PROJET D APPROFONDISSEMENT

Dimension: px
Commencer à balayer dès la page:

Download "PROJET D APPROFONDISSEMENT"

Transcription

1 PROJET D APPROFONDISSEMENT Auteur : Claudio Pimpao Professeur responsable : M. Markus Jaton 10/06/2011 Dans ce rapport les contraintes et les menaces liées à l utilisation d Internet sur un Smartphone sont identifiées en tenant compte des aspects de sécurité, de confort et d ergonomie dans un cadre professionnel. De plus, une étude de l état de l art fait ressortir les manques liés à l implémentation de la sécurité dans les différents navigateurs présents sur la plateforme Android. Un design proof of concept est donc détaillé pour mettre en avant plusieurs solutions destinées à fournir à l utilisateur tous les outils dont il a besoin pour se protéger. Une attention toute particulière est portée sur les connexions HTTPS et la validation étendue des certificats X.509. Finalement, les mesures de sécurité à appliquer tant du côté de l infrastructure mise en place par l entreprise que du côté du navigateur sont listées et argumentées.

2 1. Table des matières 1. Table des matières Cahier des charges Motivations Objectifs Introduction Objectifs détaillés Navigation Web sur Smartphone Contraintes Taille de l écran Interactions tactiles Faible puissance Luminosité de l écran Liaison de données (lente et coûteuse) Résumé Principales menaces Côté Smartphone Phishing Javascript Malwares Client DoS Session Hijacking Sniffing Vol de données Eléments indésirables Côté entreprise Cross-Site Scripting (XSS) Cross-Site Request Forgery (CSRF) Protection insuffisante de la couche transport Résumé Proxy Types de proxy Forward proxy Reverse proxy /76

3 7.2. Schéma réseau en fonction du contexte Navigation professionnelle Navigation privée Résumé des choix Etat de l art Côté Smartphone - Navigateur Opera Mini Chrome Lite Firefox Dolphin Browser HD Autres navigateurs Gestion HTTPS - certificats Fixer un proxy sur Android Résumé Côté Entreprise Proxy Proxy Fonctionnalités d un proxy Résumé Concepts de sécurité à retenir Côté utilisateur Smartphone Côté entreprise Structure et concepts de sécurité Proxy Design proof of concept Affichage des informations de sécurité HTTP/HTTPS URL complète URL masquée Vue globale Authentification Informations sur le certificat SSL EV Problèmes de sécurité /76

4 10.2. Filtre anti-phishing Options Sensibilisation de l utilisateur Discussion sur l état actuel et le futur Valorisation Conclusion Table des figures Bibliographie /76

5 2. Cahier des charges 2.1. Motivations "La mobilité informatique, ou nomadisme, implique des risques et des contraintes accrus relativement aux postes fixes. La connexion au réseau, en particulier, n'est guère sécurisée, et s'effectue souvent par des points d'accès incontrôlables. Les facilités de connexion des postes conçus pour le nomadisme ne facilitent guère les choses, car ils sont en mesure de se connecter souvent de manière parfaitement transparente, ce qui bien sûr constitue un sérieux avantage de confort, dont on ne désire pas volontiers se passer, mais en revanche peut constituer aussi une porte largement ouverte pour des pirates désirant jouer le rôle de «Man-In-The-Middle» vis-à-vis d'utilisateurs trop peu méfiants. Ce problème apparaît pour toutes les applications mobiles utilisant le réseau informatique pour s'exécuter, et peut aussi concerner des fonctions de téléphonie; nous nous proposons dans le cadre de ce projet d'approfondissement d'examiner le cas particulier des connexions HTTP via navigateur web. Surfer sur le web n'est pas nouveau : on connaît les dangers potentiels de consultation de sites réputés pour abriter des virus et des chevaux de Troie entre autres délicatesses; d'autres sites servent d hameçons pour essayer d'acquérir votre mot de passe pour des fonctions d'e-banking, ou pour tout autre accès qui pourrait s'avérer intéressant pour le pirate. Les conditions d'utilisation parfois précaires des terminaux à grande mobilité tendent à augmenter les risques; ainsi, un site de phishing est moins facilement identifiable sur un écran de 4 pouces en plein soleil que sur un écran de 24 pouces dans un local à l'illumination idéale. Par ailleurs, si les pop-ups publicitaires représentent une gêne pour l'utilisateur classique, que dire de l'ennui de ces informations indésirables sur un poste mobile à l'écran de dimensions restreintes et de plus connecté avec une liaison de débit modeste?" 2.2. Objectifs "On se propose dans le présent projet d'intégrer dans un smartphone de type Android un navigateur spécialisé, qui ne se connecte à des sites Internet que par le truchement d'un service de proxy applicatif dédié. Il ne s'agit pas d'une connexion proxy traditionnelle, dans le sens où le service considéré va effectuer une surveillance active des sites visités (en traçant l'historique le cas échéant), va contrôler la pertinence des sites visités, pour tenter de bloquer des tentatives éventuelles de phishing, va échanger une authentification avec le client pour s'assurer que la connexion client-proxy concerne bien deux partenaires mutuellement connus, et va «nettoyer» les pages retournées vers le client d'éléments indésirables. La notion d' «élément indésirable» n'est pas forcément évidente à définir correctement. On commencera donc par une étude théorique des solutions existantes, et la rédaction d'un document décrivant toutes les mesures que l'on peut prendre dans une optique d'optimisation et de sécurisation en la matière; ainsi l'utilisation d'une connexion comprimée (LZ+Base64 par exemple) peut-elle apporter un surcroît de vitesse bienvenu dans la plupart des cas.; mais quel en est le coût en termes de travail accru pour le mobile? On portera également une attention toute particulière à l'interprétation de Javascript; des scripts peuvent engendrer dynamiquement des liaisons HTTP d'une manière qui peut éventuellement contourner les mesures de précaution prises pour intercepter les URL. Après une étude théorique, on pourra se consacrer à la réalisation d'un prototype démontrant la fonctionnalité, et illustrant les bénéfices que l'on attend d'une telle réalisation dans divers cas de figure." M. Markus Jaton 4/76

6 3. Introduction Actuellement, l information est omniprésente dans notre vie privée et professionnelle, car elle devient un élément clé nécessaire à la plupart de nos activités. Nous désirons que son accès ne soit plus dicté par notre localisation ou notre support de travail. En bref, nous voulons y accéder n importe quand et n importe où. Une solution à cette demande grandissante de mobilité est l utilisation d un Smartphone. Nous nous confrontons donc à de nombreux problèmes, car ces appareils introduisent de nouvelles contraintes tant au niveau matériel qu au niveau applicatif. Par exemple, la taille de nos écrans passe de quinze à quatre pouces ce qui change notre expérience utilisateur. De plus, l utilisation d une interface tactile modifie notre moyen d interaction, car le doigt remplace le curseur de la souris. Le but de ce rapport est d analyser l impact de ces nouveaux paramètres et de se focaliser sur la navigation Web. Quels sont les changements apportés par l interaction tactile sur un petit écran? Comment garantir une sécurité suffisante et un confort d utilisation adaptés à ces nouveaux besoins? Pour répondre au mieux à ces questions, une analyse de la navigation sur Smartphone dans un cadre professionnel nous amène à mettre en évidence les principales menaces. Celles-ci nous permettent de définir les concepts de sécurité à appliquer tant du côté de l infrastructure mise en place par l entreprise que du côté du navigateur de l utilisateur. En tenant compte du temps mis à disposition, un design proof of concept et une liste de recommandations ont été réalisés afin de valider ce travail et de lui fournir une dimension concrète. SafeSurf fait partie du cours «projet d approfondissement» donné à l HES-SO//Master et correspond à 6 crédits ECTS. Claudio Pimpao 4. Objectifs détaillés Voici les objectifs à réaliser: - Faire une brève étude de la navigation sur Smartphone - Identifier les principales menaces - Déterminer le type de proxy qui nous intéresse - Présenter un état de l art actuel (navigateurs sur Android, proxy) o Identifier les fonctionnalités d un proxy à tenir compte pour garantir au mieux sécurité, confort et ergonomie dans le contexte du projet - Définir les concepts de sécurité à retenir o Côté client (navigateur) o Côté entreprise (infrastructure) - Réaliser un design proof of concept (navigateur sécurisé) Tous ces points sont traités dans la perspective de garantir au maximum la sécurité, le confort et l ergonomie à l utilisateur. 5/76

7 5. Navigation Web sur Smartphone Ce chapitre traite les différentes contraintes amenées par la navigation sur Smartphone par rapport à la navigation sur Desktop/Laptop afin de dresser une liste des principales menaces. Différentes problématiques vont être mises en évidence dans le but de fixer des concepts de sécurité à retenir Contraintes Taille de l écran La quantité et la facilité d accès à l information sont influencées par la taille du Smartphone. Comme nous pouvons le constater sur les images suivantes, l utilisation d un Smartphone réduit considérablement le nombre d informations lisibles affichées sur l écran: Figure 1 : Affichage sur un Smartphone Figure 2 : Affichage sur un Laptop, résolution 1440x900 Nous pouvons même remarquer que la disposition des éléments est modifiée sur le Smartphone. En effet, certains navigateurs changent l arrangement du texte ou des images pour que l affichage soit le plus agréable possible. Par exemple, une colonne de texte est réduite à la largeur de l écran. De cette manière, l utilisateur peut la faire défiler de haut en bas sans devoir se déplacer de gauche à droite: Figure 3 : Largeur du texte adapté à la largeur de l'écran 1 1 Source : 6/76

8 Sur un petit écran, le site n est pas affiché dans sa totalité et l utilisateur n a pas une vue d ensemble. Ceci peut s avérer dangereux dans le cas du phishing par exemple. Nous pouvons donc nous poser les questions suivantes: - Comment remarquer les différences entre le site affiché sur l écran et le vrai site? - Où sont affichées les informations de sécurité (HTTPS/HTTP, certificat, etc.)? - Peut-on voir la totalité de l url? Comme nous le verrons dans le chapitre «Etat de l art», chaque navigateur a une manière différente de gérer l affichage des informations. Par exemple, certains d entre eux cachent la barre d adresse lors de la navigation pour laisser un maximum d espace au site : Figure 4 : Barre d'adresse URL cachée 2 Cet exemple révèle bien un problème sur la manière de sensibiliser en temps réel l utilisateur aux menaces induites par l affichage d un site. Afin de trouver une solution adaptée aux objectifs souhaités (sécurité, confort et ergonomie), les trois points suivants vont être développés dans le chapitre concernant les concepts de sécurité à retenir du côté navigateur : 1) Quelles sont les informations utiles à afficher à l utilisateur? 2) Comment les afficher sans «envahir» l espace dédié au site? 3) Comment transmettre une synthèse de ces informations pour qu un utilisateur peu averti les comprenne? Un autre problème induit par la taille de l écran est l affichage d informations non désirables. Beaucoup d éléments peuvent être enlevés des pages Web visitées, afin de rendre plus lisible le contenu «utile». Comme nous le verrons dans le chapitre traitant des fonctionnalités d un proxy, il est possible d améliorer la lisibilité sur l écran en appliquant des filtres sur les données reçues. 2 Source : 7/76

9 Interactions tactiles Saisie des informations Pour la plupart des Smartphones Android récents, toute saisie d information est faite de manière tactile sur l écran. Un clavier virtuel vient donc s afficher, ce qui diminue l espace utile dédié au site : Figure 5 : Navigation avec le clavier tactile affiché sur l'écran Une fois le clavier présent à l écran, nous ne voyons pratiquement plus rien. Dans le cas d une attaque par phishing, il est donc très difficile de mettre en évidence les différences entre le site visité et le vrai site. Pour pallier à ce problème deux solutions complémentaires existent : - Utiliser un clavier physique pour afficher le maximum d éléments possibles - Avoir un écran de grande taille Voici le Smartphone HTC Desire Z qui affiche une plus grande quantité d information tout en laissant la possibilité à l utilisateur de saisir du texte: Figure 6 : Affichage de la page d'accueil de Yahoo sur un HTC Desire Z 3 3 Source : 8/76

10 Clics, sélections et interactions L utilisation du doigt à la place d une souris pour cliquer sur les éléments présents dans une page Web induit des interactions différentes avec le navigateur. L utilisateur doit se déplacer sur la page, car il ne la voit pas entièrement. Pour ce faire, il peut tirer le contenu avec son doigt vers le haut, le bas, la gauche ou la droite et changer le degré de zoom, soit à l aide de boutons conçus à cet effet, soit en «pinçant» l écran. Le doigt, bien moins précis que le pointeur d une souris, se trouve au-dessus du contenu. Les interactions sont donc moins précises et moins agréables sur un Smartphone. Sachant que les sites conçus spécialement pour un affichage sur petit écran et pour une utilisation tactile sont rares, l utilisateur fait face aux difficultés suivantes: - Fausses manipulations (clic approximatif) - Manque de visibilité due au doigt - Saisies incorrectes sur le clavier Pour pallier à ce genre de problèmes, les navigateurs implémentent quelques fonctionnalités intéressantes comme, par exemple, un jeu de couleur qui met en évidence les éléments avec lesquels l utilisateur interagit Faible puissance Nos Smartphones, bien qu évoluant très rapidement, sont encore limités au niveau de leur puissance de calcul. Actuellement, l installation de moyens de protection se fait rare, car protéger son Smartphone contre les virus, les logiciels malveillants et les autres menaces par une analyse en temps réel ralentit (dans une certaine mesure et en fonction du cas) les performances du Smartphone. Ceci dit, les plus grands éditeurs de solutions de sécurité commencent à proposer des versions pour Android. Les moyens de protection en temps réel installés et utilisés sur nos Desktop/Laptop ne sont pas déployés à grande échelle sur nos Smartphones, car pour le moment, ils sont encore peu performants et peu connus Luminosité de l écran En plein soleil ou lorsque l environnement est lumineux, la visibilité des informations affichées sur l écran du Smartphone diminue. Il est en effet plus difficile de différencier le contenu, ce qui induit un manque de lisibilité. Cette contrainte s ajoute à la taille restreinte de l écran et produit, par exemple, les résultats présents sur l image de la page suivante. 9/76

11 Figure 7 : Ecrans exposés à une forte luminosité 4 La visibilité joue un rôle dans la sécurité et le confort de l utilisateur qui visite un site Web. Actuellement, il n y a pas de solution à cet inconvénient, mais les fabricants d écrans cherchent de nouvelles méthodes permettant d apporter une luminosité adéquate à tout type de circonstances. Nous pouvons donc nous demander si l environnement de l utilisateur doit être pris en compte dans le cadre de ce projet. Est-ce que les informations transmises par les différents capteurs permettraient de mieux adapter notre affichage? Comment faut-il prendre en compte les risques induits par cette contrainte? Liaison de données (lente et coûteuse) La connexion permettant l échange de données peut être établie sur le réseau de l opérateur téléphonique (en 3G par exemple) ou directement via un accès sans fil (WIFI, Bluetooth). Sachant que le prix des données via le réseau de l opérateur est relativement élevé, que la vitesse de transmission reste pour le moment basse et que les accès sur le Web sont de plus en plus fréquents, il est intéressant d utiliser des fonctions de filtrage de contenu et d accélération. Nous verrons dans la partie traitant des fonctionnalités d un proxy que des améliorations intéressantes peuvent être apportées. Le fait de pouvoir se connecter partout, implique de passer par des éléments réseau non contrôlés. Nous devons donc sécuriser la connexion point à point dans les différents cas d utilisation possibles (professionnelle, privée, à l intérieur ou en dehors du réseau de l entreprise, etc.) Résumé Voici les principales contraintes de l utilisation d un Smartphone dans le cadre de la navigation Web : - Taille de l écran - Interactions tactiles - Faible puissance - Luminosité de l écran - Liaison de données (lente et coûteuse) 4 Source : 10/76

