PROJET D APPROFONDISSEMENT

Transcription

1 PROJET D APPROFONDISSEMENT Auteur : Claudio Pimpao Professeur responsable : M. Markus Jaton 10/06/2011 Dans ce rapport les contraintes et les menaces liées à l utilisation d Internet sur un Smartphone sont identifiées en tenant compte des aspects de sécurité, de confort et d ergonomie dans un cadre professionnel. De plus, une étude de l état de l art fait ressortir les manques liés à l implémentation de la sécurité dans les différents navigateurs présents sur la plateforme Android. Un design proof of concept est donc détaillé pour mettre en avant plusieurs solutions destinées à fournir à l utilisateur tous les outils dont il a besoin pour se protéger. Une attention toute particulière est portée sur les connexions HTTPS et la validation étendue des certificats X.509. Finalement, les mesures de sécurité à appliquer tant du côté de l infrastructure mise en place par l entreprise que du côté du navigateur sont listées et argumentées.

2 1. Table des matières 1. Table des matières Cahier des charges Motivations Objectifs Introduction Objectifs détaillés Navigation Web sur Smartphone Contraintes Taille de l écran Interactions tactiles Faible puissance Luminosité de l écran Liaison de données (lente et coûteuse) Résumé Principales menaces Côté Smartphone Phishing Javascript Malwares Client DoS Session Hijacking Sniffing Vol de données Eléments indésirables Côté entreprise Cross-Site Scripting (XSS) Cross-Site Request Forgery (CSRF) Protection insuffisante de la couche transport Résumé Proxy Types de proxy Forward proxy Reverse proxy /76

3 7.2. Schéma réseau en fonction du contexte Navigation professionnelle Navigation privée Résumé des choix Etat de l art Côté Smartphone - Navigateur Opera Mini Chrome Lite Firefox Dolphin Browser HD Autres navigateurs Gestion HTTPS - certificats Fixer un proxy sur Android Résumé Côté Entreprise Proxy Proxy Fonctionnalités d un proxy Résumé Concepts de sécurité à retenir Côté utilisateur Smartphone Côté entreprise Structure et concepts de sécurité Proxy Design proof of concept Affichage des informations de sécurité HTTP/HTTPS URL complète URL masquée Vue globale Authentification Informations sur le certificat SSL EV Problèmes de sécurité /76

4 10.2. Filtre anti-phishing Options Sensibilisation de l utilisateur Discussion sur l état actuel et le futur Valorisation Conclusion Table des figures Bibliographie /76

5 2. Cahier des charges 2.1. Motivations "La mobilité informatique, ou nomadisme, implique des risques et des contraintes accrus relativement aux postes fixes. La connexion au réseau, en particulier, n'est guère sécurisée, et s'effectue souvent par des points d'accès incontrôlables. Les facilités de connexion des postes conçus pour le nomadisme ne facilitent guère les choses, car ils sont en mesure de se connecter souvent de manière parfaitement transparente, ce qui bien sûr constitue un sérieux avantage de confort, dont on ne désire pas volontiers se passer, mais en revanche peut constituer aussi une porte largement ouverte pour des pirates désirant jouer le rôle de «Man-In-The-Middle» vis-à-vis d'utilisateurs trop peu méfiants. Ce problème apparaît pour toutes les applications mobiles utilisant le réseau informatique pour s'exécuter, et peut aussi concerner des fonctions de téléphonie; nous nous proposons dans le cadre de ce projet d'approfondissement d'examiner le cas particulier des connexions HTTP via navigateur web. Surfer sur le web n'est pas nouveau : on connaît les dangers potentiels de consultation de sites réputés pour abriter des virus et des chevaux de Troie entre autres délicatesses; d'autres sites servent d hameçons pour essayer d'acquérir votre mot de passe pour des fonctions d'e-banking, ou pour tout autre accès qui pourrait s'avérer intéressant pour le pirate. Les conditions d'utilisation parfois précaires des terminaux à grande mobilité tendent à augmenter les risques; ainsi, un site de phishing est moins facilement identifiable sur un écran de 4 pouces en plein soleil que sur un écran de 24 pouces dans un local à l'illumination idéale. Par ailleurs, si les pop-ups publicitaires représentent une gêne pour l'utilisateur classique, que dire de l'ennui de ces informations indésirables sur un poste mobile à l'écran de dimensions restreintes et de plus connecté avec une liaison de débit modeste?" 2.2. Objectifs "On se propose dans le présent projet d'intégrer dans un smartphone de type Android un navigateur spécialisé, qui ne se connecte à des sites Internet que par le truchement d'un service de proxy applicatif dédié. Il ne s'agit pas d'une connexion proxy traditionnelle, dans le sens où le service considéré va effectuer une surveillance active des sites visités (en traçant l'historique le cas échéant), va contrôler la pertinence des sites visités, pour tenter de bloquer des tentatives éventuelles de phishing, va échanger une authentification avec le client pour s'assurer que la connexion client-proxy concerne bien deux partenaires mutuellement connus, et va «nettoyer» les pages retournées vers le client d'éléments indésirables. La notion d' «élément indésirable» n'est pas forcément évidente à définir correctement. On commencera donc par une étude théorique des solutions existantes, et la rédaction d'un document décrivant toutes les mesures que l'on peut prendre dans une optique d'optimisation et de sécurisation en la matière; ainsi l'utilisation d'une connexion comprimée (LZ+Base64 par exemple) peut-elle apporter un surcroît de vitesse bienvenu dans la plupart des cas.; mais quel en est le coût en termes de travail accru pour le mobile? On portera également une attention toute particulière à l'interprétation de Javascript; des scripts peuvent engendrer dynamiquement des liaisons HTTP d'une manière qui peut éventuellement contourner les mesures de précaution prises pour intercepter les URL. Après une étude théorique, on pourra se consacrer à la réalisation d'un prototype démontrant la fonctionnalité, et illustrant les bénéfices que l'on attend d'une telle réalisation dans divers cas de figure." M. Markus Jaton 4/76

