent porter quau mcontentement des clients, une rduction des recettes, ainsi qu des violations des rglementations sur linformation et une censure ventuelle de la part du public. Une des conclusions les plus intressantes de ce sondage est que 53 pour cent des personnes interroges ont dclar quelles recherchent HTTPS dun bout lautre lorsquelles valuent la scurit dun site Web. Lobjectif de Firesheep tait de dmontrer quil ne suffit pas de protger les donnes de login avec HTTPS : les conclusions de notre sondage indiquent que bien quun grand nombre des personnes interroges sont dj convaincues de cette ncessit, nombreux sont les responsables de budget qui ne le sont pas.

Seul lemploi permanent de TLS/SSL protge lutilisateur contre les dtournements de session.
Les organisations commerciales doivent protger leurs clients et leurs employs en prenant les mesures suivantes : Envisagez lextension de HTTPS lintgralit de votre site Web Appliquez lemploi de HTTPS pour toutes les applications essentielles sur le Web Utilisez une autorit de certification de confiance avec un label de confiance reconnu, comme Thawte Communiquez vos clients, travers votre site Web, que vous utilisez HTTPS et expliquez-leur pourquoi Exigez lemploi de VPN pour toutes vos applications Web critiques Mettez jour votre politique et vos communications sur le Web pour vos utilisateurs institutionnels et vos clients, pour les sensibiliser sur cette question

10 Computing I publication l sponsoris par Thawte

Le dtournement de session

A propos de Computing
Fonde voici prs de 40 ans, Computing, principale publication de technologie industrielle, et titre de premier plan du secteur des multimdias, sadresse dsormais une vaste gamme de supports dans son secteur, en couvrant la fois des versions imprimes, Internet, numriques, e-mail et mobiles, ainsi que des webinaires, des blogs, des vidos, des podcasts, des tribunes de discussions, des emplois. Sans oublier une des plus importantes manifestations de remise de prix dans le secteur de linformatique, au Royaume-Uni. Computing joue un rle vital, en communiquant aux leaders du secteur de linformatique des analyses reconnues au plus haut niveau, qui leur permettent de prendre des dcisions claires sur lapplication de la technologie pour le bnfice de leurs organisations. Bien plus quune simple source dinformations et danalyses pour les dcideurs de linformatique, il sagit dun point de rfrence indispensable pour les leaders de linformatique, ainsi que dune tribune o sont discutes et dbattues des questions les plus pointues dans le secteur de la technologie industrielle.

propos de Thawte
Thawte est une AC dlivrant au niveau mondial des certificats numriques SSL et Code Signing aux organisations et aux personnes individuelles Thawte effectue des vrifications et autentifications divers niveaux selon le certificat. Les certificats numriques Thawte interagissent de faon fluide avec la plupart des srrveurs, navigateurs et autres applications, vous pouvez ainsi avoir lassurance que lachat dun certificat numrique Thawte augmentera lintgrit de vos transactions en ligne et de vos communications.

Nous contacter
Si vous avez dautres questions, ou dsirez parler avec un conseiller commercial, veuillez nous contacter : Adresse lectronique : sales@thawte.com Amrique du Nord : +1 888 484 2983 International : +27 21 819 2800 Tlcopie : +27 21 819 2960 Chat en direct : https://www.thawte.com/chat/chat_retail_new.html

Computing I publication l sponsoris par Thawte

11