12 6. Principales menaces Nous nous intéressons principalement à la sécurité de la navigation dans un cadre professionnel. Deux types de menaces sont à prendre en compte : 1) Côté Smartphone : attaquant directement l utilisateur et ses données (privées ou professionnelles) 2) Côté entreprise : ciblant les applications Web et les données confidentielles Le deuxième point est abordé, car le Smartphone constitue un vecteur d entrée dans un réseau informatique relativement intéressant pour un pirate. Il est très certainement plus aisé de passer par le Smartphone d un utilisateur que de tenter d attaquer de front les défenses mises en place (firewalls, DMZ, etc.). Remarque : Certaines menaces décrites ci-dessous ont aussi un impact sur le confort et l ergonomie d utilisation Côté Smartphone Phishing Le phishing (hameçonnage) a comme but d'acquérir des informations sensibles telles que noms d'utilisateur, mots de passe, numéros de carte de crédit, etc., en se faisant passer pour une entité digne de confiance dans une communication électronique. "Les criminels informatiques utilisent généralement l'hameçonnage pour voler de l'argent. Les cibles les plus populaires sont les services bancaires en ligne, et les sites de ventes aux enchères tels qu'ebay et Paypal. Les adeptes de l'hameçonnage envoient habituellement des courriels à un grand nombre de victimes potentielles. Typiquement, les messages ainsi envoyés semblent émaner d'une société digne de confiance et sont formulés de manière à alarmer le destinataire afin qu'il effectue une action en conséquence. Une approche souvent utilisée est d'indiquer à la victime que son compte a été désactivé à cause d'un problème et que la réactivation ne sera possible qu'en cas d'action de sa part. Le message fournit alors un hyperlien qui dirige l'utilisateur vers une page Web qui ressemble à s'y méprendre au vrai site de la société digne de confiance. Arrivé sur cette page falsifiée, l'utilisateur est invité à saisir des informations confidentielles qui sont alors enregistrées par le criminel." Wikipédia 5 Nous pouvons faire le rapprochement avec les contraintes exposées dans le chapitre précédent. La taille de l écran, la saisie plus difficile d informations et le manque de visibilité en cas de forte luminosité ambiante sont des éléments qui augmentent la difficulté pour une victime de s apercevoir d une attaque par phishing. Quatre points intéressants sont à relever : 1) Le fait que certains sites proposent un affichage dédié et conçu pour les Smartphones implique que l utilisateur ne va pas se méfier directement d une disposition différente des 5 Source : 11/76

13 éléments. Il est habitué à avoir une expérience différente de celle d un Desktop/Laptop, ce qui le rend moins méfiant au premier abord. 2) Le fait que plusieurs navigateurs sont à disposition sur la plateforme Android et que la taille de l écran varie selon les modèles produit, dans la majorité des cas, un affichage différent des informations. 3) Les versions récentes des navigateurs Web de bureau, ainsi que les clients de messagerie implémentent des fonctions de protection contre le phishing et les malwares. De plus, ils incluent des indicateurs de sécurité (SSL, certificat valide, etc.). Malheureusement, bon nombre de ces améliorations n'ont pas été reportées sur leur «correspondant Android». 4) Un nombre plus important de vecteurs est disponible pour exécuter une attaque par phishing. Au lieu de se limiter aux s, les attaquants peuvent utiliser des SMS/MMS ou directement des applications du Market 6. De ces quatre constats, nous pouvons déduire que l utilisateur d un Smartphone est une cible privilégiée, car il est moins méfiant et moins protégé. L ENISA (European Network and Information Security Agency) a mis en évidence ce point dans ses dernières recherches en matière de sécurité : - "Smartphones have a smaller screen, which means that attackers can more easily disguise trust cues that users rely on to decide on submitting credentials; e.g. cues that show whether the website uses SSL. - Smartphones provide additional channels that can be used for phishing, e.g. SMS (SMiShing). Users may be less cautious about SMS phishing messages. - Smartphones are a new type of device and users may not be aware of the fact that phishing is a risk on smartphones as well." ENISA 7 Une récente étude (4 janvier 2011) de la société Trusteer 8 a mis en évidence l urgence de prendre en considération ce type d attaque. L accès aux logs de certains sites Web de phishing a fourni de nombreuses informations 9 intéressantes : - Les utilisateurs de Mobiles sont les premiers touchés Dès la diffusion d un site Web de phishing et l envoi d s frauduleux, les premiers systèmes à visiter le contenu malveillant sont les appareils mobiles. Ce constat est logique, car les utilisateurs de Smartphones sont «always on» et lisent les s dès leur arrivée. Un autre rapport 10 de la même société définit que la première heure d une attaque par hameçonnage produit la moitié des victimes. Après cette période d une heure, des contremesures sont prises par les organismes de surveillance et de sécurité sur Internet (site fermé ou bloqué par les filtres anti-phishing). Nous pouvons en déduire que pour un attaquant, 6 Android Market : Application pré-installée sur chaque téléphone sous Android, permettant de télécharger d autres applications développés par des sociétés ou des développeurs indépendants. 7 Source : 8 Plus d informations : 9 Source : 10 Source : 12/76

14 l utilisateur d un Smartphone est une victime tout particulièrement intéressante. Voici un graphique illustrant cette information : Figure 8 : Cumule du nombre de récoltes d'informations (pourcent) en fonction du temps (heures) 11 - Les utilisateurs de Mobiles sont trois fois plus susceptibles de divulguer des informations personnelles que les utilisateurs de Desktop Ce constat découle des différentes contraintes expliquées dans le chapitre précédent dont, par exemple, le manque de visibilité des informations de sécurité lors de la navigation. - Huit fois plus d utilisateurs iphone que d utilisateurs Blackberry 12 ont accédé à ces sites Web d'hameçonnage L étude met en évidence que les moyens de protection fournis par une utilisation professionnelle et la sensibilisation des utilisateurs sont deux facteurs importants qui permettent de diminuer le nombre de victimes. Cette information nous sera utile dans le paragraphe traitant des concepts de sécurité à retenir. Figure 9 : Répartition des victimes en fonction de leur plateforme Source : 12 Dans cette étude, les utilisateurs de Blackberry sont plus nombreux que ceux d Iphone. Pourtant, ils sont moins touchés par ce type d attaques. 13/76

15 Pour mieux comprendre le fonctionnement du phishing, nous allons parcourir ses différents types/techniques : 1) Spear / whaling phishing Ces deux types sont des campagnes d attaques ciblées sur des profils d utilisateurs particulièrement intéressants. Par exemple, choisir les clients les plus fortunés d une banque avec peu d expérience dans les systèmes informatiques. Dans ce cas, l attaquant se procure des données sur les victimes pour augmenter ses chances de récolter des informations personnelles de qualité. 2) SMiShing 14 Habituellement, les attaques se font via l envoi d un contenant un lien pointant sur un site malveillant. Mais l utilisation de Smartphones introduit un autre vecteur d appât, car l attaquant peut utiliser les SMS et MMS. En plus de pouvoir afficher un lien sur un site Web, il lui est possible de rediriger l utilisateur sur un répondeur automatique (Phone phishing). 3) In-Session Forme d'attaque s'appuyant sur une session de navigation web qui est capable de détecter la présence d'une autre session (comme la visite d'un site de banque en ligne) sur le même navigateur. Il suffit de lancer une fenêtre pop-up qui prétend avoir été ouverte à partir de la session ciblée pour voler des données. 4) Spoofed URL / Homograph attack Un utilisateur voit une URL familière dans la barre d'adresse, mais en réalité, il se trouve sur un site malveillant ne correspondant pas à cette URL. La plupart du temps, cette attaque tire profit d une vulnérabilité du navigateur. D autres attaques de ce type sont plus simples. Par exemple, un site peut afficher une image imitant une barre d adresse: Figure 10 : Exemple d'attaque par URL Spoofing 15, cette barre d adresse est fausse 13 Source : 14 Informations supplémentaires : 14/76

16 5) Link manipulation Comprise dans la plupart des autres types, cette technique est très vaste. Elle consiste à cacher le vrai lien pointant sur le site malveillant. Pour ce faire, il existe de nombreuses variantes comme les «Misspelled URLs», «subdomains», «URL redirection» ou encore «IDN spoofing». Elles sont toutes utilisées dans la partie de l appât, car pour que l utilisateur navigue sur un site de phishing, il doit y être dirigé grâce à un lien. 6) Filter evasion Utilisation d autres moyens que le texte pour afficher le contenu du site. Ceci pour que les filtres anti-phishing ne puissent pas reconnaître des mots clés comme «paypal» ou «credit card». Une image ou une animation Flash peuvent être utilisées pour cacher un lien. Voici un exemple de contenu tirant partie d une image pour afficher du texte sensible : Figure 11 : Site de phishing demandant un login 16 En sélectionnant le texte, on s aperçoit que les mots «PayPal Account» sont contenus dans une image : Figure 12 : Image utilisée pour éviter que le filtre anti-phishing ne détecte le site Source : 16 Source : 17 Source : 15/76

17 7) Tabnabbing Les navigateurs actuels (pour Desktop ou Smartphones) implémentent pratiquement tous les onglets. Ceci peut être exploité par un attaquant en changeant le contenu d un site via Javascript longtemps après son chargement. L utilisateur, en revenant sur l onglet qu il avait précédemment chargé, se retrouve avec un contenu différent affichant un site de phishing. 8) Picture-in-picture attack Afficher l image d une fenêtre qui paraît légitime dans le code du site frauduleux peut s avérer très efficace. Des informations sur la sécurité (particulièrement HTTPS) peuvent être falsifiées : Figure 13 : Affichage d une fenêtre ayant une URL valide et un certificat contrôlé qui n'existent pas 18 Dans le cas du navigateur sur Smartphone, cette technique fonctionne de manière très limitée, car les fenêtres sont toutes ouvertes sur la totalité de l écran. 9) Evil twin (wireless networks) La mise en place d un «access point WIFI» imitant le nom d'un réseau sans fil donne à l attaquant la possibilité de fournir les réponses HTTP qu il désire aux requêtes de l utilisateur, et par la même occasion, lui transmettre du code malveillant. 10) Clickjacking / tapjacking Cette technique a pour but de forcer un seul élément à s afficher sur tout l écran. Elle est possible, car certaines fonctionnalités apparemment inoffensives des pages Web HTML peuvent être employées pour exécuter des actions inattendues. Par exemple, l'attaquant présente un ensemble de boutons factices avec un calque transparent superposé pour que l'utilisateur soit redirigé sans le vouloir sur le site de phishing. Cette technique est particulièrement efficace sur les Smartphones à cause de la contrainte «interaction tactile» (présentée dans le chapitre précédent). Pour résumer, cette menace (phishing) est très importante, car l utilisateur d un Smartphone est une cible plus accessible et vulnérable que les autres. Nous le verrons plus loin dans ce document, des mesures de sécurité peuvent être prises pour prévenir au mieux ce danger. 18 Source : Jackson, Collin; Daniel R. Simon, Desney S. Tan, Adam Barth. "An Evaluation of Extended Validation and Picture-in-Picture Phishing Attacks" 16/76

18 Javascript Comme expliqué dans le point précédent avec les attaques In-session et Tabnabbing, le code Javascript exécuté du côté client peut être un vecteur très important de menaces. Les attaques existantes sont nombreuses et leurs impacts très importants. Nous pouvons, par exemple, citer le «Cross Site Scripting» (XSS). De plus, dans le cadre de ce projet, le code Javascript peut engendrer dynamiquement des liaisons HTTP qui peuvent mener à des confusions pour l utilisateur, car l URL n est pas toujours visible sur son navigateur. Nous pouvons citer les attaques de vol de données ou de propagation de malwares mettant en oeuvre l URL Redirection/Forwarding pour diriger l utilisateur vers un site contenant du code malveillant. Bien entendu, pour que toutes les connexions passent à travers le proxy de l entreprise, nous allons devoir utiliser un navigateur qui dirige les requêtes vers ce dernier. Plus d informations sur les différentes menaces induites par l exécution de code Javascipt sont disponibles dans le fichier PDF suivant : Article écrit par Martin Johns, intitulé : On JavaScript Malware and related threats, Web page based attacks revisited Malwares Le Smartphone est particulièrement intéressant, car il contient une très grande quantité d informations privées et professionnelles appartenant à l utilisateur. De plus, comme nous l avons vu dans le chapitre précédent, les moyens de protection sont rarement installés. Via le navigateur, le Smartphone peut être touché par les éléments suivants : - Virus - Worms - Backdoors - Trojan horses - Adwares - Spywares - Etc. Ces différents malwares peuvent avoir des impacts importants dans les domaines privés et professionnels. Pour un attaquant, un Smartphone peut être utilisé comme vecteur pour s introduire dans le réseau d une entreprise, car ce dernier est très certainement un des maillons faibles de toute l infrastructure. Dans le cadre de ce travail, le proxy est utilisé pour filtrer le contenu des données qui transitent entre le navigateur client et le serveur Web distant. Comme les Smartphones n ont pas tous des moyens de protection adéquats et que ces derniers consomment une quantité non négligeable de ressources, le proxy se charge d appliquer un scan des données pour détecter d éventuels malwares. 17/76

19 Client DoS Un attaquant dispose de diverses méthodes pour mettre hors service une fonctionnalité ou la totalité du Smartphone. Les vecteurs liés à la navigation sont nombreux : - Infection par un malware téléchargé sur Internet - Utilisation d une faille d implémentation du navigateur pour gagner des privilèges et accéder aux fonctionnalités du système - Etc. Ce point ne décrit pas une faille bien précise, mais plus un impact possible. Pour s en prévenir, le proxy doit filtrer les sites et les téléchargements Session Hijacking Cette menace consiste à exploiter une session valide dans le but d accéder à des informations ou des services. Elle peut être utilisée à plusieurs niveaux : - Couche applicative HTTP - Session TCP Nous devons donc sécuriser la connexion pour éviter ces problèmes. Pour cela, nous pouvons utiliser des échanges HTTPS, mais la session TCP ne sera pas protégée. Si le Smartphone n est pas dans le réseau de l entreprise, la mise en place d un VPN peut être une solution. Ce point sera traité dans le chapitre qui concerne le Proxy Sniffing Dans ce cas, l attaquant espionne les échanges et récupère des informations privées ou professionnelles. Par exemple, il peut contrôler/corrompre un élément du réseau. Il nous faut donc sécuriser les échanges sur les éléments du réseau qui ne sont pas sous contrôle (par exemple les hotspots WIFI publics, le réseau data de l opérateur, etc.) Vol de données Le vol de données est un point sensible pour l utilisateur et son entreprise. Les données confidentielles (privées ou professionnelles) sont très prisées pour diverses raisons (espionnage industriel, données légales sensibles, profil utilisateur, social engineering, etc.) et doivent être protégées lors de la navigation sur Internet. Un exemple de faille 19 sur la plateforme Android permettait de télécharger à distance un fichier contenu dans la carte SD sans autorisation et de manière transparente. L utilisateur devait afficher un site contenant un code malicieux tirant partie d une faille d implémentation sur le navigateur pour que les données soient envoyées directement sur le serveur de l attaquant. Nous constatons donc qu il faut vérifier le flux de données en download ainsi qu en upload. Pour cela, nous devons utiliser le proxy pour contrôler qu aucune donnée sensible ne soit transmise vers l extérieur. 19 Source : 18/76

20 Eléments indésirables Cette menace touche tout particulièrement l ergonomie et le confort lors de la navigation. Beaucoup d éléments dans une page Web ne sont pas essentiels et ne contiennent pas d informations utiles. Nous pouvons citer ces exemples : - Bandeaux publicitaires - Images de logos et de présentations visuelles sans informations utiles - Pop-ups publicitaires, divs publicitaires placés au-dessus du contenu du site - Animations flash lourdes de présentation - Cookies indésirables - Etc. Tous ces éléments ne sont pas indispensables, particulièrement dans le cadre d une navigation sur Smartphone. Vu que la connexion data est limitée et souvent onéreuse, la quantité de données doit être restreinte aux informations utiles. Comme nous le verrons dans la partie traitant de l état de l art, les navigateurs Web permettent de paramétrer quelques filtres appliqués lors des requêtes. Par exemple, nous pouvons demander au navigateur de ne pas télécharger et afficher les images pour obtenir une fluidité maximale. De plus, les proxy apportent une solution à ce problème en appliquant des filtres sur le contenu des réponses HTTP (Inbound data filtering, cf. fonctionnalités d un proxy) Côté entreprise Comme l employé est plus sujet aux différentes menaces en utilisant son Smartphone, nous pouvons partir du principe que la cible de nombreuses attaques est le réseau de l entreprise. Trois types de menaces sont à prendre en compte : 1) Intrusion facilitée dans le réseau de l entreprise Le Smartphone est très certainement l un des maillons les plus faibles de l infrastructure. Pour cela, il est un vecteur d intrusion particulièrement intéressant. 2) Vol de données Les données professionnelles stockées sur les Smartphones des employés sont une cible attractive et souvent peu protégée. 3) Attaques sur les Web applications L employé peut jouer un rôle et être victime d une attaque visant une application mise à disposition par son entreprise. Informations supplémentaires concernant le point 3 : L OWASP (Open Web Application Security Project) est une communauté travaillant sur la sécurité des applications Web. Elle a créé une liste des risques de sécurité applicatifs Web les plus critiques. Voici les dix points les plus importants : 1) Failles d'injection 2) Injection de script inter-sites (Cross Site Scripting) 3) Rupture des mécanismes de session et/ou d'authentification 4) Référence directe non sécurisée aux objets 19/76