6 3. Introduction Actuellement, l information est omniprésente dans notre vie privée et professionnelle, car elle devient un élément clé nécessaire à la plupart de nos activités. Nous désirons que son accès ne soit plus dicté par notre localisation ou notre support de travail. En bref, nous voulons y accéder n importe quand et n importe où. Une solution à cette demande grandissante de mobilité est l utilisation d un Smartphone. Nous nous confrontons donc à de nombreux problèmes, car ces appareils introduisent de nouvelles contraintes tant au niveau matériel qu au niveau applicatif. Par exemple, la taille de nos écrans passe de quinze à quatre pouces ce qui change notre expérience utilisateur. De plus, l utilisation d une interface tactile modifie notre moyen d interaction, car le doigt remplace le curseur de la souris. Le but de ce rapport est d analyser l impact de ces nouveaux paramètres et de se focaliser sur la navigation Web. Quels sont les changements apportés par l interaction tactile sur un petit écran? Comment garantir une sécurité suffisante et un confort d utilisation adaptés à ces nouveaux besoins? Pour répondre au mieux à ces questions, une analyse de la navigation sur Smartphone dans un cadre professionnel nous amène à mettre en évidence les principales menaces. Celles-ci nous permettent de définir les concepts de sécurité à appliquer tant du côté de l infrastructure mise en place par l entreprise que du côté du navigateur de l utilisateur. En tenant compte du temps mis à disposition, un design proof of concept et une liste de recommandations ont été réalisés afin de valider ce travail et de lui fournir une dimension concrète. SafeSurf fait partie du cours «projet d approfondissement» donné à l HES-SO//Master et correspond à 6 crédits ECTS. Claudio Pimpao 4. Objectifs détaillés Voici les objectifs à réaliser: - Faire une brève étude de la navigation sur Smartphone - Identifier les principales menaces - Déterminer le type de proxy qui nous intéresse - Présenter un état de l art actuel (navigateurs sur Android, proxy) o Identifier les fonctionnalités d un proxy à tenir compte pour garantir au mieux sécurité, confort et ergonomie dans le contexte du projet - Définir les concepts de sécurité à retenir o Côté client (navigateur) o Côté entreprise (infrastructure) - Réaliser un design proof of concept (navigateur sécurisé) Tous ces points sont traités dans la perspective de garantir au maximum la sécurité, le confort et l ergonomie à l utilisateur. 5/76

7 5. Navigation Web sur Smartphone Ce chapitre traite les différentes contraintes amenées par la navigation sur Smartphone par rapport à la navigation sur Desktop/Laptop afin de dresser une liste des principales menaces. Différentes problématiques vont être mises en évidence dans le but de fixer des concepts de sécurité à retenir Contraintes Taille de l écran La quantité et la facilité d accès à l information sont influencées par la taille du Smartphone. Comme nous pouvons le constater sur les images suivantes, l utilisation d un Smartphone réduit considérablement le nombre d informations lisibles affichées sur l écran: Figure 1 : Affichage sur un Smartphone Figure 2 : Affichage sur un Laptop, résolution 1440x900 Nous pouvons même remarquer que la disposition des éléments est modifiée sur le Smartphone. En effet, certains navigateurs changent l arrangement du texte ou des images pour que l affichage soit le plus agréable possible. Par exemple, une colonne de texte est réduite à la largeur de l écran. De cette manière, l utilisateur peut la faire défiler de haut en bas sans devoir se déplacer de gauche à droite: Figure 3 : Largeur du texte adapté à la largeur de l'écran 1 1 Source : 6/76

8 Sur un petit écran, le site n est pas affiché dans sa totalité et l utilisateur n a pas une vue d ensemble. Ceci peut s avérer dangereux dans le cas du phishing par exemple. Nous pouvons donc nous poser les questions suivantes: - Comment remarquer les différences entre le site affiché sur l écran et le vrai site? - Où sont affichées les informations de sécurité (HTTPS/HTTP, certificat, etc.)? - Peut-on voir la totalité de l url? Comme nous le verrons dans le chapitre «Etat de l art», chaque navigateur a une manière différente de gérer l affichage des informations. Par exemple, certains d entre eux cachent la barre d adresse lors de la navigation pour laisser un maximum d espace au site : Figure 4 : Barre d'adresse URL cachée 2 Cet exemple révèle bien un problème sur la manière de sensibiliser en temps réel l utilisateur aux menaces induites par l affichage d un site. Afin de trouver une solution adaptée aux objectifs souhaités (sécurité, confort et ergonomie), les trois points suivants vont être développés dans le chapitre concernant les concepts de sécurité à retenir du côté navigateur : 1) Quelles sont les informations utiles à afficher à l utilisateur? 2) Comment les afficher sans «envahir» l espace dédié au site? 3) Comment transmettre une synthèse de ces informations pour qu un utilisateur peu averti les comprenne? Un autre problème induit par la taille de l écran est l affichage d informations non désirables. Beaucoup d éléments peuvent être enlevés des pages Web visitées, afin de rendre plus lisible le contenu «utile». Comme nous le verrons dans le chapitre traitant des fonctionnalités d un proxy, il est possible d améliorer la lisibilité sur l écran en appliquant des filtres sur les données reçues. 2 Source : 7/76