21 5) Construction de requêtes inter-sites (Cross Site Request Forgery) 6) Configurations vulnérables 7) Contrôle d'accès aux URLs défaillant 8) Validation défaillante dans les redirections et transferts de requêtes 9) Mauvaise utilisation de la cryptographie 10) Protection insuffisante de la couche transport Dans le cadre de ce travail, trois risques sont à prendre en compte, car ils sont directement liés à l utilisateur : Cross-Site Scripting (XSS) 20 Les attaques de type XSS touchent le navigateur de l utilisateur et l application Web consultée (potentiellement celle de l entreprise). Elles consistent à injecter des données malveillantes dans une application Web vulnérable qui les affichera (code HTML) et les exécutera (code Javascript) ultérieurement. Voici les différents types d attaques : 1) Reflected XSS Si des données non vérifiées en «input» sont directement incluses dans la page affichée sans encodage des entités HTML, elles pourront être utilisées pour injecter du code dans la page dynamique reçue par le navigateur client. Cette vulnérabilité peut amener au scénario suivant : avec un peu d'ingénierie sociale, un attaquant peut convaincre un utilisateur de suivre une URL piégée qui injecte du code dans une page vulnérable de l application Web, ce qui donne à l'attaquant tout le contrôle sur le contenu affiché. 2) Stored / Permanent XSS Ce type de vulnérabilité, aussi appelé faille permanente ou du second ordre, permet des attaques puissantes. Il se produit quand les données fournies par un utilisateur sont stockées sur un serveur (DB, fichiers, etc.) et, par la suite, affichées sans que les caractères spéciaux HTML aient été encodés. Si un attaquant parvient à diriger l employé sur une page vulnérable en injectant du code malicieux, il pourra ainsi stocker du contenu dans la base de données de l entreprise. Ce dernier sera alors affiché à tout visiteur de cette même page. 3) DOM-Based XSS Dans ce cas de figure, le problème est dans le script d'une page côté client. Par exemple, si un fragment de JavaScript accède à un paramètre d'une requête d'url et utilise cette information pour écrire du HTML dans sa propre page, alors il y a une vulnérabilité de type XSS. Les données écrites sont réinterprétées par le navigateur comme du code HTML contenant éventuellement un script malicieux. L employé utilisant un Smartphone peut être le vecteur et la victime d une attaque XSS visant une application Web de son entreprise. De son côté, l attaquant peut contrôler le contenu affiché sur la page Web. 20 Source : 20/76

22 Cross-Site Request Forgery (CSRF) "Les attaques de type CSRF utilisent l'utilisateur comme déclencheur, celui-ci devient complice sans en être conscient. L'attaque étant actionnée par l'utilisateur, un grand nombre de systèmes d'authentification sont contournés. Les caractéristiques du CSRF sont un type d'attaque qui : - Implique un site qui repose sur l'authentification globale d'un utilisateur - Exploite cette confiance dans l'authentification pour autoriser des actions implicitement - Envoie des requêtes HTTP à l'insu de l'utilisateur qui est dupé pour déclencher ces actions Pour résumer, les sites sensibles au CSRF sont ceux qui acceptent les actions sur le simple fait de l'authentification à un instant donné de l'utilisateur et non sur une autorisation explicite de l'utilisateur pour une action donnée." Wikipédia 21 L employé qui utilise son Smartphone devient donc le vecteur de l attaque. Son authentification légitime est utilisée pour exécuter des actions avec des privilèges élevés Protection insuffisante de la couche transport Comme nous l avons vu précédemment, les échanges doivent être protégés efficacement sur tous les éléments réseau que nous ne contrôlons pas. De cette manière, plusieurs attaques dont man-in-themiddle et sniffing sont prises en compte et contrées. Nous pouvons citer la vulnérabilité 22 trouvée par des chercheurs de l'université d'ulm en Allemagne qui a touché la majorité des utilisateurs d Android. Des données de certaines applications étaient envoyées en clair sur le réseau et pouvaient être sniffées pour récupérer un jeton permettant d avoir accès aux APIs d échange de données pour les services utilisant «ClientLogin». Voici un tableau regroupant les services de Google touchés par ce problème et utilisant ou non le transfert sécurisé HTTPS: Oui : utilisation de HTTPS Non : connexion non sécurisée Android version Calendar Sync Contact Sync Picasa Sync (Gallery) 3.0 Oui Oui Oui Oui Non Non Non Non Non Non N/a 2.2 Non Non N/a 2.1 Non Non N/a 21 Source : 22 Source officielle: 21/76

23 Sur l image ci-dessous, nous remarquons le jeton d accès à l API valable 14 jours et transmis en clair sur le réseau : Figure 14 : Jeton d'accès récupéré en clair avec le programme Wireshark Résumé Voici les différentes menaces liées à la navigation dans un cadre professionnel décrites dans ce chapitre : - Côté Smartphone o Phishing o Javascript o Malwares o Client DoS o Session Hijacking o Sniffing o Vol de données o Eléments indésirables - Côté Entreprise o Intrusions o Vol de données o Attaques sur les Web Applications XSS CSRF Protection insuffisante de la couche transport Ces menaces sont prises en compte dans les chapitres traitant des concepts de sécurité à appliquer tant pour l utilisateur que pour l entreprise. Ces deux derniers chapitres ont défini les contraintes et les menaces de la navigation sur Smartphones. Nous allons maintenant analyser le type de proxy que nous voulons utiliser dans le cadre de ce projet. 23 Source: 22/76

24 7. Proxy Le rôle d un proxy est de servir de relais entre l utilisateur et un serveur distant. Il fournit une certaine sécurité tant à l utilisateur qu à l entreprise. Dans le cadre de ce projet, nous travaillons avec un proxy applicatif dédié qui joue l intermédiaire sans jamais laisser l utilisateur avoir un contact direct avec le serveur distant. Au lieu de se limiter au simple rôle de «proxy réseau» (gateway, tunneling proxy), il inspecte également le contenu des paquets et propose des services tels que la compression, le filtrage, l authentification, etc. Dans le modèle OSI nous nous situons dans les couches suivantes: 7 6 App Proxy 5 4 TCP/UDP 3 2 IP 2 NAT, filters 1 1 Figure 15 : Position du Proxy dans les couches OSI 24 Nous allons parcourir les différents types de proxy et les fonctionnalités offertes pour déterminer nos besoins Types de proxy Forward proxy Figure 16 : Forward proxy 25 Comme nous le voyons sur la figure ci-dessus, ce type de proxy est présent dans le réseau interne de l entreprise (ou DMZ). Il reçoit les requêtes internes et les transmet sur Internet. Ce cas nous intéresse tout particulièrement, car il est traité par ce projet d approfondissement. 24 Source : Gildas Avoine, Pascal Junod, Philippe Oechslin, Computer Systems Security, EPFL-Press (ISBN ) and CRC Press (ISBN ), 2007, page Source : 23/76

25 L utilisateur interne passe par le proxy contrôlé par l entreprise autant pour les requêtes qu il envoie que pour les réponses qu il reçoit. Ceci nous apporte de nombreux avantages pour l utilisateur et pour l entreprise. Ces derniers seront étudiés plus loin dans ce document. Un proxy ne se limite pas à un protocole, il peut en gérer plusieurs. Dans notre cas, nous nous intéressons plus particulièrement à HTTP et HTTPS Transparent proxy 26 Un transparent proxy combine un serveur proxy avec une passerelle ou un routeur. Les connexions établies par les navigateurs via la passerelle sont détournées vers le proxy sans configuration côté client Open proxy Figure 17 : Open proxy 27 Un open proxy est accessible par tout utilisateur d Internet. Il y en a une multitude sur Internet, la plupart étant présents sous forme d anonymous open proxies. Ces derniers permettent aux utilisateurs de cacher leur adresse IP (et donc aident à préserver leur anonymat et leur sécurité) pendant la navigation sur le Web ou l accès à d'autres services 28. Ce cas de figure ne nous intéresse pas, car il y a trop de risques liés à l utilisation d un proxy qui n est pas géré par quelqu un de confiance. Comment être sûr que les services (filtrage, cache, vitesse de transmission, etc.) sont bien fournis et de manière personnalisée en fonction de nos besoins? Reverse proxy Figure 18 : Reverse proxy 29 Un reverse proxy gère les requêtes provenant du réseau externe (Internet) et les transmet aux serveurs internes de l entreprise. Il se présente à l utilisateur externe comme un serveur ordinaire, mais les requêtes sont transmises aux serveurs internes appropriés. 26 Source : 27 Source : 28 Source : 29 Source : 24/76

26 Il y a de nombreux avantages 30 à installer un proxy de ce type : - SSL/TLS : Le chiffrage et déchiffrage du flux de communication sécurisé peut être géré. Cela permet au serveur interne de ne pas avoir à se soucier de ce travail. - Load balancing : La charge est répartie sur les différents serveurs internes pour garantir une disponibilité et une efficacité maximale du service fourni. - Caching : La charge peut être diminuée par le biais d un cache pour les données statiques pouvant être retransmises aux requêtes semblables. - Compression : Compression du contenu et optimisation de la transmission. - Spoon feeding : Réduction de l usage des ressources par les clients lents (fait appel à un cache des réponses et à un envoi «lent» au client). - Sécurité : Une protection peut être mise en place pour protéger les applications Web contre de nombreuses attaques. - Etc. Ce type de proxy ne nous intéresse pas dans cette approche, car nous nous concentrons sur les forward proxies Schéma réseau en fonction du contexte Cette partie du rapport se base sur le point précédent pour fixer un schéma général des composants qui interagissent lors de la navigation Web sur Smartphone et en fonction du contexte choisi. Nous prenons en compte une utilisation professionnelle ou privée, ainsi que l emplacement de l utilisateur Navigation professionnelle Dans ce travail, nous avons besoin d un forward proxy dédié à la communication Web. Notre utilisateur passe par un proxy pour accéder au contenu qui l intéresse. Comme nous nous concentrons sur une application professionnelle, nous avons deux cas de figure différents à traiter : 1) L utilisateur est présent dans le réseau interne de l entreprise via une connexion WIFI par exemple : Figure 19 : Forward proxy si l'utilisateur est dans le réseau interne de l'entreprise 30 Source : 25/76

27 2) L utilisateur se trouve en dehors du réseau WIFI de l entreprise et se connecte à un proxy via une connexion sécurisée : Figure 20 : Forward proxy si l'utilisateur est en dehors du réseau de l'entreprise Dans le premier cas, comme le Smartphone se trouve dans le réseau de l entreprise, nous pouvons gérer la confidentialité, l intégrité et l authenticité des données transmises plus facilement. Dans le deuxième cas, nous devons sécuriser le lien numéro 1 qui correspond au flux de données entre le Smartphone et le proxy interne de l entreprise. Pour cela, il est possible de mettre en place un flux HTTPS ou de passer directement par un VPN. Android permet de paramétrer un VPN directement dans le système. Voici les types supportés: - Point to Point Tunnelling Protocol (PPTP) - Layer 2 Tunnelling Protocol (L2TP) - Layer 2 Tunnelling Protocol with IPSec Pre-Shared Key - Certificate based IPSec VPN with optional L2TP shared secret Cette partie concernant la navigation professionnelle nous intéresse tout particulièrement, car le proxy de l entreprise travaille à deux niveaux : 1) Fournir des services à l utilisateur Des services comme le cache, le filtrage des données indésirables, la compression, etc. 31 améliorent la sécurité. 2) Fournir des services à l entreprise L entreprise utilise le proxy pour filtrer les échanges vers l intérieur ou vers l extérieur, afin de prévenir toute perte de confidentialité ou d intégrité. D autres fonctionnalités sont disponibles, comme l application de listes blanches ou noires pour contrôler ou limiter les possibilités des employés (Facebook, sites à risque), la création de logs, etc. 31 Pour plus de précisions, se référer à la liste des fonctionnalités d un proxy présentées dans le sous-chapitre /76

28 Navigation privée Si la navigation est faite dans le domaine privé, complètement en dehors du cadre professionnel, l utilisateur n a pas accès au proxy de l entreprise. Cette situation est problématique, car il faut absolument pouvoir accéder à un proxy «de confiance». Le paramétrage et le fonctionnement du proxy doivent correspondre aux besoins de sécurité requis par l utilisation d un navigateur sur Smartphone. Il faut donc posséder des droits d administration pour que la configuration puisse être modifiée. Pour résumer, dans un cadre strictement privé, soit l utilisateur possède un proxy qu il contrôle et paramètre, soit il doit passer par un open proxy présent sur le Web. Dans le deuxième cas de figure, il s expose à des risques, car il n a aucun contrôle sur le paramétrage du serveur et sur la qualité des services qu il reçoit Résumé des choix Nous travaillons avec un forward proxy dans un cadre professionnel. Voici le cas final (en tenant compte d un réseau de type «Sandwitched DMZ» pour l entreprise): Figure 21 : Schéma réseau global La communication (flèche bleue sur le schéma) entre le «Smartphone sur réseau externe» et notre réseau interne se fera via une connexion sécurisée. Vu que différents types de VPN sont déjà intégrés dans la plateforme Android, l un de ces derniers devra être utilisé. Les contraintes, les menaces et le schéma complet du réseau étant définis, nous pouvons analyser les produits existants qui correspondent à nos besoins. 27/76

29 8. Etat de l art Dans le cadre de ce projet, nous utilisons deux éléments pour la navigation: 1) Le navigateur du Smartphone 2) Le proxy de l entreprise Voici l état de l art concernant ces deux applications : Projet d approfondissement 8.1. Côté Smartphone - Navigateur Voici la liste des principaux navigateurs avec quelques explications et captures d écrans : Opera Mini 32 Nom Opera Mini Editeur Opera Software ASA Prix Gratuit Avis utilisateur Très satisfaisant (4.3 étoiles) Version Application Version Android 1.5 et plus récente Autorisations système : Figure 22 : Images Opera Mini du Market 33 - COMMUNICATIONS RESEAU ACCES INTERNET INTEGRAL, AFFICHER L'ETAT DU RESEAU - STOCKAGE MODIFIER/SUPPRIMER LE CONTENU DE LA CARTE SD - OUTILS SYSTEME DEFINIR LES APPLICATIONS PREFEREES 32 Lien Market Web : https://market.android.com/details?id=com.opera.mini.android 33 Source : https://market.android.com/details?id=com.opera.mini.android 28/76

30 Remarques concernant la navigation : Nous remarquons que ce navigateur (comme la plupart de ses concurrents) cache la barre d adresse pendant la navigation. Les informations concernant la sécurité ne sont donc pas affichées constamment. La barre d adresse est disposée juste au-dessus du début de la page et lorsque l utilisateur commence la navigation vers le bas ou clique sur la page, elle disparaît : Figure 23 : Barre d'adresse URL cachée durant la navigation 34 Pour permettre de lire un texte sans se déplacer de gauche à droite, le navigateur arrange automatiquement la disposition des éléments affichés à l écran (largeur de colonne des textes). Le rendu n est donc pas correctement reproduit dans la plupart des pages chargées. Nous voyons également qu à la suite de la saisie d une adresse, un champ de recherche apparaît, ce qui laisse très peu d espace pour afficher l URL : Figure 24 : Espace restreint pour afficher l'url Ce navigateur supporte les fonctionnalités suivantes : - Onglets - Historique - Favoris - Téléchargement de fichiers - Désactivation du chargement des images - Désactivation de l affichage modifié pour Smartphone - Plein écran - Désactivation des cookies - Gestionnaire de mots de passe Opera Mini ne permet pas de paramétrer un proxy mais, en revanche, il peut désactiver la modification de l affichage destinée aux petits écrans pour que la restitution du contenu reste fidèle à la réalité. 34 Source : 29/76

31 Chrome Lite Nom Chrome Lite Editeur Google Prix Gratuit, inclus de base Avis utilisateur - Version Application - Version Android - Autorisations système : Figure 25 : Images de chrome lite sur la surcouche SENSE d un HTC Désire - POSITION LOCALISATION GPS, POSITION GEOGRAPHIQUE APPROXIMATIVE SELON LE RESEAU - INFORMATIONS PERSONNELLES ECRIRE, LIRE HISTORIQUE - COMMUNICATIONS RESEAU ACCES INTERNET INTEGRAL, AFFICHAGE DE L ETAT DU RESEAU, AFFICHAGE DE L ETAT DU WIFI - STOCKAGE - MODIFIER/SUPPRIMER LE CONTENU DE LA CARTE SD - OUTILS SYSTEME ARRET DU MODE VEILLE SUR LE TELEPHONE, MODIFICATION DE LA CONNECTIVITE DU RESEAU, RECUPERATION DES APPLICATIONS EN COURS D EXECUTION, CONFIGURATION DU FOND D ECRAN, INSTALLATION DE RACCOURCIS Remarques concernant la navigation : Comme pour le navigateur Opera Mini, Chrome Lite colle la barre d adresse juste au-dessus du contenu de la page. Lorsque l utilisateur descend, elle disparaît pour laisser un maximum de place au site. Lors du chargement d une nouvelle page, le navigateur fait un zoom le plus éloigné possible pour que l utilisateur puisse avoir une vue d ensemble. Dans la plupart des cas, ce zoom «trop éloigné» ne permet pas la lecture du contenu de la page, les caractères étant de trop petite taille : 30/76