9 Interactions tactiles Saisie des informations Pour la plupart des Smartphones Android récents, toute saisie d information est faite de manière tactile sur l écran. Un clavier virtuel vient donc s afficher, ce qui diminue l espace utile dédié au site : Figure 5 : Navigation avec le clavier tactile affiché sur l'écran Une fois le clavier présent à l écran, nous ne voyons pratiquement plus rien. Dans le cas d une attaque par phishing, il est donc très difficile de mettre en évidence les différences entre le site visité et le vrai site. Pour pallier à ce problème deux solutions complémentaires existent : - Utiliser un clavier physique pour afficher le maximum d éléments possibles - Avoir un écran de grande taille Voici le Smartphone HTC Desire Z qui affiche une plus grande quantité d information tout en laissant la possibilité à l utilisateur de saisir du texte: Figure 6 : Affichage de la page d'accueil de Yahoo sur un HTC Desire Z 3 3 Source : 8/76

10 Clics, sélections et interactions L utilisation du doigt à la place d une souris pour cliquer sur les éléments présents dans une page Web induit des interactions différentes avec le navigateur. L utilisateur doit se déplacer sur la page, car il ne la voit pas entièrement. Pour ce faire, il peut tirer le contenu avec son doigt vers le haut, le bas, la gauche ou la droite et changer le degré de zoom, soit à l aide de boutons conçus à cet effet, soit en «pinçant» l écran. Le doigt, bien moins précis que le pointeur d une souris, se trouve au-dessus du contenu. Les interactions sont donc moins précises et moins agréables sur un Smartphone. Sachant que les sites conçus spécialement pour un affichage sur petit écran et pour une utilisation tactile sont rares, l utilisateur fait face aux difficultés suivantes: - Fausses manipulations (clic approximatif) - Manque de visibilité due au doigt - Saisies incorrectes sur le clavier Pour pallier à ce genre de problèmes, les navigateurs implémentent quelques fonctionnalités intéressantes comme, par exemple, un jeu de couleur qui met en évidence les éléments avec lesquels l utilisateur interagit Faible puissance Nos Smartphones, bien qu évoluant très rapidement, sont encore limités au niveau de leur puissance de calcul. Actuellement, l installation de moyens de protection se fait rare, car protéger son Smartphone contre les virus, les logiciels malveillants et les autres menaces par une analyse en temps réel ralentit (dans une certaine mesure et en fonction du cas) les performances du Smartphone. Ceci dit, les plus grands éditeurs de solutions de sécurité commencent à proposer des versions pour Android. Les moyens de protection en temps réel installés et utilisés sur nos Desktop/Laptop ne sont pas déployés à grande échelle sur nos Smartphones, car pour le moment, ils sont encore peu performants et peu connus Luminosité de l écran En plein soleil ou lorsque l environnement est lumineux, la visibilité des informations affichées sur l écran du Smartphone diminue. Il est en effet plus difficile de différencier le contenu, ce qui induit un manque de lisibilité. Cette contrainte s ajoute à la taille restreinte de l écran et produit, par exemple, les résultats présents sur l image de la page suivante. 9/76

11 Figure 7 : Ecrans exposés à une forte luminosité 4 La visibilité joue un rôle dans la sécurité et le confort de l utilisateur qui visite un site Web. Actuellement, il n y a pas de solution à cet inconvénient, mais les fabricants d écrans cherchent de nouvelles méthodes permettant d apporter une luminosité adéquate à tout type de circonstances. Nous pouvons donc nous demander si l environnement de l utilisateur doit être pris en compte dans le cadre de ce projet. Est-ce que les informations transmises par les différents capteurs permettraient de mieux adapter notre affichage? Comment faut-il prendre en compte les risques induits par cette contrainte? Liaison de données (lente et coûteuse) La connexion permettant l échange de données peut être établie sur le réseau de l opérateur téléphonique (en 3G par exemple) ou directement via un accès sans fil (WIFI, Bluetooth). Sachant que le prix des données via le réseau de l opérateur est relativement élevé, que la vitesse de transmission reste pour le moment basse et que les accès sur le Web sont de plus en plus fréquents, il est intéressant d utiliser des fonctions de filtrage de contenu et d accélération. Nous verrons dans la partie traitant des fonctionnalités d un proxy que des améliorations intéressantes peuvent être apportées. Le fait de pouvoir se connecter partout, implique de passer par des éléments réseau non contrôlés. Nous devons donc sécuriser la connexion point à point dans les différents cas d utilisation possibles (professionnelle, privée, à l intérieur ou en dehors du réseau de l entreprise, etc.) Résumé Voici les principales contraintes de l utilisation d un Smartphone dans le cadre de la navigation Web : - Taille de l écran - Interactions tactiles - Faible puissance - Luminosité de l écran - Liaison de données (lente et coûteuse) 4 Source : 10/76