32 Figure 26 : Vue d'ensemble, contenu illisible Ce navigateur supporte les fonctionnalités suivantes : - Onglets - Historique - Favoris (Partage de favoris) - Téléchargement de fichiers - Désactivation du chargement des images - Blocage des pop-up - Désactivation de l affichage modifié pour Smartphone - Désactivation de Javascript - Gestion des données de localisation - Plein écran - Désactivation des cookies - Gestionnaire de mots de passe - Gestionnaire des informations entrées dans les formulaires - Plugins Chome Lite est rapide, complet et intégré à Android. Malheureusement, il ne dispose pas d option permettant de fixer un proxy. Il semble que cette fonctionnalité ne fasse pas partie des priorités lors de l implémentation des principaux navigateurs Web pour Smartphone. 31/76

33 Firefox 4 Nom Firefox 4 Editeur Mozilla Prix Gratuit Avis utilisateur Très satisfaisant (3.3 étoiles) Version Application 4.0 Version Android 2.0 et plus récente Autorisations système : Figure 27 : Images Firefox 4 Bêta du Market 35 - POSITION LOCALISATION GPS - COMMUNICATIONS RESEAU ACCES INTERNET INTEGRAL, AFFICHER L'ETAT DU RESEAU - STOCKAGE MODIFIER/SUPPRIMER LE CONTENU DE LA CARTE SD - OUTILS SYSTEME INSTALLATION DES SHORTCUTS Remarques concernant la navigation : Ce navigateur supporte les fonctionnalités suivantes : - Onglets - Historique - Favoris - Téléchargement de fichiers - Désactivation du chargement des images - Désactivation de l affichage modifié pour Smartphone (seulement formatage du texte) - Désactivation de Javascript - Afficher l encodage des caractères - Plein écran - Désactivation des cookies - Gestionnaire de mots de passe - Modules 35 Source : https://market.android.com/details?id=org.mozilla.firefox 32/76

34 Firefox ajoute des éléments en haut, à gauche et à droite de la page Web comme illustré ci-dessous : Au-dessus : Barre d adresse A gauche : Onglets A droite : Favoris Figure 28 : Différents éléments de Firefox disponibles pendant la navigation Pour avoir accès aux onglets et aux favoris, l utilisateur peut passer par le menu ou tout simplement glisser son doigt sur la gauche ou sur la droite de l écran. Durant son lancement, Firefox est plus lent et moins réactif aux interactions. Il ne propose pas de fixer un proxy directement dans ses propriétés. Un module est sensé le faire, mais il n a pas été mis à jour pour fonctionner sur la version mobile Dolphin Browser HD Nom Dolphin Browser HD Editeur Dolphin Browser Prix Gratuit Avis utilisateur Très satisfaisant (4.5 étoiles) Version Application Version Android 2.0 et plus récente Figure 29 : Images Dolphin Browser HD du Market Source : 33/76

35 Autorisations système : - POSITION LOCALISATION GPS, POSITION GEOGRAPHIQUE APPROXIMATIVE SELON LE RESEAU - COMMANDE DU MATERIEL CONTROLER LE VIBREUR - COMMUNICATIONS RESEAU ACCES INTERNET INTEGRAL, AFFICHER L'ETAT DU RESEAU - STOCKAGE MODIFIER/SUPPRIMER LE CONTENU DE LA CARTE SD - OUTILS SYSTEME EMPECHER LA MISE EN VEILLE DE L'APPAREIL Remarques concernant la navigation : Ce navigateur supporte les fonctionnalités suivantes : - Onglets (volet sur la gauche) - Historique - Favoris - Gestes d actions tactiles - Personnalisation de la fonction des touches de volume (ajouter du scroll par exemple) - Téléchargement de fichiers (dont un paramètre pour télécharger les fichiers en arrière-plan sans les montrer à l utilisateur, ce qui peut être un problème de sécurité) - Désactivation du chargement des images - Désactivation des Pop-ups - Désactivation de Javascript - Désactivation de l historique pendant la navigation - Désactivation de l affichage modifié pour Smartphone (vue d ensemble) - Suppression des données gardées en cache (paramètres complets) - Plein écran - Support ou non du plugin Flash (demandé au premier lancement) - Désactivation des cookies - Gestionnaire de mots de passe - Add-ons (plugins) Ce navigateur est le plus complet et le plus agréable à utiliser. Il comporte plusieurs add-ons qui peuvent se révéler intéressants pour filtrer le contenu à l affichage (bloquer les publicités, etc.). Une version mini, visuellement allégée, est disponible sur le market : Figure 30 : Dolphin Browser Mini 34/76

36 Lors de son premier lancement, et contrairement aux autres navigateurs, Dolphin Browser propose quelques paramétrages comme, par exemple, la personnalisation de la fonction des boutons de volume (scroll au lieu de volume) ou l activation du plugin Flash. Pendant la navigation, l utilisateur interagit de plusieurs manières avec le navigateur : Glisser avec le doigt de gauche à droite accès aux favoris Glisser avec le doigt de droite à gauche accès aux add-ons et aux paramètres Bouton en bas à gauche accès aux gestes de navigation Figure 31 : Interactions possibles Comme les navigateurs précédents, Dolphin Browser ne dispose pas de paramétrage concernant le proxy Autres navigateurs Nom et éditeur Commentaires NetFront Life Browser Ce navigateur est fortement lié au moteur de recherche Yahoo. Editeur : ACCESS CO., LTD. L utilisateur est invité à faire une recherche plutôt qu à écrire une URL, bien qu il puisse faire les deux. L URL ne s affiche pas, il n y a que le titre qui est inscrit au-dessus de la page. Concernant la navigation sécurisée, aucun détail n est disponible. NetFront se xscope Browser - Web & File Editeur : xscope Mobile Miren Browser Editeur : Miren Boat Browser Editeur : Boat Browser UltraLight Web Browser Editeur : Appiphiliac contente d afficher un petit cadenas. Plusieurs paramètres disponibles fournissent pratiquement les mêmes fonctionnalités que les principaux navigateurs cités dans les chapitres précédents. Au niveau de la sécurité, aucune information n est donnée à l utilisateur lors de la navigation en HTTPS. Par défaut, lors de la navigation, Miren Browser passe en mode plein écran et n affiche pas du tout de barre d adresse. Aucune information concernant l URL ou la sécurité n est donc affiché. Encore une fois, ce navigateur n affiche aucune information sur la sécurité lors de la navigation. De plus, l URL affichée dans la barre d adresse est très petite (vingt caractères sur HTC Désire). Ce navigateur est très sommaire et il n affiche que le titre de la page lors de la navigation. L utilisateur ne voit pas l URL et aucune information de sécurité n est affichée. 35/76

37 Gestion HTTPS - certificats Public key certificates Un certificat est un document qui utilise une signature numérique pour lier une clé publique à une identité. Il est utilisé pour vérifier si une clé publique appartient à une entité définie. Dans une infrastructure à clés publiques (PKI) standard, les signatures émanent de différentes autorités de certification (CA) qui attestent ce lien. Un certificat standard (X.509) utilisé dans les échanges chiffrés via HTTPS contient les informations suivantes : - Numéro de série : identification unique - Sujet : identification de la personne ou de l entité - Algorithme de signature (description) - Emetteur : entité qui a vérifié les informations et qui a émis ce certificat - Validité, date de début - Validité, date de fin - Utilisation : fonction de la clé publique (ex : chiffrement, etc.) - Clé publique - Algorithme de hachage pour le contrôle de l intégrité (description) - Résultat du hach Il est utilisé pour authentifier le serveur web SSL distant lors de la navigation sécurisée. De plus, il est géré tout au long de son cycle de vie par l intermédiaire de listes de révocation (Certificate Revocation List, CRL) et appartient à une classe définie par Verisign : - Classe 1 : Pour les individus (adresse électronique du demandeur requise) - Classe 2 : Pour les organisations ou individus (preuve de l'identité, par exemple : photocopie de carte d'identité, numéro SIRET/SIREN, nom de domaine, etc.) - Classe 3 : Pour les serveurs ou logiciels dont le titulaire a été authentifié (présentation physique du demandeur obligatoire) - Classe 4 : Pour les transactions commerciales en ligne entre entreprises - Classe 5 : Pour les organisations privées / sécurité des gouvernements Voici, par exemple, les informations du certificat de postfinance : Figure 32 : informations sur le certificat de postfinance 36/76

38 Nous remarquons dans l image précédente la ligne «Délivré par : VeriSign Class 3 Extended Validation SSL SGC CA». L information Extended Validation SSL (SSL EV) correspond à la validité étendue du certificat. Des contrôles supplémentaires sont effectués quand une demande est émise auprès d une autorité de certification. Les logiciels compatibles avec les certificats EV présentent des informations supplémentaires à l utilisateur et, pour la plupart, fournissent des éléments visuels intéressants dans le cadre de ce travail : Figure 33 : Différents affichages en fonction de la validation du certificat 37 Dans cette figure, on note la présence d un jeu de couleur qui donne une information plus précise de la validité et du degré d authenticité de l entité distante. Il est intéressant de se concentrer sur les quatre navigateurs les plus populaires de la plateforme Android pour étudier leurs comportements face à différents scénarios liés à la navigation sécurisée HTTPS. Voici les informations visuelles affichées dans chaque use case HTTPS certificat non EV valide Navigateur Commentaires Captures d écran Opera Mini Un petit cadenas est présent en haut à droite de l écran. L utilisateur n a aucun moyen d afficher les différentes informations concernant le certificat (émetteur, validité, etc.) Chrome Lite Un cadenas est affiché sur la partie gauche de la barre d adresse. Via le menu «Infos sur la page», l utilisateur a accès à une boîte de dialogue qui affiche les informations sur l entité distante, sur l émetteur et sur la validité (date d émission et d expiration). 37 Source : Jackson, Collin Daniel R. Simon, Desney S. Tan, Adam Barth. "An Evaluation of Extended Validation and Picture-in-Picture Phishing Attacks", page 2 37/76

39 Firefox 4 Ce navigateur est le seul à utiliser un jeu de couleur pour déterminer l authenticité des certificats. L utilisateur a la possibilité de voir ces informations en cliquant sur la petite icône à gauche de la barre d adresse. Par contre, le choix d une couleur à la place d un cadenas est moins facile à comprendre pour un utilisateur peu averti. Dolphin Browser HD Un cadenas est affiché sur la gauche de l URL mais aucune information sur le certificat n est disponible HTTPS certificat EV valide (test de la compatibilité avec SSL EV) Dans ce use case le certificat suivant a été utilisé pour effectuer les tests : Figure 34 : Informations sur le certificat SSL EV tirées du site 38/76

40 Navigateur Commentaires Captures d écran Opera Mini Aucune modification n a été apportée à l affichage, même si cette entité est validée de manière étendue. Chrome Lite Idem que pour Opera Mini, aucune information sur la validation étendue n est affichée à l utilisateur (même dans la boîte de dialogue dédiée à l affichage des informations sur le certificat). Firefox 4 La couleur change en fonction de la validation du certificat : - Bleu : certificat valide mais pas EV - Vert : certificat valide et EV Nous remarquons cependant que seul le titre du code HTML de la page n est affiché. L URL, quant à elle, disparaît. Dolphin Browser HD Aucune information supplémentaire n est affichée par rapport au scénario précédent HTTPS certificat autosigné (self-signed certificate) Navigateur Commentaires Captures d écran Opera Mini Ce navigateur a une façon particulière de gérer les certificats autosignés. Il n affiche tout simplement pas le cadenas, car il ne considère pas que la connexion soit sécurisée. Aucune information supplémentaire n est donnée à l utilisateur. Chrome Lite Comme nous le voyons dans l image de droite, un message d avertissement est affiché indiquant à l utilisateur que l entité distante n a pas pu être authentifiée. Le bouton «Afficher le certificat» permet de donner des informations supplémentaires sur le certificat. Si l utilisateur clique sur le bouton «Continuer», le site est affiché avec le cadenas sur la gauche de la barre d adresse. 39/76

41 Firefox 4 Dolphin Browser HD L image précédente est affichée dans le navigateur firefox. Elle explique clairement à l utilisateur que le certificat n est pas sûr car il est auto-signé. Si l utilisateur accepte néanmoins d accéder à ce site, l affichage ressemble au premier use case avec un certificat valide mais non EV (couleur bleu). Comme pour Chrome Lite, une boîte de dialogue est affichée. Ceci est logique, car Dolphin Browser utilise Chrome Lite tout en implémentant des fonctionnalités supplémentaires HTTPS certificat non valide Dans ce cas, l entité décrite dans le certificat ne correspond pas au domaine du site visité. Sur Chrome (Desktop), le message suivant est affiché : Figure 35 : Certificat non valide sur Chrome /76

42 Navigateur Commentaires Captures d écran Opera Mini Ce navigateur ne gère pas bien ce cas, car aucune alerte n est affichée à l utilisateur. Le site est affiché directement, sans aucun avertissement. Le message «Service Unavailable» correspond au contenu correct du site https://tv.eurosport.com/, mais n est pas une erreur du navigateur. Chrome Lite Dans ce cas, le problème est clairement identifié et présenté à l utilisateur. La possibilité de consulter les informations sur le certificat est disponible. Firefox 4 Nous pouvons constater que Firefox gère correctement ce problème. 41/76

43 Cependant, si l utilisateur accepte les risques et continue la navigation, la couleur affichée correspond à celle des certificats valides sans EV comme dans le premier cas : Dolphin Browser HD Nous retrouvons la même gestion que pour le navigateur Chrome Lite. Une fois le bouton «Continuer» appuyé, le site s affiche sans information particulière de sécurité (même affichage que dans le premier cas) Discussion des résultats Grâce à ces quelques cas d utilisation, nous pouvons mettre en évidence les points suivants : - Firefox 4 est le seul navigateur à utiliser un jeu de couleur pour afficher les informations de validation étendue. La contrepartie négative, est qu un utilisateur peu averti ne comprendra pas leur signification. Dans un cas idéal, il faudrait afficher un cadenas supplémentaire lors de la visite de sites HTTPS. Figure 36 : Validation étendue avec un jeu de couleur - Chrome Lite permet en tout temps de consulter les informations du certificat via le menu «Infos sur la page». Dolphin, même en étant basé sur Chrome Lite, ne le permet qu en cas de problème. - Opera Mini a une gestion inexistante et transparente de la plupart des cas contenant un problème avec le certificat. - Aucun navigateur ne permet de consulter l intégralité des informations du certificat (Chrome Lite est celui qui en affiche le plus). - Très peu de moyens ont été mis à disposition de l utilisateur pour lui permettre d afficher l intégralité de l URL (détection visuelle de phishing, etc.). Il reste encore beaucoup d éléments à implémenter sur les principaux navigateurs afin de fournir tous les outils visuels nécessaires à un utilisateur pour qu il puisse vérifier la sécurité de sa connexion. Sachant qu actuellement chaque navigateur gère à sa façon l affichage des informations sur la sécurité, ne serait-il pas intéressant de mettre en place des règles strictes et standardisées pour que les utilisateurs finaux s y retrouvent? 42/76

44 Fixer un proxy sur Android Pour accéder au contenu Web de manière sécurisée, nous devons utiliser un navigateur qui puisse envoyer les requêtes directement à notre proxy. Comme nous l avons vu précédemment, les principaux navigateurs ne gèrent pas les proxy. Nous devons donc nous tourner vers le paramétrage du système ou vers une application tierce: 1) Paramètres du système Actuellement, sans les droits root, il n est pas possible de fixer un proxy sur Android, car Google n a pas intégré de menu (UI) dédié à cette fonctionnalité dans les paramètres du Smartphone. Néanmoins, trois solutions existent. Elles consistent à «rooter» le système, à installer une ROM alternative comme par exemple Cyanogen 38 ou à passer par les commandes ADB suivantes : > adb shell # sqlite3 /data/data/com.google.android.providers.settings/databases/settings.db sqlite> INSERT INTO system VALUES(99, http_proxy', 'proxy:port'); sqlite>.exit Ces commandes changent directement le paramétrage du proxy. Le navigateur de base du système (Chrome Lite) va donc les prendre en compte. Beaucoup d utilisateurs se plaignent auprès de Google comme le montre ces tickets ouverts sur Google Code : IP Proxy Settings for Wifi Network No Proxy setting in android Android cannot access exchange through a HTTP proxy Proxy Settings for Wifi Ces tickets de type «Defect» ou «Enhancement» sont classés en priorité «Medium». Notons que l UI concernant cette fonctionnalité est disponible sur les systèmes concurrents (Apple, Blackberry, Windows Phone). 2) Application tierce Quelques applications disponibles sur le market permettent de paramétrer le proxy. Sur les pages suivantes, vous trouverez des explications sur les deux plus intéressantes. 38 Informations supplémentaires : 39 Source : 40 Source : 41 Source : 42 Source : 43/76

45 AsProxy Nom ASProxy v1.4 Editeur AlSu Prix 4.99 $ (environ 4.55 CHF) Avis utilisateur Très satisfaisant (3.7 étoiles) Version Application 1.4 Version Android 1.6 et plus récente Remarque : Pour que cette application fonctionne correctement, il est nécessaire de posséder les droits «root» sur son système Android. ASProxy permet le support du proxy pour toutes les applications (y compris le navigateur, le market, Google Maps, Google Talk et Google Voice) sur différents réseaux (Wi-Fi, 3G/4G APN, Ethernet et Reverse tethering via USB). Voici la liste des possibilités offertes 43 : - Intercepte de manière transparente le trafic et le redirige (les applications n ont pas besoin d avoir le support du proxy intégré) - Supporte différents types de connexion (Wi-Fi, 3G/4G APN, Ethernet et Reverse tethering via USB) - Prend en charge plusieurs paramétrages de proxy - Supporte HTTP, SOCKS 4/4a et SOCKS 5 - Supporte Basic, NTLM et NTLMv2 pour l'authentification - DNS Forwarding Nous pouvons donc choisir les types de connexions que nous voulons faire passer par le proxy : Figure 37 : Choix des ports pour rediriger le trafic Source : https://market.android.com/details?id=com.alsu.asproxy 44 Source : https://market.android.com/details?id=com.alsu.asproxy 44/76

46 ainsi que les paramètres des proxy de notre choix et sur quelles connexions les activer : Figure 38 : Choix des proxy et des connexions Any Cut Nom Any Cut Editeur Jeff Hamilton Prix Gratuit Avis utilisateur Très satisfaisant (4.5 étoiles) Version Application 1.0 Version Android 1.0 et plus récente Any Cut permet de créer des raccourcis vers tout un ensemble d applications et de paramètres. Bien qu Android ne soit pas pourvu du menu des paramètres concernant le proxy, nous pouvons tout de même créer le raccourci suivant : Figure 39 : Ajout d'un raccourci pour accéder aux paramètres du proxy 45/76

47 Une fois le raccourci créé, nous pouvons y accéder et modifier le paramétrage du proxy : Figure 40 : Accès aux modifications du paramétrage du proxy Résumé Voici la liste des navigateurs les plus sûrs et possédant le plus grand nombre de fonctionnalités sur la plateforme Android : - Opera Mini - Chrome Lite - Firefox 4 - Dolphin Browser TM HD Firefox est le seul à gérer convenablement la validité étendue des certificats pendant une connexion HTTPS. Pour le moment, chaque navigateur affiche à sa façon les informations de sécurité à l utilisateur. Le fait qu aucune règle ne soit commune a pour conséquence des manques et des incohérences. Un test pour valider un éventuel filtre anti-phishing dans le navigateur a été mené avec une adresse valide listée sur le site Le résultat est assez décevant, car aucun navigateur sur Smartphone n a affiché de message d avertissement. La même adresse URL a donné l affichage suivant sur la version Chrome pour Desktop : Figure 41 : Filtre anti-phishing incorporé dans la version de Chrome ( ) pour Desktop 46/76

48 Notons encore que l utilisateur n a pas accès au paramétrage du proxy directement sur son Smartphone, car, actuellement, Android ne dispose pas d UI conçu à cet effet. De même, les navigateurs ne prennent pas en charge cette fonctionnalité. Voici un tableau récapitulatif permettant de juger les navigateurs actuels en fonction de la sécurité et des fonctionnalités implémentées (les notes de 0 à 6 sont des appréciations de l état actuel) : Note de 0 à 6 Critère (0: mal/non implémenté et 6: parfaitement implémenté) Sécurité Opera Mini Chrome Lite Firefox 4 Dolphin Browser Filtre anti-phishing Affichage connexion sécurisée Gestion SSL EV visuelle Gestion des erreurs certificats Affichage URL complète Affichage infos certificats Moyenne sécurité Fonctionnalités Opera Mini Chrome Lite Firefox 4 Dolphin Browser Onglets Historique Favoris Interactions tactiles Gestion contenu (diverses désactivations: images, cookies) Désactivation affichage pour Smartphone Flash Add-ons Paramétrage du proxy Moyenne fonctionnalités Observations : 1) Chrome Lite est le navigateur affichant globalement la meilleure sécurité. 2) Dolphin Browser HD contient le plus grand nombre de fonctionnalités. 3) Il existe encore une grande marge de progression pour proposer un navigateur tenant compte au mieux de la sécurité. Le Design Proof Of Concept créé dans ce projet apporte diverses solutions pour pallier à ces lacunes. 47/76

49 8.2. Côté Entreprise Proxy Proxy Il existe une multitude de proxy sur le marché. Nous pouvons les diviser en deux catégories : 1) Hardware 2) Software Dans la première catégorie, nous pouvons citer, par exemple, les produits suivants : - Blue Coat CacheFlow 45 / ProxySG - Ara Networks Jaguar ApplianSys CACHEbox 47 Ces derniers mettent en place les fonctionnalités listées ci-dessous : o o o o o Caching Contents filtering Access control QoS (gérer la qualité de service pour différents utilisateurs) Audit Concernant la catégorie software, voici quelques exemples de logiciels existants : - Apache HTTP Server Grâce à un module nommé «mod_proxy», Apache tient le rôle de forward ou inverse proxy. Ce dernier dispose de nombreuses fonctionnalités dont, par exemple, la gestion des autorisations d accès et le cache. - Apache Traffic Server Ce proxy est rapide, évolutif, extensible et conforme au protocole HTTP/1.1. Après avoir été un produit commercial, Yahoo! en a fait don à la fondation Apache. Actuellement, ce logiciel est un TPL d Apache. Voici les fonctionnalités qu il offre : o Caching o Web Accelerator o Contents filtering o Anonymize contents - Polipo Polipo est un serveur proxy rapide et léger qui offre les possibilités suivantes : o Caching o Transformer toutes les requêtes HTTP/1.0 en HTTP/1.1 o Web accelerator o Gestion du téléchargement des fichiers (cache, reprise, etc.) o Output filtering (privacy-enhancing) o Input contents filtering 45 Source : 46 Source : 47 Source : 48/76

50 - Privoxy Serveur proxy sans cache contenant des fonctionnalités avancées de filtrage pour garantir une communication anonyme et dépourvue de données indésirables. - Squid Ce serveur proxy multiplateforme fait partie des plus connus et des plus populaires. Il est écrit en C/C++ et est très complet. Voici un aperçu de ses fonctionnalités : o Caching o Web accelerator o Anonymize contents o Audit o Security Remarques : - La plupart des firewalls du marché intègrent un proxy HTTP/FTP. - Les listes des fonctionnalités citées ci-dessus ne sont pas exhaustives, car ces produits n ont pas été testés dans ce travail. L état de l art sur les proxy est bref, car dans l approche de ce rapport, nous voulons surtout nous concentrer sur les fonctionnalités utiles à la navigation sur Smartphone Fonctionnalités d un proxy Pour mieux comprendre le proxy Web, nous allons à présent analyser les différentes fonctionnalités qu il met à disposition, tout en définissant leurs utilités dans le contexte de ce projet (en tenant compte des contraintes et des menaces exposées dans les premiers chapitres) Caching Description Présent dans la plupart des proxy actuels, le cache permet de garder en mémoire les informations les plus souvent demandées par les utilisateurs. Elle fonctionne sur plusieurs protocoles comme HTTP ou FTP, par exemple, et utilise des mécanismes pour comparer si les données stockées en mémoire sont toujours valides. Le cas du HTTP, qui nous intéresse tout particulièrement, définit les éléments suivants : - Freshness Les réponses peuvent être réutilisées sans avoir besoin de vérifier leur validité sur le serveur Web distant. Exemples d entêtes de réponse : s-maxage, max-age, min-fresh et max-stale. - Validation Le proxy cache utilise l entête «If-Modified-Since» pour interroger le serveur distant sur la validité de ses données sans avoir à les redemander. Ce cas intervient après leur sortie du contexte précédent (freshness). - Invalidation Les requêtes POST, PUT ou DELETE invalident les données mises précédemment en cache par le proxy. Dans notre cas, il est intéressant de mettre en place cette fonctionnalité sur les requêtes de pages WEB HTTP, ainsi que sur les fichiers téléchargés. 49/76

51 Avantages 1) Réduction de la bande passante du serveur proxy vers Internet (avantage pour l entreprise) 2) Diminution du temps d accès aux données (avantage pour l utilisateur du Smartphone) La contrainte liée aux liaisons lentes et coûteuses (chapitre 5.1.5) peut être atténuée par le deuxième avantage. Informations supplémentaires Si un attaquant arrive à corrompre les données mises en cache par le proxy, tous les utilisateurs de l entreprise seront soumis à un risque. Par exemple, une variante de l attaque HTTP response splitting utilise le cache de l entreprise pour atteindre tout employé qui souhaite accéder à la même ressource infectée. Le proxy doit donc implémenter une vérification des données qu il stocke Web accelerator/ Transforming Description Bien que le Caching permette de recevoir plus rapidement certaines données, les techniques suivantes peuvent être utilisées pour accélérer le transfert: - Résoudre préventivement les noms d'hôtes présents dans un document (HTML ou Javascript) pour réduire les latences des futures requêtes - Télécharger à l avance les informations susceptibles d'être demandées - Compresser les données - Transmettre seulement les données modifiées - Effectuer du «transforming»: réduire la taille du contenu, par exemple, en diminuant la qualité (images, vidéos, etc.) ou en optimisant le code HTML/Javascript - Filtrer le contenu inutile ou indésirable (fonctionnalité traitée plus loin dans ce document) - Maintenir une connexion persistante entre le navigateur et le proxy - HTTP pipelining 48 Ces améliorations concernent la navigation HTTP et, dans certains cas, la réception d s. Par contre, elles ne sont pas adaptées dans les cas suivants : streaming, gaming, P2P downloads, etc. Nous pouvons analyser les outils mis à disposition par HTTP pour utiliser la compression des données. Grâce à l entête Accept-Encoding, le navigateur signale au proxy ou au serveur distant les types d algorithmes qu il prend en charge. Voici un exemple d entête : GET / HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-us; rv:1.5) Gecko/ Firebird/0.7 Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,video/xmng,image/png,image/jpeg,image/gif;q=0.2,*/*;q=0.1 Accept-Encoding: gzip,deflate Accept-Charset: ISO ,utf-8;q=0.7,*;q= Informations supplémentaires : 50/76

52 Lors de la réponse, l entête Content-Encoding est utilisée pour informer le navigateur de l algorithme choisi. Comme les serveurs Web distants ne fournissent pas forcément de compression, le proxy peut prendre en charge cette tâche et compresser de manière adéquate les données demandées par le navigateur. Le gain dû à cette fonctionnalité sur le texte (code HTML, CSS, Javascript, etc.) peut aller jusqu à 79% 49. Voici les différents algorithmes présents dans la RFC du W3C : - gzip / x-gzip GNU zip (Lempel-Ziv coding (LZ77) avec un CRC de 32 bits) - compress / x-compress Compression de données sans perte, basée sur l'algorithme de Lempel-Ziv-Welch(LZW) en utilisant des pointeurs de taille variable et disponible sur les systèmes UNIX. - deflate Format zlib de compression de données sans perte qui couple l'algorithme LZ77 et le codage de Huffman (RFC ). Pour qu un algorithme puisse être utilisé, il doit être conforme à la RFC2616. Actuellement, le plus communément utilisé est gzip. Voici quelques chiffres 51 qui montrent les gains possibles de compression (moyennes sur cinq sites de chaque catégorie) : Seulement les fichiers HTML, CSS et JS Tous les fichiers (images inclues) Catégories Nbr de Taille* Taille* après Gain Taille* Taille* après Gain fichiers originale compression originale compression High-Tech 14 26,531 5,092 79% 60,650 39,211 35% Newspaper 37 74,688 16,218 79% 150,220 91,749 40% Directory 11 36,096 13,296 69% 50,168 27,368 46% Sports 24 41,011 10,167 74% 110,530 79,686 27% Moyenne 22 44,582 11,193 75% 92,892 59,504 37% * : tailles en bytes Avantages Le traitement des données permet d optimiser la quantité de bande passante nécessaire à la navigation. Ainsi, une solution est apportée à la contrainte liée aux liaisons lentes et coûteuses (chapitre 5.1.5). Par ailleurs, cela permet d augmenter le confort et l ergonomie d utilisation, car la rapidité de l affichage et la fluidité des interactions sont améliorées. Informations supplémentaires Certaines techniques présentées dans la partie «description» doivent être impérativement compatibles avec le navigateur. Par exemple, la compression mise en place par le proxy doit être prise en charge par le navigateur du côté client. 49 Source : 50 Source : 51 Source : 51/76

53 Bypassing filters and censorship Description Le proxy modifie ou cache certaines informations aux sites distants. Ceci permet de contourner les filtres mis en place par certains services accessibles sur Internet. Il est possible de citer, par exemple, les filtres basés sur l ip-géolocalisation ou encore l accès réservé aux clients qui possèdent certaines résolutions d affichage. Avantages Ces filtres peuvent être contournés si le proxy modifie les données des entêtes HTTP. De plus, l IP vue par le serveur distant n est pas celle du Smartphone. Informations supplémentaires Cette fonctionnalité est fortement liée à la suivante Anonymizer/ Manage client informations disclosure Description Un «anonymous proxy» joue un rôle important dans l utilisation professionnelle d Internet. Il permet de cacher les informations d identification du Smartphone, car les serveurs distants reçoivent les requêtes émises par le proxy de l entreprise. Avantages Le client qui utilise son Smartphone est mieux protégé, car ses informations d identification (IP, navigateur utilisé, contenus acceptés, version des plug-ins, etc.) peuvent être contrôlées et au besoin modifiées Authentification / Access policy Description Le proxy peut authentifier les utilisateurs car il est l'intermédiaire indispensable entre les Smartphones du réseau interne et les ressources externes. L accès à ces dernières pourra donc être réservé aux personnes autorisées à le faire. De plus, l identification permet l audit des différentes activités effectuées sur Internet. Il est possible de citer, par exemple, le module proxy_auth 52 méthodes pour gérer l authentification. Voici les plus utilisées : de Squid qui propose différentes - LDAP (Lightweight Directory Access Protocol) - NCSA (Fichier NCSA contenant username et password) - MSNT (Windows NT authentication domain) - PAM 53 (Unix Pluggable Authentication Modules scheme) - SMB 54 (Utilise un serveur SMB ex : Windows NT, Samba) - getpwam (Old-fashioned Unix password file) - SASL 55 (Simple Authentication and Security Layer) 52 Source : et 53 Informations supplémentaires : 54 Informations supplémentaires : 55 Informations supplémentaires : 52/76

54 - Windows native authenticator - Base de données NIS 56 - NTLM - Digest authentication - Serveur Radius Pour choisir une de ces possibilités, il faut être attentif à deux points : 1) Comment le proxy gère-t-il le mécanisme d authentification? (Est-il correctement implémenté?, Respecte-t-il la logique de sécurité du protocole?, etc.) 2) Est-ce que la sécurité est convenable? (Les échanges sont-ils chiffrés?, Le nom d utilisateur et le mot de passe sont-ils stockés en clair?, etc.) Avantages Dans le cadre d une utilisation professionnelle, l authentification permet de restreindre l accès aux ressources externes uniquement aux utilisateurs ayant les doits nécessaires. Il en découle la possibilité de tracer les différentes activités, ce qui permet un audit efficace. Pour appliquer les Access polices, des règles sont mises en place grâce, notamment, à l utilisation de listes blanches, noires et à l analyse des données demandées par l utilisateur (cf. chapitre suivant) Inbound data filtering Description Cette fonctionnalité est liée aux «acceptable use policies» établies par l entreprise. Seul le contenu conforme aux règles est accessible sur Internet. La mise en place de ce filtrage peut être faite de différentes manières: - DNS Blacklists / DNSBL 57 Utiliser les listes noires des serveurs pratiquant du phishing par exemple. - MIME 58 - Content analysis (common traits, keywords) Analyser les données pour identifier du contenu appartenant à une catégorie qui n est pas acceptée par les règles de l entreprise (caractère pornographique, violent, réseaux sociaux, etc.). De plus, un antivirus (démon et/ou basé sur ICAP 59 ) peut effectuer un scan en temps réel sur les données entrantes pour détecter les malwares. Comme cité dans le premier chapitre de ce document, le contenu indésirable représente une des menaces pour la navigation professionnelle depuis un Smartphone. Des éléments comme les bandeaux publicitaires, cookies, animations flash lourdes, etc. peuvent être filtrés et enlevés des réponses envoyées à l utilisateur. 56 Informations supplémentaires : 57 Informations supplémentaires : 58 Informations supplémentaires : 59 Informations supplémentaires : 53/76