12 6. Principales menaces Nous nous intéressons principalement à la sécurité de la navigation dans un cadre professionnel. Deux types de menaces sont à prendre en compte : 1) Côté Smartphone : attaquant directement l utilisateur et ses données (privées ou professionnelles) 2) Côté entreprise : ciblant les applications Web et les données confidentielles Le deuxième point est abordé, car le Smartphone constitue un vecteur d entrée dans un réseau informatique relativement intéressant pour un pirate. Il est très certainement plus aisé de passer par le Smartphone d un utilisateur que de tenter d attaquer de front les défenses mises en place (firewalls, DMZ, etc.). Remarque : Certaines menaces décrites ci-dessous ont aussi un impact sur le confort et l ergonomie d utilisation Côté Smartphone Phishing Le phishing (hameçonnage) a comme but d'acquérir des informations sensibles telles que noms d'utilisateur, mots de passe, numéros de carte de crédit, etc., en se faisant passer pour une entité digne de confiance dans une communication électronique. "Les criminels informatiques utilisent généralement l'hameçonnage pour voler de l'argent. Les cibles les plus populaires sont les services bancaires en ligne, et les sites de ventes aux enchères tels qu'ebay et Paypal. Les adeptes de l'hameçonnage envoient habituellement des courriels à un grand nombre de victimes potentielles. Typiquement, les messages ainsi envoyés semblent émaner d'une société digne de confiance et sont formulés de manière à alarmer le destinataire afin qu'il effectue une action en conséquence. Une approche souvent utilisée est d'indiquer à la victime que son compte a été désactivé à cause d'un problème et que la réactivation ne sera possible qu'en cas d'action de sa part. Le message fournit alors un hyperlien qui dirige l'utilisateur vers une page Web qui ressemble à s'y méprendre au vrai site de la société digne de confiance. Arrivé sur cette page falsifiée, l'utilisateur est invité à saisir des informations confidentielles qui sont alors enregistrées par le criminel." Wikipédia 5 Nous pouvons faire le rapprochement avec les contraintes exposées dans le chapitre précédent. La taille de l écran, la saisie plus difficile d informations et le manque de visibilité en cas de forte luminosité ambiante sont des éléments qui augmentent la difficulté pour une victime de s apercevoir d une attaque par phishing. Quatre points intéressants sont à relever : 1) Le fait que certains sites proposent un affichage dédié et conçu pour les Smartphones implique que l utilisateur ne va pas se méfier directement d une disposition différente des 5 Source : 11/76

13 éléments. Il est habitué à avoir une expérience différente de celle d un Desktop/Laptop, ce qui le rend moins méfiant au premier abord. 2) Le fait que plusieurs navigateurs sont à disposition sur la plateforme Android et que la taille de l écran varie selon les modèles produit, dans la majorité des cas, un affichage différent des informations. 3) Les versions récentes des navigateurs Web de bureau, ainsi que les clients de messagerie implémentent des fonctions de protection contre le phishing et les malwares. De plus, ils incluent des indicateurs de sécurité (SSL, certificat valide, etc.). Malheureusement, bon nombre de ces améliorations n'ont pas été reportées sur leur «correspondant Android». 4) Un nombre plus important de vecteurs est disponible pour exécuter une attaque par phishing. Au lieu de se limiter aux s, les attaquants peuvent utiliser des SMS/MMS ou directement des applications du Market 6. De ces quatre constats, nous pouvons déduire que l utilisateur d un Smartphone est une cible privilégiée, car il est moins méfiant et moins protégé. L ENISA (European Network and Information Security Agency) a mis en évidence ce point dans ses dernières recherches en matière de sécurité : - "Smartphones have a smaller screen, which means that attackers can more easily disguise trust cues that users rely on to decide on submitting credentials; e.g. cues that show whether the website uses SSL. - Smartphones provide additional channels that can be used for phishing, e.g. SMS (SMiShing). Users may be less cautious about SMS phishing messages. - Smartphones are a new type of device and users may not be aware of the fact that phishing is a risk on smartphones as well." ENISA 7 Une récente étude (4 janvier 2011) de la société Trusteer 8 a mis en évidence l urgence de prendre en considération ce type d attaque. L accès aux logs de certains sites Web de phishing a fourni de nombreuses informations 9 intéressantes : - Les utilisateurs de Mobiles sont les premiers touchés Dès la diffusion d un site Web de phishing et l envoi d s frauduleux, les premiers systèmes à visiter le contenu malveillant sont les appareils mobiles. Ce constat est logique, car les utilisateurs de Smartphones sont «always on» et lisent les s dès leur arrivée. Un autre rapport 10 de la même société définit que la première heure d une attaque par hameçonnage produit la moitié des victimes. Après cette période d une heure, des contremesures sont prises par les organismes de surveillance et de sécurité sur Internet (site fermé ou bloqué par les filtres anti-phishing). Nous pouvons en déduire que pour un attaquant, 6 Android Market : Application pré-installée sur chaque téléphone sous Android, permettant de télécharger d autres applications développés par des sociétés ou des développeurs indépendants. 7 Source : 8 Plus d informations : 9 Source : 10 Source : 12/76