55 Avantages Fonctionnalité qui permet d appliquer les «acceptable use policies», de filtrer les éléments indésirables et de scanner le trafic en entrée avec un antivirus Outbound data filtering Description Les données sortant du réseau interne de l entreprise peuvent être contrôlées pour garantir que les informations confidentielles ne soit pas envoyées sans autorisation vers l extérieur. De plus, les requêtes faites par les utilisateurs doivent passer par un filtre qui fait appel aux «acceptable use policies» et qui utilise les techniques suivantes : - URL Listes blanches ou noires d URLs pour accepter ou non une requête. - DNS Blacklists / DNSBL 60 Listes noires de serveurs pratiquant du phishing par exemple. - URL regex Appliquer un filtre utilisant les expressions régulières sur les URLs. Avantages L outbound data filtering permet d appliquer les «acceptable use policies» tout en contrôlant les données sortantes, afin d intercepter toute fuite de données confidentielles Logs / Audit Description/Avantages Les logs permettent de garder une trace de l activité de chaque utilisateur de l entreprise et se révèlent utiles dans les cas suivants : - Statistiques - Adaptation des règles de filtrage et des fonctionnalités en tenant compte des besoins - Surveillance de l activité (relation avec le domaine privé ou professionnel) - Données utiles aux IDS - Données utiles à la recherche d intrusions (intrusion forensic) - Etc HTTPS handling Description Un proxy HTTPS, plus communément appelé SSL proxy, permet de gérer le flux HTTPS chiffré en adoptant la position du «man-in-the-middle». En d autres termes, les requêtes faites par le navigateur du Smartphone sont gérées (terminées) par le proxy et renvoyées au serveur distant. Le certificat présenté au navigateur est celui du proxy (qui devra être placé préalablement dans les «trusted certificate authorities» du navigateur). Certains proxy se limitent à la fonction de gateway pour le protocole HTTPS. Cependant, pour une utilisation professionnelle sécurisée, il faudrait de préférence utiliser un SSL proxy capable de mettre en œuvre les différents avantages cités dans les chapitres précédents. 60 Informations supplémentaires : 54/76

56 De plus, cette fonctionnalité permet au proxy de vérifier les certificats des serveurs distants. Des listes blanches et/ou noires pourront être mises en place par l entreprise en fonction de ses «access policies». Avantages Le HTTPS handling permet de maîtriser du flux de données échangées entre le Smarphone et les serveurs distants via HTTPS tout en assurant un contrôle des certificats. Informations supplémentaires Le navigateur doit être paramétré pour passer à travers un SSL proxy afin d autoriser son rôle de «man-in-the-middle» dans l échange sécurisé Résumé Deux types de proxy : 1) Hardware 2) Software Proposant les fonctionnalités suivantes : - Caching - Web accelerator/ Transforming - Bypassing filters and censorship - Anonymizer/ Manage client informations disclosure - Authentification / Access policy - Inbound data filtering - Outbound data filtering - Logs / Audit - HTTPS handling 55/76

57 9. Concepts de sécurité à retenir Les paragraphes précédents ont permis de définir les différents composants de l architecture nécessaires à une navigation professionnelle via un Smartphone. Après avoir mis en évidence plusieurs problématiques, nous pouvons faire une synthèse des concepts de sécurité qui devraient idéalement être implémentés tant pour l utilisateur que pour l entreprise Côté utilisateur En complément à la sensibilisation que l utilisateur doit recevoir concernant les problèmes de sécurité auxquels il est exposé (cf. chapitre ), son Smartphone doit être paramétré convenablement pour lui fournir un niveau de sécurité maximum Smartphone L entreprise doit veiller à sécuriser 61 le Smartphone de ses employés. Nous pouvons citer les directives émises par l ENISA 62 qui recommande, par exemple, de modifier la configuration afin qu un mot de passe soit exigé avant l installation de toute nouvelle application. Lors de la navigation sur Internet, les quatre éléments suivants doivent être impérativement mis en place : 1) Navigateur sécurisé 2) Logiciel de protection (anti-malware/anti-phishing) 3) Proxy (paramétrage) 4) VPN 5) Spécifications du Smartphone Navigateur Le Smartphone doit posséder un navigateur performant et adapté aux objectifs de sécurité fixés par l entreprise. Nous avons mis en évidence que les informations traitant de la sécurité n étaient pas correctement affichées. Nous pouvons donc commencer par identifier les informations abordables pour un utilisateur peu averti et utiles dans une communication HTTP/HTTPS : - URL Vérification visuelle de l URL pour détecter des attaques par Spoofed URL ou Homograph attack (exemple : reconnaître des URLs non valides comme www-bankofthewest.com) - Type de connexion Sécurisée ou non (HTTP ou HTTPS) - Certificat du serveur distant lors d une connexion sécurisée Affichage de la validité du certificat et mise en place d une validation étendue qui fournit un meilleur contrôle du propriétaire du domaine (doit être une entité légalement constituée et avoir un siège social) - Informations et erreurs du certificat Affichage complet et compréhensible 61 Informations supplémentaires: Dr Giles Hogben, Dr. Marnix Dekker (ENISA). Information security risks, opportunities and recommandations for users, décembre Dr Giles Hogben, Dr. Marnix Dekker (ENISA). Information security risks, opportunities and recommandations for users, décembre /76

58 Une étude 63 menée par Collin Jackson, Daniel R. Simon, Desney S. Tan et Adam Barth (Stanford University et Microsoft Research, Redmond) met en évidence les points suivants : - Un utilisateur doit être sensibilisé aux attaques par phishing et doit comprendre les différentes informations de sécurité affichées par son navigateur. - La validation étendue («extended validation») du certificat améliore considérablement les chances de détecter une attaque. - Le navigateur doit afficher clairement les informations concernant la navigation sécurisée afin de donner tous les outils visuels nécessaires à un utilisateur pour s apercevoir d une attaque. Nous pouvons établir les règles suivantes : - Afficher l URL complète - Utiliser une police de caractères lisible qui ajoute des espaces entre les lettres Les espaces permettent d éviter le genre de confusion illustrée ci-dessous : Figure 42 : Le "double v" peut remplacer avantageusement le "w" - Afficher un pictogramme si la connexion est chiffrée via HTTPS - Donner la possibilité à l utilisateur de consulter les informations complètes sur le certificat - Afficher les informations sur la validation étendue - Gérer correctement les erreurs de certificats (affichage clair et explications) - Permettre à l utilisateur de désactiver les modifications de disposition apportées par le navigateur (affichage comme sur Desktop/Laptop) Actuellement, le navigateur répondant le mieux à ces règles est Chrome Lite, mais nous avons vu précédemment que la validation étendue n est pas gérée et que l utilisateur ne peut pas voir facilement l adresse URL complète. Pour trouver une solution convenable, nous allons appliquer les quelques règles présentées ci-dessus dans un design proof of concept (traité dans le chapitre 10) montrant ce que devrait faire au minimum un navigateur de Smartphone Logiciel de protection (anti-malware/anti-phishing) Nous avons vu qu il n y avait pas de filtre anti-phishing intégré aux principaux navigateurs, nous devons donc installer une application tierce. De cette manière, nous sommes en accord avec la règle fondamentale de sécurité : Defense in depth (redundant mechanismes). Un filtre anti-phishing sera présent sur le proxy de l entreprise et sur le Smartphone. 63 Jackson, Collin Daniel R. Simon, Desney S. Tan, Adam Barth. "An Evaluation of Extended Validation and Picture-in-Picture Phishing Attacks" 57/76

59 Les produits actuels qui fournissent cette possibilité sont nombreux, mais ils ne supportent que les navigateurs basés sur Chrome Lite. Nous pouvons citer comme exemple les programmes suivants : PhishLock Nom PhishLock Editeur SentryBay Ltd Prix Gratuit Avis utilisateur Très satisfaisant (3.8 étoiles) Version Application 1.0 Version Android 2.2 et plus récente Webroot Mobile Security Basic Nom Webroot Mobile Security Basic Editeur Webroot Software Inc. Prix Gratuit Avis utilisateur Très satisfaisant (4.5 étoiles) Version Application Version Android 2.1 et plus récente Norton Mobile Security (bêta) Nom Norton Mobile Security (bêta) Editeur NortonMobile Prix Gratuit (pendant 3 mois) Avis utilisateur Très satisfaisant (3.8 étoiles) Version Application Version Android 1.6 et plus récente BadLink Check Nom BadLink Check Editeur aegislab Prix Gratuit Avis utilisateur Très satisfaisant (3.1 étoiles) Version Application 0.9 Version Android 1.5 et plus récente L utilisateur aura un message d avertissement s il accède à un site de phishing répertorié : Figure 43 : Alerte de PhisLock 58/76

60 Proxy (paramétrage) Il faut configurer le Smartphone ou plus particulièrement le navigateur pour que toutes les requêtes soient émises au proxy de l entreprise et non au serveur distant. Actuellement, l entreprise a trois choix : - Utiliser un transparent proxy Il sera couplé avec divers éléments du réseau pour que toutes les requêtes et réponses HTTP/HTTPS passent par lui. - Rooter le Smartphone et installer l application AsProxy - Paramétrer le Smartphone via les commandes adb Cette possibilité n est pas optimale, car toutes les applications ne passent pas forcément par ce paramétrage. De plus, les requêtes HTTPS ne sont pas correctement prises en compte VPN Paramétrer le Smartphone pour chiffrer la connexion via VPN quand l utilisateur ne se trouve pas dans le réseau de l entreprise. Différentes possibilités sont implémentées sur Android, le choix dépend de l infrastructure mise en place Spécifications du Smartphone Pour pallier le plus efficacement possible aux contraintes définies dans les premiers chapitres de ce document, il serait préférable d utiliser un Smartphone possédant les caractéristiques suivantes : - Grande taille de l écran (idéalement plus grand que 3,7 pouces) pour afficher lisiblement la plus grande quantité d informations possible - Type d écran efficace lorsqu il est exposé à une forte luminosité - Disponibilité d un clavier physique pour fournir un maximum d espace dédié à l affichage du site - Puissance suffisante pour exécuter des outils dédiés à la sécurité du système (antivirus, antiphishing, etc.) et pour assurer un confort d utilisation raisonnable - Matériel fournissant le support des réseaux de données les plus performants possibles (WIFI, 3G, LTE, etc.) 59/76

61 9.2. Côté entreprise Structure et concepts de sécurité L entreprise doit mettre en place une infrastructure réseau adéquate avec les éléments suivants : - VPN - Proxy utilisant le plus de fonctionnalités possibles (cf. chapitre 9.2.2) - Logiciels de protection/scan des données entrantes et sortantes (anti-malware, anti-spam, anti-phishing, etc.) - Mettre en place des contrôles sur les serveurs d pour identifier les liens pointant sur des sites de phishing Elle doit aussi : - Fixer des «acceptable use policies» pour établir un règlement clair sur les permissions données aux utilisateurs accédant à des ressources externes (paramétrage du proxy en fonction de ces policies) - Paramétrer correctement les Smartphones pour garantir au mieux la sécurité souhaitée - Sensibiliser les employés aux risques de la navigation sur Internet et sur le fonctionnement de leur navigateur (cf. sous-chapitre suivant) - Intégrer la sécurité dans le développement des Web applications internes (utiliser les recommandations établies par l OWASP) - Respecter tout particulièrement ces règles fondamentales de sécurité : o Defense in depth (redundant mechanismes) Mettre en place des redondances dans les contrôles (anti-phishing sur le proxy et sur le navigateur, etc.) o Choke point Faire transiter tout le flux des données par un point de contrôle (proxy) o Deny by default Dans tous les systèmes de contrôles mis en place, appliquer au maximum le système de listes blanches o User participation Inclure l utilisateur dans le processus de sécurisation pour éviter qu il ne soit le vecteur d attaque le plus attractif (chapitre suivant) Sensibilisation des employés Pour que l utilisateur s aperçoive d une attaque, il doit la connaître et savoir où chercher les éléments qui lui donnent des renseignements utiles. Les filtres et les protections mis en place sont, pour la plupart, basés sur des listes blanches et/ou noires et ils ne permettent pas de stopper toutes les attaques. L entreprise doit donc sensibiliser ses employés sur les trois points suivants : 1) Les différentes menaces présentes lors de la navigation sur Smartphone (Phishing, Session Hijacking, Vol de données, Sniffing, etc.) 2) L utilisation correcte du navigateur afin de comprendre les informations visuelles liées à la sécurité 60/76

62 3) Quelques règles fondamentales sur Internet (par exemple: ne jamais cliquer sur un lien contenu dans un qui amène directement sur un site bancaire, vérifier l URL, donner le minimum d informations privées ou professionnelles possibles, etc.) Développements internes Comme nous l avons vu dans le chapitre traitant des menaces, les applications Web de l entreprise peuvent être directement ciblées par des attaques comme XSS, CRCF, etc. Pour que les risques encourus soient minimisés et acceptables, des règles concernant les développements internes doivent être respectées. Pour cela, l entreprise peut s inspirer des nombreuses directives établies par l OWASP 64 (Open Web Application Security Project) Proxy Précédemment, nous avons mis en évidence l implémentation de plusieurs fonctionnalités par les proxy. Voici la liste des fonctionnalités destinées à garantir un niveau maximum de sécurité tant pour l utilisateur que pour l entreprise : - Caching - Web accelerator/transforming - Anonymizer/Manage client informations disclosure - Authentification / Access policy Remarque : Il faut veiller à utiliser une méthode sûre qui chiffre les données stockées et échangées. - Inbound data filtering - Outbound data filtering - Logs/Audit - HTTPS handling (idéalement, authentification aussi du côté client) 64 Informations supplémentaires : https://www.owasp.org/index.php/main_page 61/76

63 10. Design proof of concept Cette partie est basée sur les concepts de sécurité décris au chapitre pour montrer comment un navigateur devrait gérer l affichage des informations de sécurité. De plus, deux objectifs ont été pris en compte pour garantir l ergonomie et le confort d utilisation : - Fournir la meilleure lisibilité possible - Ne pas envahir l espace dédié au site Web Les sous-chapitres suivants sont orientés sur différents use cases dans le but de présenter les composants du navigateur «idéal». Remarque : Certains éléments visuels sont inspirés des navigateurs suivants : Chrome Lite, Firefox et Dolphin Browser HD Affichage des informations de sécurité HTTP/HTTPS Grâce à l état de l art des principaux navigateurs, nous avons mis en évidence que l utilisateur ne sait pas forcément faire la différence entre une connexion sécurisée ou non. Ceci est dû au manque de clarté dans le choix des composants visuels liés à la sécurité. Par exemple, sur la figure suivante, Firefox change la couleur de fond sur la partie gauche de la barre d adresse lorsque la connexion est sécurisée : Figure 44 : HTTPS avec certificat non EV valide Un utilisateur peu averti ne saura pas reconnaître si sa connexion est sécurisée, car tous les autres navigateurs affichent un petit cadenas pour symboliser l utilisation d HTTPS : Chrome Lite Opera Mini Dolphin Browser TM HD Figure 45 : Cadenas HTTPS La solution à ce problème est d afficher clairement et en permanence un cadenas signalant à l utilisateur si sa connexion est sûre ou non. Tous les cas doivent être pris en compte, même si le certificat comporte des erreurs : HTTP HTTPS HTTPS problème certificat Figure 46 : Cadenas affichés à tout moment Nous avons donc un affichage simple et compréhensible. L utilisateur connaît à tout moment l état de sa connexion. 62/76

64 URL complète Pour afficher une URL, deux points doivent être pris en compte : 1) Utiliser une police de caractères qui affiche un espace entre chaque lettre pour éviter toute confusion 2) Donner à l utilisateur la possibilité de consulter la totalité de l adresse Actuellement, seul Chrome Lite propose le deuxième point. L utilisateur doit ouvrir le menu et appuyer sur le bouton «Infos sur la page». Une solution plus accessible et intéressante serait d afficher un volet déroulant après un simple clic sur la barre d adresse : Figure 47 : Adresse URL complète La partie blanche qui contient l adresse et les informations de sécurité doit rester la plus sobre possible, afin de garantir un maximum de clarté et d espace pour le site : Figure 48 : Barre d'adresse simple et claire URL masquée Comme nous l avons vu précédemment, tous les navigateurs actuels cachent la barre d adresse quand l utilisateur interagit avec le site Web. Il en résulte un gain de place, mais aussi une perte de sécurité, car l URL et les informations visuelles de sécurité (cadenas HTTPS) ne sont plus présentes à l écran. Pour cette raison, ce proof of concept déconseille de masquer la barre d adresse. Néanmoins, si tel devrait être le cas, deux mesures peuvent être appliquées : 1) Permettre à l utilisateur d afficher ou de masquer l URL à tout moment. Cela implique de ne plus coller la barre d adresse au-dessus du site Web, comme le font actuellement les principaux navigateurs. 2) Garder visible le petit cadenas contenant les informations essentielles sur l état de la connexion. Figure 49 : Barre d'adresse masquée 63/76

65 Vue globale Pour que l utilisateur puisse s apercevoir de tout changement dans l apparence du site qu il visite, il faut afficher dès la fin de la réception des données, une vue globale. Elle ne permet ni la lecture du contenu ni l interaction avec les éléments (boutons, saisies de texte, etc.), mais elle offre un aperçu de la disposition des éléments : Figure 50 : Vue globale Remarque : Cette fonctionnalité est présente dans les quatre principaux navigateurs Authentification Pour garantir la meilleure sécurité possible, l architecture définie dans le chapitre 7.3 prévoit que tous les échanges de données liés aux protocoles HTTP/HTTPS passent par un proxy. L authentification de l utilisateur rend possible les fonctionnalités 65 d Authentification/Access policy et de Logs/Audit. Si l entreprise utilise un transparent proxy, une interface Web se chargera de cette partie, sinon le couple nom d utilisateur et mot de passe sera demandé par le navigateur. Dans le cadre de ce projet, nous pouvons aller plus loin et proposer une authentification forte. En plus des informations habituelles de connexion, le login peut demander un élément unique que l utilisateur a en sa possession. L entreprise peut, par exemple, fournir un badge NFC ou un compagnon Bluetooth à ses employés et lors du démarrage du navigateur, demander une authentification forte : Figure 51 : Authentification forte 65 Vues aux chapitres /76

66 Cet ajout apporte les avantages suivants : 1) Si l utilisateur perd son Smartphone, personne ne pourra utiliser le VPN mis en place pour accéder au réseau interne de l entreprise. 2) En forçant cette procédure pour toute demande d accès à un site provenant d un lien contenu dans un SMS/MMS ou dans un , un moment de réflexion supplémentaire sera donné à l utilisateur. L URL ne sera donc pas traitée instantanément par le navigateur. Cette situation particulière apporte un avantage en cas d attaque par Phishing Informations sur le certificat Comme nous avons pu le constater dans les chapitres précédents, il y a un manque réel dans l affichage des informations décrivant le certificat utilisé lors d une connexion sécurisée. Ce design proof of concept propose le message suivant lorsque l utilisateur clique sur le petit cadenas : Les informations suivantes doivent être affichées : Figure 52 : Informations sur le certificat X Etat du certificat : Valide/Non valide - Validité étendue (SSL EV) : Oui/Non - Emis à : Site et organisation - Emis par : Entité et organisation - Dates du début et de la fin de vie du certificat (Emis le/expire le) 65/76

Sécuriser les achats en ligne par Carte d achat

Sécuriser les achats en ligne par Carte d achat Projet Sécurité Date : 09/02/09 Version : V 1.0 Etat : travail / vérifié / validé Rédacteur : JBO Réf. : CNRS/DSI/Expertise/ sécuriser la carte achat-v1.doc Annexes : Sécuriser les achats en ligne par

Plus en détail

Sécurité : les principaux risques et les moyens de protection associés

Sécurité : les principaux risques et les moyens de protection associés Sécurité : les principaux risques et les moyens de protection associés Les dangers sont très nombreux et divers. De plus, ils évoluent rapidement dans le temps. Néanmoins, les principaux risques pour les

Plus en détail

CP - NBS System. La sécurité informatique : focus sur les menaces les plus communes et leurs solutions

CP - NBS System. La sécurité informatique : focus sur les menaces les plus communes et leurs solutions La sécurité informatique : focus sur les menaces les plus communes et leurs solutions Nous avons publié en février un article résumant les principaux risques liés au manque de sécurité des sites internet.

Plus en détail

cprotect PROTÉGEZ L IRREMPLAÇABLE! POUR SMARTPHONES ET TABLETTES ANDROID MANUEL D UTILISATION

cprotect PROTÉGEZ L IRREMPLAÇABLE! POUR SMARTPHONES ET TABLETTES ANDROID MANUEL D UTILISATION cprotect PROTÉGEZ L IRREMPLAÇABLE! POUR SMARTPHONES ET TABLETTES ANDROID MANUEL D UTILISATION Introduction cprotect : protégez l irremplaçable! L application cprotect peut être installée facilement sur

Plus en détail

«Obad.a» : le malware Android le plus perfectionné à ce jour

«Obad.a» : le malware Android le plus perfectionné à ce jour «Obad.a» : le malware Android le plus perfectionné à ce jour Table des matières I. Le sujet de l article... 2 II. Réflexion sur les nouvelles menaces technologiques d aujourd hui... 2 A. Android, victime

Plus en détail

cprotect PROTÉGEZ L IRREMPLAÇABLE! POUR SMARTPHONES ET TABLETTES ANDROID MANUEL D UTILISATION

cprotect PROTÉGEZ L IRREMPLAÇABLE! POUR SMARTPHONES ET TABLETTES ANDROID MANUEL D UTILISATION cprotect PROTÉGEZ L IRREMPLAÇABLE! POUR SMARTPHONES ET TABLETTES ANDROID MANUEL D UTILISATION Introduction cprotect : protégez l irremplaçable! L application cprotect peut être installée facilement sur

Plus en détail

Evaluer les risques liés aux défauts de sécurité

Evaluer les risques liés aux défauts de sécurité C2I Métiers de la Santé SECURITE INFORMATIQUE Evaluer les risques liés aux défauts de sécurité Eric Boissinot Université François Rabelais Tours 13/02/2007 Pourquoi la sécurité? Le bon fonctionnement d

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès )

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Sommaire 1. Protection de son matériel et de ses données Création d'un utilisateur avec mot de passe compliqué

Plus en détail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est

Plus en détail

Profil de protection d un logiciel d ingénierie

Profil de protection d un logiciel d ingénierie Version 1.0 moyen-terme GTCSI 11 septembre 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. 1 Descriptif

Plus en détail

Comment utiliser mon compte alumni?

Comment utiliser mon compte alumni? Ce document dispose d une version PDF sur le site public du CI Comment utiliser mon compte alumni? Elena Fascilla, le 23/06/2010 Sommaire 1. Introduction... 2 2. Avant de commencer... 2 2.1 Connexion...

Plus en détail

Guide de connexion au service Nomade des étudiants sous les environnements Microsoft Windows 7

Guide de connexion au service Nomade des étudiants sous les environnements Microsoft Windows 7 Direction des Systèmes d Information Manuel Utilisateur Guide de connexion au service Nomade des étudiants sous les environnements Microsoft Windows 7 Version 1.0 du 27/08/2013 Avertissement L accès à

Plus en détail

domovea accès distant tebis

domovea accès distant tebis domovea accès distant tebis SOMMAIRE SOMMAIRE Page 1. INTRODUCTION... 2 1.1 OBJET DU DOCUMENT... 2 1.2 PRELIMINAIRES... 2 2.... 3 2.1 CONNEXION AU PORTAIL DOMOVEA.COM... 3 2.2 CREATION D'UN COMPTE PERSONNEL...

Plus en détail

Présenté par : Mlle A.DIB

Présenté par : Mlle A.DIB Présenté par : Mlle A.DIB 2 3 Demeure populaire Prend plus d ampleur Combinée avec le phishing 4 Extirper des informations à des personnes sans qu'elles ne s'en rendent compte Technique rencontrée dans

Plus en détail

Profil de protection d une passerelle VPN industrielle

Profil de protection d une passerelle VPN industrielle Profil de protection d une passerelle industrielle Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant

Plus en détail

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.

Plus en détail

Kaspersky Fraud Prevention for Endpoints

Kaspersky Fraud Prevention for Endpoints Kaspersky Fraud Prevention for Endpoints www.kaspersky.fr KASPERSKY FRAUD PREVENTION 1. Techniques d attaque du système bancaire en ligne L'appât du gain constitue la principale motivation de la cyber-criminalité.

Plus en détail

Guide de connexion au service Nomade sous les environnements Microsoft Windows 7

Guide de connexion au service Nomade sous les environnements Microsoft Windows 7 Direction des Systèmes d Information Manuel Utilisateur Guide de connexion au service Nomade sous les environnements Microsoft Windows 7 Version 1.0 du 05/04/2013 Avertissement L accès à distance au réseau

Plus en détail

Plateforme Systempay. Intégration du module de paiement pour la plateforme VIRTUEMART 2.0 et supérieur PAIEMENT UNITAIRE Version 1.

Plateforme Systempay. Intégration du module de paiement pour la plateforme VIRTUEMART 2.0 et supérieur PAIEMENT UNITAIRE Version 1. Plateforme Systempay Intégration du module de paiement pour la plateforme VIRTUEMART 2.0 et supérieur PAIEMENT UNITAIRE Version 1.2a Rédaction, Vérification, Approbation Rédaction Vérification Approbation

Plus en détail

Informations Sécurité

Informations Sécurité Bonnes pratiques Informations Sécurité La sécurité informatique désigne un ensemble de techniques et de bonnes pratiques pour protéger vos ordinateurs et vos intérêts dans l usage des moyens informatiques,

Plus en détail

Manuel Utilisateur V4 MailInBlack V4.1.1.0

Manuel Utilisateur V4 MailInBlack V4.1.1.0 Manuel Utilisateur V4 MailInBlack V4.1.1.0 MailInBlack répond aux nouveaux enjeux liés à l utilisation de l email en entreprise en vous proposant des applications améliorant la performance de vos échanges

Plus en détail

Propagation virale sur le Web Le ver BackTrack

Propagation virale sur le Web Le ver BackTrack Propagation virale sur le Web Le ver BackTrack Althes (http://www.althes.fr) Revision 1 - December 2002 Vincent Royer 1. Introduction Au cours de ces dernières années, un certain nombre

Plus en détail

Google Apps : boostez la productivité de vos équipes via le partage de documents, de vidéos et de sites

Google Apps : boostez la productivité de vos équipes via le partage de documents, de vidéos et de sites Google Apps : boostez la productivité de vos équipes via le partage de documents, de vidéos et de sites Présentation des outils de collaboration GoogleApps permet une collaboration sécurisée et en temps

Plus en détail

Recueil des Fiches Utilisateurs de «SharePoint»

Recueil des Fiches Utilisateurs de «SharePoint» Recueil des s s de «SharePoint» Ce document regroupe les fiches utilisateurs décrivant la navigation et l utilisation de l application SharePoint. (Référence DSI-DT-Sharepoint-1 Avril 2014) ERGONOMIE GENERALE

Plus en détail

Espace Client Aide au démarrage

Espace Client Aide au démarrage Espace Client Aide au démarrage 1. A propos de l Espace Client... 2 a. Nouvelles fonctionnalités... 2 b. Reprise de vos documents... 2 c. Migration vers l Espace Client... 2 2. Accès à l Espace Client...

Plus en détail

Septembre 2015. sans le consentement de l'utilisateur dont l'ordinateur est infecté.

Septembre 2015. sans le consentement de l'utilisateur dont l'ordinateur est infecté. Septembre 2015 Depuis quelques mois, les entreprises françaises sont la cible d attaques informatiques utilisant des logiciels malveillants 1 (ou malwares), dont le but est de réaliser des opérations bancaires

Plus en détail

ACCEDER A SA MESSAGERIE A DISTANCE

ACCEDER A SA MESSAGERIE A DISTANCE Pour garder le contact avec leur entreprise, de plus en plus de collaborateurs ont besoin d accéder à leurs emails lorsqu ils sont en déplacement ou à domicile. Cet accès distant est facilité si la messagerie

Plus en détail

Liste de contrôle pour: «e-banking en toute sécurité» Les points qui suivent sont expliqués pas à pas aux pages suivantes.

Liste de contrôle pour: «e-banking en toute sécurité» Les points qui suivent sont expliqués pas à pas aux pages suivantes. e-banking en toute sécurité (lliiste de contrôlle et iinstructiions) documentt ttél lécharrgeabl le sous:: www..mel lani..admi in..ch Version 1.0 14.04.2005 Liste de contrôle pour: «e-banking en toute

Plus en détail

ACCÉDER A SA MESSAGERIE A DISTANCE

ACCÉDER A SA MESSAGERIE A DISTANCE ACCÉDER A SA MESSAGERIE A DISTANCE Lorraine Pour garder le contact avec leur entreprise, de plus en plus de collaborateurs ont besoin d accéder à leurs emails lorsqu ils sont en déplacement ou à domicile.

Plus en détail

Formation e-commerce Développeur Sécurité

Formation e-commerce Développeur Sécurité Page 1 sur 6 28 bd Poissonnière 75009 Paris T. +33 (0) 1 45 63 19 89 contact@ecommerce-academy.fr http://www.ecommerce-academy.fr/ Formation e-commerce Développeur Sécurité Développeur indépendant ou en

Plus en détail

Plateforme d'évaluation professionnelle. Manuel d utilisation de l interface de test d EvaLog

Plateforme d'évaluation professionnelle. Manuel d utilisation de l interface de test d EvaLog Plateforme d'évaluation professionnelle Manuel d utilisation de l interface de test d EvaLog Un produit de la société AlgoWin http://www.algowin.fr Version 1.0.1 du 18/01/2015 Table des matières Présentation

Plus en détail

PARAMETRER INTERNET EXPLORER 9

PARAMETRER INTERNET EXPLORER 9 PARAMETRER INTERNET EXPLORER 9 Résumé Ce document vous donne la marche à suivre pour paramétrer Microsoft Internet Explorer 9, notamment en vous indiquant comment lancer Internet Explorer 9, réinitialiser

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

Procédure en cas de vol ou de perte de matériel IT

Procédure en cas de vol ou de perte de matériel IT Procédure en cas de vol ou de perte de matériel IT Directive DIT-13 Champ d application : Université 1 Introduction Le développement constant d appareils informatiques mobiles et performants (ultrabooks,

Plus en détail

Présentation de Firefox

Présentation de Firefox Présentation de Firefox A l ouverture la fenêtre ressemble a ceci. (A noter qu ici j ai ouvert la page d accueil GOOGLE) Firefox présente toutes les fonctionnalités de base d un navigateur comme Internet

Plus en détail

Guide de démarrage rapide

Guide de démarrage rapide Guide de démarrage rapide Microsoft Windows Seven/Vista / XP / 2000 ESET Smart Security offre la vitesse et la précision d ESET NOD32 Antivirus et de son puissant moteur ThreatSense, allié à un pare-feu

Plus en détail

SECURIDAY 2013 Cyber War

SECURIDAY 2013 Cyber War Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Atelier : Mail Threats Formateurs:

Plus en détail

Guide Reseller Onbile

Guide Reseller Onbile Guide Reseller Onbile Cher Revendeur, Avez-vous un doute en ce qui concerne le fonctionnement du Panneau d Administration du Plan Reseller de Onbile? Le guide Reseller Onbile est ce dont vous avez besoin!

Plus en détail

Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4)

Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4) Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4) Sommaire : Contenu I. Introduction:... 2 II. Présentation de l atelier :... 2 1) Attaque persistante :... 3 2) Attaque non persistante :...

Plus en détail

Mettre en place sa plateforme de veille avec Netvibes

Mettre en place sa plateforme de veille avec Netvibes Mettre en place sa plateforme de veille avec Netvibes Karine Pasquier 6 mai 2011 HEG, Genève 1 Sommaire 1. Introduction... 3 1.1 Qu est-ce que c est... 3 1.2 A quoi ça sert pour la veille?... 3 1.3 Netvibes

Plus en détail

Guide d Utilisation Box Ultra Haut Débit

Guide d Utilisation Box Ultra Haut Débit Guide d Utilisation Box Ultra Haut Débit www.monaco-telecom.mc Sommaire 1. Accès à l interface de gestion de la box UHD 3 2. L interface de la box UHD 3 2.1. Onglet Etat 4 Partie Logiciel 4 Partie Connexion

Plus en détail

UserLock Quoi de neuf dans UserLock? Version 7

UserLock Quoi de neuf dans UserLock? Version 7 UserLock Quoi de neuf dans UserLock? Version 7 Table des Matières 1. Controle et sécurisation des sessions Wi-Fi... 3 2. Module UserLock PowerShell... 4 3. Nouvelle API documentée... 6 4. Nouvelle Interface...

Plus en détail

GUIDE D'UTILISATION DU PORTAIL IAM

GUIDE D'UTILISATION DU PORTAIL IAM GUIDE D'UTILISATION DU PORTAIL IAM CONNEXION ET UTILISATION IAM Table des matières Généralités... 3 Objectifs du document... 3 Évolutions du portail... 3 Signaler un INCIDENT demander du support Contacter

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

bitdefender TOTAL SECURITY 2008

bitdefender TOTAL SECURITY 2008 bitdefender TOTAL SECURITY 2008 L ultime solution de protection proactive pour vos PC! BitDefender Total Security 2008 est la solution de sécurité ultime pour protéger de manière proactive vos ordinateurs.