14 l utilisateur d un Smartphone est une victime tout particulièrement intéressante. Voici un graphique illustrant cette information : Figure 8 : Cumule du nombre de récoltes d'informations (pourcent) en fonction du temps (heures) 11 - Les utilisateurs de Mobiles sont trois fois plus susceptibles de divulguer des informations personnelles que les utilisateurs de Desktop Ce constat découle des différentes contraintes expliquées dans le chapitre précédent dont, par exemple, le manque de visibilité des informations de sécurité lors de la navigation. - Huit fois plus d utilisateurs iphone que d utilisateurs Blackberry 12 ont accédé à ces sites Web d'hameçonnage L étude met en évidence que les moyens de protection fournis par une utilisation professionnelle et la sensibilisation des utilisateurs sont deux facteurs importants qui permettent de diminuer le nombre de victimes. Cette information nous sera utile dans le paragraphe traitant des concepts de sécurité à retenir. Figure 9 : Répartition des victimes en fonction de leur plateforme Source : 12 Dans cette étude, les utilisateurs de Blackberry sont plus nombreux que ceux d Iphone. Pourtant, ils sont moins touchés par ce type d attaques. 13/76

15 Pour mieux comprendre le fonctionnement du phishing, nous allons parcourir ses différents types/techniques : 1) Spear / whaling phishing Ces deux types sont des campagnes d attaques ciblées sur des profils d utilisateurs particulièrement intéressants. Par exemple, choisir les clients les plus fortunés d une banque avec peu d expérience dans les systèmes informatiques. Dans ce cas, l attaquant se procure des données sur les victimes pour augmenter ses chances de récolter des informations personnelles de qualité. 2) SMiShing 14 Habituellement, les attaques se font via l envoi d un contenant un lien pointant sur un site malveillant. Mais l utilisation de Smartphones introduit un autre vecteur d appât, car l attaquant peut utiliser les SMS et MMS. En plus de pouvoir afficher un lien sur un site Web, il lui est possible de rediriger l utilisateur sur un répondeur automatique (Phone phishing). 3) In-Session Forme d'attaque s'appuyant sur une session de navigation web qui est capable de détecter la présence d'une autre session (comme la visite d'un site de banque en ligne) sur le même navigateur. Il suffit de lancer une fenêtre pop-up qui prétend avoir été ouverte à partir de la session ciblée pour voler des données. 4) Spoofed URL / Homograph attack Un utilisateur voit une URL familière dans la barre d'adresse, mais en réalité, il se trouve sur un site malveillant ne correspondant pas à cette URL. La plupart du temps, cette attaque tire profit d une vulnérabilité du navigateur. D autres attaques de ce type sont plus simples. Par exemple, un site peut afficher une image imitant une barre d adresse: Figure 10 : Exemple d'attaque par URL Spoofing 15, cette barre d adresse est fausse 13 Source : 14 Informations supplémentaires : 14/76

16 5) Link manipulation Comprise dans la plupart des autres types, cette technique est très vaste. Elle consiste à cacher le vrai lien pointant sur le site malveillant. Pour ce faire, il existe de nombreuses variantes comme les «Misspelled URLs», «subdomains», «URL redirection» ou encore «IDN spoofing». Elles sont toutes utilisées dans la partie de l appât, car pour que l utilisateur navigue sur un site de phishing, il doit y être dirigé grâce à un lien. 6) Filter evasion Utilisation d autres moyens que le texte pour afficher le contenu du site. Ceci pour que les filtres anti-phishing ne puissent pas reconnaître des mots clés comme «paypal» ou «credit card». Une image ou une animation Flash peuvent être utilisées pour cacher un lien. Voici un exemple de contenu tirant partie d une image pour afficher du texte sensible : Figure 11 : Site de phishing demandant un login 16 En sélectionnant le texte, on s aperçoit que les mots «PayPal Account» sont contenus dans une image : Figure 12 : Image utilisée pour éviter que le filtre anti-phishing ne détecte le site Source : 16 Source : 17 Source : 15/76

17 7) Tabnabbing Les navigateurs actuels (pour Desktop ou Smartphones) implémentent pratiquement tous les onglets. Ceci peut être exploité par un attaquant en changeant le contenu d un site via Javascript longtemps après son chargement. L utilisateur, en revenant sur l onglet qu il avait précédemment chargé, se retrouve avec un contenu différent affichant un site de phishing. 8) Picture-in-picture attack Afficher l image d une fenêtre qui paraît légitime dans le code du site frauduleux peut s avérer très efficace. Des informations sur la sécurité (particulièrement HTTPS) peuvent être falsifiées : Figure 13 : Affichage d une fenêtre ayant une URL valide et un certificat contrôlé qui n'existent pas 18 Dans le cas du navigateur sur Smartphone, cette technique fonctionne de manière très limitée, car les fenêtres sont toutes ouvertes sur la totalité de l écran. 9) Evil twin (wireless networks) La mise en place d un «access point WIFI» imitant le nom d'un réseau sans fil donne à l attaquant la possibilité de fournir les réponses HTTP qu il désire aux requêtes de l utilisateur, et par la même occasion, lui transmettre du code malveillant. 10) Clickjacking / tapjacking Cette technique a pour but de forcer un seul élément à s afficher sur tout l écran. Elle est possible, car certaines fonctionnalités apparemment inoffensives des pages Web HTML peuvent être employées pour exécuter des actions inattendues. Par exemple, l'attaquant présente un ensemble de boutons factices avec un calque transparent superposé pour que l'utilisateur soit redirigé sans le vouloir sur le site de phishing. Cette technique est particulièrement efficace sur les Smartphones à cause de la contrainte «interaction tactile» (présentée dans le chapitre précédent). Pour résumer, cette menace (phishing) est très importante, car l utilisateur d un Smartphone est une cible plus accessible et vulnérable que les autres. Nous le verrons plus loin dans ce document, des mesures de sécurité peuvent être prises pour prévenir au mieux ce danger. 18 Source : Jackson, Collin; Daniel R. Simon, Desney S. Tan, Adam Barth. "An Evaluation of Extended Validation and Picture-in-Picture Phishing Attacks" 16/76

18 Javascript Comme expliqué dans le point précédent avec les attaques In-session et Tabnabbing, le code Javascript exécuté du côté client peut être un vecteur très important de menaces. Les attaques existantes sont nombreuses et leurs impacts très importants. Nous pouvons, par exemple, citer le «Cross Site Scripting» (XSS). De plus, dans le cadre de ce projet, le code Javascript peut engendrer dynamiquement des liaisons HTTP qui peuvent mener à des confusions pour l utilisateur, car l URL n est pas toujours visible sur son navigateur. Nous pouvons citer les attaques de vol de données ou de propagation de malwares mettant en oeuvre l URL Redirection/Forwarding pour diriger l utilisateur vers un site contenant du code malveillant. Bien entendu, pour que toutes les connexions passent à travers le proxy de l entreprise, nous allons devoir utiliser un navigateur qui dirige les requêtes vers ce dernier. Plus d informations sur les différentes menaces induites par l exécution de code Javascipt sont disponibles dans le fichier PDF suivant : Article écrit par Martin Johns, intitulé : On JavaScript Malware and related threats, Web page based attacks revisited Malwares Le Smartphone est particulièrement intéressant, car il contient une très grande quantité d informations privées et professionnelles appartenant à l utilisateur. De plus, comme nous l avons vu dans le chapitre précédent, les moyens de protection sont rarement installés. Via le navigateur, le Smartphone peut être touché par les éléments suivants : - Virus - Worms - Backdoors - Trojan horses - Adwares - Spywares - Etc. Ces différents malwares peuvent avoir des impacts importants dans les domaines privés et professionnels. Pour un attaquant, un Smartphone peut être utilisé comme vecteur pour s introduire dans le réseau d une entreprise, car ce dernier est très certainement un des maillons faibles de toute l infrastructure. Dans le cadre de ce travail, le proxy est utilisé pour filtrer le contenu des données qui transitent entre le navigateur client et le serveur Web distant. Comme les Smartphones n ont pas tous des moyens de protection adéquats et que ces derniers consomment une quantité non négligeable de ressources, le proxy se charge d appliquer un scan des données pour détecter d éventuels malwares. 17/76

19 Client DoS Un attaquant dispose de diverses méthodes pour mettre hors service une fonctionnalité ou la totalité du Smartphone. Les vecteurs liés à la navigation sont nombreux : - Infection par un malware téléchargé sur Internet - Utilisation d une faille d implémentation du navigateur pour gagner des privilèges et accéder aux fonctionnalités du système - Etc. Ce point ne décrit pas une faille bien précise, mais plus un impact possible. Pour s en prévenir, le proxy doit filtrer les sites et les téléchargements Session Hijacking Cette menace consiste à exploiter une session valide dans le but d accéder à des informations ou des services. Elle peut être utilisée à plusieurs niveaux : - Couche applicative HTTP - Session TCP Nous devons donc sécuriser la connexion pour éviter ces problèmes. Pour cela, nous pouvons utiliser des échanges HTTPS, mais la session TCP ne sera pas protégée. Si le Smartphone n est pas dans le réseau de l entreprise, la mise en place d un VPN peut être une solution. Ce point sera traité dans le chapitre qui concerne le Proxy Sniffing Dans ce cas, l attaquant espionne les échanges et récupère des informations privées ou professionnelles. Par exemple, il peut contrôler/corrompre un élément du réseau. Il nous faut donc sécuriser les échanges sur les éléments du réseau qui ne sont pas sous contrôle (par exemple les hotspots WIFI publics, le réseau data de l opérateur, etc.) Vol de données Le vol de données est un point sensible pour l utilisateur et son entreprise. Les données confidentielles (privées ou professionnelles) sont très prisées pour diverses raisons (espionnage industriel, données légales sensibles, profil utilisateur, social engineering, etc.) et doivent être protégées lors de la navigation sur Internet. Un exemple de faille 19 sur la plateforme Android permettait de télécharger à distance un fichier contenu dans la carte SD sans autorisation et de manière transparente. L utilisateur devait afficher un site contenant un code malicieux tirant partie d une faille d implémentation sur le navigateur pour que les données soient envoyées directement sur le serveur de l attaquant. Nous constatons donc qu il faut vérifier le flux de données en download ainsi qu en upload. Pour cela, nous devons utiliser le proxy pour contrôler qu aucune donnée sensible ne soit transmise vers l extérieur. 19 Source : 18/76