Plus en détail

La Solution Crypto et les accès distants

La Solution Crypto et les accès distants La Solution Crypto et les accès distants Introduction L'objectif de ce document est de présenter les possibilités d'accès distants à La Solution Crypto. Cette étude s'appuie sur l'exemple d'un groupement

Plus en détail

Recueil des Fiches Concepteurs : Mise en œuvre d un site SharePoint 2013 Juin 2015

Recueil des Fiches Concepteurs : Mise en œuvre d un site SharePoint 2013 Juin 2015 Recueil des s s : Mise en œuvre d un site SharePoint 2013 Juin 2015 Ce document décrit le paramétrage pour la mise en œuvre des fonctionnalités standard de Microsoft SharePoint 2013. NADAP et SharePoint

Plus en détail

Mise à jour de BlackBerry Device Software via le réseau sans fil

Mise à jour de BlackBerry Device Software via le réseau sans fil Préambule : Ce document présente comment mettre à jour la version logicielle de l OS déployé et contrôlé depuis le serveur BES. Cette procédure est tirée du Guide de Mise à jour du BlackBerry Device Software

Plus en détail

Politique Cookies. Qu est-ce qu un cookie? A quoi servent les cookies émis sur notre site?

Politique Cookies. Qu est-ce qu un cookie? A quoi servent les cookies émis sur notre site? Politique Cookies Qu est-ce qu un cookie? Un cookie est un fichier texte déposé, sous réserve de vos choix, sur votre ordinateur lors de la visite d'un site ou de la consultation d'une publicité. Il a

Plus en détail

14.1. Paiements et achats en ligne

14.1. Paiements et achats en ligne Chapitre 14 Sécurité et Internet Si Internet vous permet de vous connecter et d accéder à des services et des sites du monde entier, il est important aussi de comprendre qu une fois connecté au Web votre

Plus en détail

Centre pour la formation à l Informatique dans le Secondaire UTILISER NETMEETING DANS LES CCM. Département Education et Technologie.

Centre pour la formation à l Informatique dans le Secondaire UTILISER NETMEETING DANS LES CCM. Département Education et Technologie. Département Education et Technologie UTILISER NETMEETING DANS LES CCM Monique Colinet 5.82 AVRIL 2003 Centre pour la formation à l Informatique dans le Secondaire Une première utilisation de Netmeeting

Plus en détail

DOTELEC Courrier WEB

DOTELEC Courrier WEB DOTELEC Courrier WEB Modification de la Version 8.20-03/2015 Gestion de favoris pour les contacts. Ajout d'une recherche dans l'entête des colonnes des listes de courriers. Evolution dans la modification

Plus en détail

Symantec Protection Suite Enterprise Edition for Gateway Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité

Symantec Protection Suite Enterprise Edition for Gateway Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité Fiche technique: Sécurité de la messagerie Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité Présentation protège les données confidentielles et garantit la productivité

Plus en détail

MailInBlack Manuel utilisateur V5.1.2

MailInBlack Manuel utilisateur V5.1.2 MailInBlack Manuel utilisateur V5.1.2 contact@ Tél : +33 (0)4 91 11 47 30 Sommaire Table des Figures 3 Avant-propos 4 I. Connexion 6 II. Onglet Emails 8 1. Gestion des expéditeurs 9 a. Expéditeurs autorisés

Plus en détail

RECOMMANDATIONS SECURITE INTERNET BANKING TRANSACTIONNEL

RECOMMANDATIONS SECURITE INTERNET BANKING TRANSACTIONNEL RECOMMANDATIONS SECURITE INTERNET BANKING TRANSACTIONNEL Cette page doit fournir aux clients toutes les informations concernant la sécurité du site d internet banking transactionnel, en particulier les

Plus en détail

Recueil des Fiches Utilisateurs de «SharePoint»

Recueil des Fiches Utilisateurs de «SharePoint» Recueil des s s de «SharePoint» Ce document regroupe les fiches utilisateurs décrivant la navigation et l utilisation de l application SharePoint. (Référence DSI-DT-Sharepoint-1-4 Mai 2015) SOMMAIRE Accéder

Plus en détail

SSI Sensibilisation à la sécurité de l'information**

SSI Sensibilisation à la sécurité de l'information** SSI Sensibilisation à la sécurité de l'information** Prérequis Compétence opérationnelle Objectifs d apprentissage Durée d apprentissage Connaissances de base en informatique Etre capable de comprendre

Plus en détail

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ Fiche technique AppliDis Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ Fiche IS00198 Version document : 4.01 Diffusion limitée : Systancia, membres du programme Partenaires

Plus en détail

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse

Plus en détail

La sécurité des Réseaux Partie 6.1 Les pare-feus

La sécurité des Réseaux Partie 6.1 Les pare-feus La sécurité des Réseaux Partie 6.1 Les pare-feus Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références F. Ia et O. Menager, Optimiser et sécuriser son trafic

Plus en détail

INTRODUCTION A LA SECURITE DES RESEAUX

INTRODUCTION A LA SECURITE DES RESEAUX INTRODUCTION A LA SECURITE DES RESEAUX OBJECTIFS de la SECURITE des DONNEES (relativement à des personnes non autorisées) Confidentielles-ne doivent pas être lues Permanentes-ne doivent pas être altérées

Plus en détail

Laboratoire SSL avec JSSE

Laboratoire SSL avec JSSE Applications et Services Internet Rapport de laboratoire IL2008 20 janvier 2008 TABLE DES MATIÈRES I Table des matières 1 Introduction 1 2 Utilisation du serveur web 1 3 Clé publique générée 1 4 Réponses

Plus en détail

CHARTE DE GESTION DES COOKIES

CHARTE DE GESTION DES COOKIES CHARTE DE GESTION DES COOKIES 1. PREAMBULE La présente Charte de gestion des Cookies s adresse aux utilisateurs du site internet http://www.procedurescollectives.com/ (ci-après le «SITE»), à savoir, toute

Plus en détail

Réseaux CPL par la pratique

Réseaux CPL par la pratique Réseaux CPL par la pratique X a v i e r C a r c e l l e A v e c l a c o n t r i b u t i o n d e D a v o r M a l e s e t G u y P u j o l l e, e t l a c o l l a b o r a t i o n d e O l i v i e r S a l v

Plus en détail

Guide d utilisateur e-mandataire et e-citoyen

Guide d utilisateur e-mandataire et e-citoyen République du Sénégal ---.. Secrétariat général de la Présidence de la République.. Agence De l Informatique de l Etat Dématérialisation de la procédure de Demande d Autorisation de Construire Guide d

Plus en détail

SYNERWAY REMOTE SESSION PROCEDURE UTILISATEUR. Version Date Rédacteur Commentaire 1.0 25/11/2009 LRN Version initiale

SYNERWAY REMOTE SESSION PROCEDURE UTILISATEUR. Version Date Rédacteur Commentaire 1.0 25/11/2009 LRN Version initiale SYNERWAY REMOTE SESSION PROCEDURE UTILISATEUR Version Date Rédacteur Commentaire 1.0 25/11/2009 LRN Version initiale Sommaire I. PRESENTATION... 3 II. ENGAGEMENT DE CONFIDENTIALITE... 4 III. SESSION DE

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

Configuration firewall. Cette fiche explique la configuration du firewall intégré à NetXServ. Version 2.0. Date 28/12/2011 Validation

Configuration firewall. Cette fiche explique la configuration du firewall intégré à NetXServ. Version 2.0. Date 28/12/2011 Validation Diffusion : Libre Restreinte Interne Configuration firewall Cette fiche explique la configuration du firewall intégré à NetXServ Version 2.0 Auteur JP MAJ DD Date 28/12/2011 Validation RESIX - 10, rue

Plus en détail

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+ Guide de formation avec exercices pratiques Configuration et dépannage de PC Préparation à la certification A+ Sophie Lange Troisième édition : couvre Windows 2000, Windows XP et Windows Vista Les Guides

Plus en détail

La protection des données par affilinet

La protection des données par affilinet La protection des données par affilinet Rev. 04/03/2014 La protection des données par affilinet Contenu La protection des données par affilineta 1 1. Collecte et traitement des données personnelles et

Plus en détail

iphone en entreprise Guide de configuration pour les utilisateurs

iphone en entreprise Guide de configuration pour les utilisateurs iphone en entreprise Guide de configuration pour les utilisateurs iphone est prêt pour une utilisation en entreprise. Il gère Microsoft Exchange ActiveSync, ainsi que des services de base standards, le

Plus en détail

LIVRE BLANC COMBATTRE LE PHISHING. Auteur Sébastien GOUTAL Responsable Filter Lab. Janvier 2014. www.vade-retro.com

LIVRE BLANC COMBATTRE LE PHISHING. Auteur Sébastien GOUTAL Responsable Filter Lab. Janvier 2014. www.vade-retro.com COMBATTRE LE PHISHING Auteur Sébastien GOUTAL Responsable Filter Lab Janvier 2014 LIVRE BLANC www.vade-retro.com Index Introduction... 3 Typologies du phishing et du spam... 4 Techniques de filtrage des

Plus en détail

Gestionnaire d'appareil à distance (GAD) de Bell Foire aux questions

Gestionnaire d'appareil à distance (GAD) de Bell Foire aux questions Gestionnaire d'appareil à distance (GAD) de Bell Foire aux questions INTRODUCTION Gestionnaire d'appareil à distance (GAD) de Bell permet aux spécialistes techniques d offrir de l aide à distance aux utilisateurs

Plus en détail

Les vols via les mobiles

Les vols via les mobiles 1 Les vols via les mobiles Android est le système d exploitation le plus populaire parmi les utilisateurs des appareils mobiles et malheureusement aussi parmi les cybercriminels puisque c est l OS le plus

Plus en détail

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required. Quelles sont les deux affirmations vraies relatives à la sécurité du réseau? (Choisissez deux réponses.) Protéger un réseau contre les attaques internes constitue une priorité moins élevée car les employés

Plus en détail

z Fiche d identité produit

z Fiche d identité produit z Fiche d identité produit Référence DFL-260 Désignation Firewall UTM NETDEFEND 260 pour petites entreprises et télétravailleurs Clientèle cible PME comptant jusqu à 50 utilisateurs Accroche marketing

Plus en détail

Le WEB: présentation

Le WEB: présentation Le WEB: présentation Introduction: définition(s), historique... Principes d'utilisation:. le système Hypertexte. le fonctionnement pratique Naviguer sur le Web, les bases. les principales fonctions d'un

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

GUIDE UTILISATEUR. http://mib.futuroffice.fr/

GUIDE UTILISATEUR. http://mib.futuroffice.fr/ GUIDE UTILISATEUR http://mib.futuroffice.fr/ SOMMAIRE Connexion Onglet E-mails 1. Gestion des expéditeurs 2. Gestion des e-mails stoppés Onglet Paramètres 1. Paramètres 2. Statistiques 3. Personnalisation

Plus en détail

PRISME. Installation sur un poste windows

PRISME. Installation sur un poste windows PRISME Installation sur un poste windows Décembre 2012 Table des matières 1 Introduction... 3 2 La configuration requise... 3 3 Paramétrage du module JAVA... 4 3.1 Vérifier la présence de java et sa version...

Plus en détail

Manuel : User Management Médiateurs de dettes

Manuel : User Management Médiateurs de dettes Manuel : User Management Médiateurs de dettes Objet : Projet : Manuel de gestion des utilisateurs du FCA médiateurs de dettes SCM : Source Centrale Médiateurs de dettes Fichier Central des Avis (FCA) Pour

Plus en détail

GUIDE D UTILISATION DU SITE

GUIDE D UTILISATION DU SITE GUIDE D UTILISATION DU SITE Le site www.bibliexpert.com est édité par la société MISLOG, 20, rue de Verdun 27000 EVREUX France Tel : +33(0)2 32 67 80 50 Fax : +33(0)2 32 67 80 89 E-mail : contact@bibliexpert.com

Plus en détail

Manuel Utilisateur MailInBlack V4.0.7.2

Manuel Utilisateur MailInBlack V4.0.7.2 Manuel Utilisateur MailInBlack V4.0.7.2 Mibox antispam et anti-virus Retrouvez le plaisir de recevoir un email. TABLE DES MATIERES I. Connexion... 3 II. Onglet Emails... 5 II.1 Gestion des expéditeurs...

Plus en détail

Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche. Sommaire. I. Problématique du nomadisme au CNRS

Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche. Sommaire. I. Problématique du nomadisme au CNRS Université de Corse DESS ISI Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche Manuel BERTRAND Septembre 2004 Sommaire I. Problématique du nomadisme au

Plus en détail

La sécurité des accès grand public

La sécurité des accès grand public La sécurité des accès grand public Cédric Blancher blancher@cartel-securite.fr Cartel Sécurité Salon Vitré On Line 25-27 octobre 2002 Plan 1. Introduction 2. Les risques spécifiques 3. Les bonnes habitudes

Plus en détail

Utilisation de la messagerie Easy-hebergement

Utilisation de la messagerie Easy-hebergement Utilisation de la messagerie Easy-hebergement VERSION : 1.1 DERNIERE MISE A JOUR : 01/10/2010 www.easy-hebergement.fr 1 Introduction...3 2 Activation de la messagerie...3 3 Elaboration de mon profil d

Plus en détail

HTML5, CSS3 et JavaScript Développez vos sites pour les terminaux mobiles

HTML5, CSS3 et JavaScript Développez vos sites pour les terminaux mobiles 46 HTML5, CSS3 et JavaScript Développez vos sites pour les terminaux mobiles enfin deux points importants pour les sites mobiles, les nouveautés sur les formulaires ainsi que le mode hors-ligne. 2. Bonnes

Plus en détail

Artica. VIPTrack avec la Messagerie. Révision Du 21 Mars version 1.5.032119

Artica. VIPTrack avec la Messagerie. Révision Du 21 Mars version 1.5.032119 Artica VIPTrack avec la Messagerie Révision Du 21 Mars version 1.5.032119 Table des matières Introduction :...2 Historique du projet :...2 A qui s'adresse Artica?...2 Licence et support...2 Que fait Artica?...

Plus en détail

Chapitre N 7: Configuration et administration d un réseau local. Configuration et administration d un réseau local

Chapitre N 7: Configuration et administration d un réseau local. Configuration et administration d un réseau local Configuration et administration d un réseau local I Introduction : Une fois le matériel est choisi, le câblage est réalisé et les différentes composantes du réseau sont connectées, il faut. Quelque soit

Plus en détail

DONNEES PERSONNELLES ET COOKIES HIKINGONTHEMOON.COM

DONNEES PERSONNELLES ET COOKIES HIKINGONTHEMOON.COM DONNEES PERSONNELLES ET COOKIES HIKINGONTHEMOON.COM I - Collecte de données par HIKINGONTHEMOON.COM A quoi servent vos données? Vos données font l objet de traitements informatiques permettant la gestion

Plus en détail

Sécurité et mobilité

Sécurité et mobilité LEXSI > SÉMINAIRE ARISTOTE "SÉCURITÉ & MOBILITÉ" 1 Sécurité et mobilité QUELQUES ERREURS CLASSIQUES OU REX SUITE À AUDITS 07/02/2013 lgronier@lexsi.com/ fverges@lexsi.com Agenda 2 La mobilité et les audits

Plus en détail

PortWise Access Management Suite

PortWise Access Management Suite Créez un bureau virtuel pour vos employés, partenaires ou prestataires depuis n importe quel endroit et n importe quel appareil avec Portwise Access Manager et Authentication Server. Fournir des accès

Plus en détail

Plateforme takouine: Guide de l apprenant

Plateforme takouine: Guide de l apprenant Plateforme takouine: Guide de l apprenant - - Juillet 2012 - Sommaire Introduction :...3 Objectif :...3 Moodle :...3 Prérequis :...4 Matériel :...4 Logiciel :...4 Réglages préalables :...4 JavaScript :...4

Plus en détail

Nous allons détailler dans cette documentation les fonctionnalités pour créer un objet colonne.

Nous allons détailler dans cette documentation les fonctionnalités pour créer un objet colonne. Généralités Dans le générateur d états des logiciels Ciel pour Macintosh vous avez la possibilité de créer différents types d éléments (texte, rubrique, liste, graphiques, tableau, etc). Nous allons détailler

Plus en détail

Manuel : CIA Gestion des utilisateurs

Manuel : CIA Gestion des utilisateurs Manuel : CIA Gestion des utilisateurs Objet : Projet : Manuel de gestion des utilisateurs du CIA Huissiers de Justice CIA Central Identification & Authentication server Pour : Chambre Nationale des Huissiers

Plus en détail

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Table des matières Introduction... V CHAPITRE 1 Introduction à SSL VPN... 1 Une histoire d Internet.............................................. 3 Le modèle

Plus en détail

A VOUS, CHER CLIENT, CE MESSAGE CONCERNE VOTRE SECURITE

A VOUS, CHER CLIENT, CE MESSAGE CONCERNE VOTRE SECURITE A VOUS, CHER CLIENT, CE MESSAGE CONCERNE VOTRE SECURITE Sécurité Page 1 de 5 A la BANQUE DES MASCAREIGNES, nous accordons une extrême importance à la sécurité de vos informations. Nos systèmes et les procédures

Plus en détail

Documentation d utilisation

Documentation d utilisation Documentation d utilisation 1 Edutab est développé par Novatice Technologies Table des matières Interface enseignant/classe... 3 Introduction... 5 Démarrage... 5 Connexion des tablettes... 5 Préconisations...

Plus en détail