20 Eléments indésirables Cette menace touche tout particulièrement l ergonomie et le confort lors de la navigation. Beaucoup d éléments dans une page Web ne sont pas essentiels et ne contiennent pas d informations utiles. Nous pouvons citer ces exemples : - Bandeaux publicitaires - Images de logos et de présentations visuelles sans informations utiles - Pop-ups publicitaires, divs publicitaires placés au-dessus du contenu du site - Animations flash lourdes de présentation - Cookies indésirables - Etc. Tous ces éléments ne sont pas indispensables, particulièrement dans le cadre d une navigation sur Smartphone. Vu que la connexion data est limitée et souvent onéreuse, la quantité de données doit être restreinte aux informations utiles. Comme nous le verrons dans la partie traitant de l état de l art, les navigateurs Web permettent de paramétrer quelques filtres appliqués lors des requêtes. Par exemple, nous pouvons demander au navigateur de ne pas télécharger et afficher les images pour obtenir une fluidité maximale. De plus, les proxy apportent une solution à ce problème en appliquant des filtres sur le contenu des réponses HTTP (Inbound data filtering, cf. fonctionnalités d un proxy) Côté entreprise Comme l employé est plus sujet aux différentes menaces en utilisant son Smartphone, nous pouvons partir du principe que la cible de nombreuses attaques est le réseau de l entreprise. Trois types de menaces sont à prendre en compte : 1) Intrusion facilitée dans le réseau de l entreprise Le Smartphone est très certainement l un des maillons les plus faibles de l infrastructure. Pour cela, il est un vecteur d intrusion particulièrement intéressant. 2) Vol de données Les données professionnelles stockées sur les Smartphones des employés sont une cible attractive et souvent peu protégée. 3) Attaques sur les Web applications L employé peut jouer un rôle et être victime d une attaque visant une application mise à disposition par son entreprise. Informations supplémentaires concernant le point 3 : L OWASP (Open Web Application Security Project) est une communauté travaillant sur la sécurité des applications Web. Elle a créé une liste des risques de sécurité applicatifs Web les plus critiques. Voici les dix points les plus importants : 1) Failles d'injection 2) Injection de script inter-sites (Cross Site Scripting) 3) Rupture des mécanismes de session et/ou d'authentification 4) Référence directe non sécurisée aux objets 19/76

21 5) Construction de requêtes inter-sites (Cross Site Request Forgery) 6) Configurations vulnérables 7) Contrôle d'accès aux URLs défaillant 8) Validation défaillante dans les redirections et transferts de requêtes 9) Mauvaise utilisation de la cryptographie 10) Protection insuffisante de la couche transport Dans le cadre de ce travail, trois risques sont à prendre en compte, car ils sont directement liés à l utilisateur : Cross-Site Scripting (XSS) 20 Les attaques de type XSS touchent le navigateur de l utilisateur et l application Web consultée (potentiellement celle de l entreprise). Elles consistent à injecter des données malveillantes dans une application Web vulnérable qui les affichera (code HTML) et les exécutera (code Javascript) ultérieurement. Voici les différents types d attaques : 1) Reflected XSS Si des données non vérifiées en «input» sont directement incluses dans la page affichée sans encodage des entités HTML, elles pourront être utilisées pour injecter du code dans la page dynamique reçue par le navigateur client. Cette vulnérabilité peut amener au scénario suivant : avec un peu d'ingénierie sociale, un attaquant peut convaincre un utilisateur de suivre une URL piégée qui injecte du code dans une page vulnérable de l application Web, ce qui donne à l'attaquant tout le contrôle sur le contenu affiché. 2) Stored / Permanent XSS Ce type de vulnérabilité, aussi appelé faille permanente ou du second ordre, permet des attaques puissantes. Il se produit quand les données fournies par un utilisateur sont stockées sur un serveur (DB, fichiers, etc.) et, par la suite, affichées sans que les caractères spéciaux HTML aient été encodés. Si un attaquant parvient à diriger l employé sur une page vulnérable en injectant du code malicieux, il pourra ainsi stocker du contenu dans la base de données de l entreprise. Ce dernier sera alors affiché à tout visiteur de cette même page. 3) DOM-Based XSS Dans ce cas de figure, le problème est dans le script d'une page côté client. Par exemple, si un fragment de JavaScript accède à un paramètre d'une requête d'url et utilise cette information pour écrire du HTML dans sa propre page, alors il y a une vulnérabilité de type XSS. Les données écrites sont réinterprétées par le navigateur comme du code HTML contenant éventuellement un script malicieux. L employé utilisant un Smartphone peut être le vecteur et la victime d une attaque XSS visant une application Web de son entreprise. De son côté, l attaquant peut contrôler le contenu affiché sur la page Web. 20 Source : 20/76

22 Cross-Site Request Forgery (CSRF) "Les attaques de type CSRF utilisent l'utilisateur comme déclencheur, celui-ci devient complice sans en être conscient. L'attaque étant actionnée par l'utilisateur, un grand nombre de systèmes d'authentification sont contournés. Les caractéristiques du CSRF sont un type d'attaque qui : - Implique un site qui repose sur l'authentification globale d'un utilisateur - Exploite cette confiance dans l'authentification pour autoriser des actions implicitement - Envoie des requêtes HTTP à l'insu de l'utilisateur qui est dupé pour déclencher ces actions Pour résumer, les sites sensibles au CSRF sont ceux qui acceptent les actions sur le simple fait de l'authentification à un instant donné de l'utilisateur et non sur une autorisation explicite de l'utilisateur pour une action donnée." Wikipédia 21 L employé qui utilise son Smartphone devient donc le vecteur de l attaque. Son authentification légitime est utilisée pour exécuter des actions avec des privilèges élevés Protection insuffisante de la couche transport Comme nous l avons vu précédemment, les échanges doivent être protégés efficacement sur tous les éléments réseau que nous ne contrôlons pas. De cette manière, plusieurs attaques dont man-in-themiddle et sniffing sont prises en compte et contrées. Nous pouvons citer la vulnérabilité 22 trouvée par des chercheurs de l'université d'ulm en Allemagne qui a touché la majorité des utilisateurs d Android. Des données de certaines applications étaient envoyées en clair sur le réseau et pouvaient être sniffées pour récupérer un jeton permettant d avoir accès aux APIs d échange de données pour les services utilisant «ClientLogin». Voici un tableau regroupant les services de Google touchés par ce problème et utilisant ou non le transfert sécurisé HTTPS: Oui : utilisation de HTTPS Non : connexion non sécurisée Android version Calendar Sync Contact Sync Picasa Sync (Gallery) 3.0 Oui Oui Oui Oui Non Non Non Non Non Non N/a 2.2 Non Non N/a 2.1 Non Non N/a 21 Source : 22 Source officielle: 21/76

23 Sur l image ci-dessous, nous remarquons le jeton d accès à l API valable 14 jours et transmis en clair sur le réseau : Figure 14 : Jeton d'accès récupéré en clair avec le programme Wireshark Résumé Voici les différentes menaces liées à la navigation dans un cadre professionnel décrites dans ce chapitre : - Côté Smartphone o Phishing o Javascript o Malwares o Client DoS o Session Hijacking o Sniffing o Vol de données o Eléments indésirables - Côté Entreprise o Intrusions o Vol de données o Attaques sur les Web Applications XSS CSRF Protection insuffisante de la couche transport Ces menaces sont prises en compte dans les chapitres traitant des concepts de sécurité à appliquer tant pour l utilisateur que pour l entreprise. Ces deux derniers chapitres ont défini les contraintes et les menaces de la navigation sur Smartphones. Nous allons maintenant analyser le type de proxy que nous voulons utiliser dans le cadre de ce projet. 23 Source: 22/76

24 7. Proxy Le rôle d un proxy est de servir de relais entre l utilisateur et un serveur distant. Il fournit une certaine sécurité tant à l utilisateur qu à l entreprise. Dans le cadre de ce projet, nous travaillons avec un proxy applicatif dédié qui joue l intermédiaire sans jamais laisser l utilisateur avoir un contact direct avec le serveur distant. Au lieu de se limiter au simple rôle de «proxy réseau» (gateway, tunneling proxy), il inspecte également le contenu des paquets et propose des services tels que la compression, le filtrage, l authentification, etc. Dans le modèle OSI nous nous situons dans les couches suivantes: 7 6 App Proxy 5 4 TCP/UDP 3 2 IP 2 NAT, filters 1 1 Figure 15 : Position du Proxy dans les couches OSI 24 Nous allons parcourir les différents types de proxy et les fonctionnalités offertes pour déterminer nos besoins Types de proxy Forward proxy Figure 16 : Forward proxy 25 Comme nous le voyons sur la figure ci-dessus, ce type de proxy est présent dans le réseau interne de l entreprise (ou DMZ). Il reçoit les requêtes internes et les transmet sur Internet. Ce cas nous intéresse tout particulièrement, car il est traité par ce projet d approfondissement. 24 Source : Gildas Avoine, Pascal Junod, Philippe Oechslin, Computer Systems Security, EPFL-Press (ISBN ) and CRC Press (ISBN ), 2007, page Source : 23/76

25 L utilisateur interne passe par le proxy contrôlé par l entreprise autant pour les requêtes qu il envoie que pour les réponses qu il reçoit. Ceci nous apporte de nombreux avantages pour l utilisateur et pour l entreprise. Ces derniers seront étudiés plus loin dans ce document. Un proxy ne se limite pas à un protocole, il peut en gérer plusieurs. Dans notre cas, nous nous intéressons plus particulièrement à HTTP et HTTPS Transparent proxy 26 Un transparent proxy combine un serveur proxy avec une passerelle ou un routeur. Les connexions établies par les navigateurs via la passerelle sont détournées vers le proxy sans configuration côté client Open proxy Figure 17 : Open proxy 27 Un open proxy est accessible par tout utilisateur d Internet. Il y en a une multitude sur Internet, la plupart étant présents sous forme d anonymous open proxies. Ces derniers permettent aux utilisateurs de cacher leur adresse IP (et donc aident à préserver leur anonymat et leur sécurité) pendant la navigation sur le Web ou l accès à d'autres services 28. Ce cas de figure ne nous intéresse pas, car il y a trop de risques liés à l utilisation d un proxy qui n est pas géré par quelqu un de confiance. Comment être sûr que les services (filtrage, cache, vitesse de transmission, etc.) sont bien fournis et de manière personnalisée en fonction de nos besoins? Reverse proxy Figure 18 : Reverse proxy 29 Un reverse proxy gère les requêtes provenant du réseau externe (Internet) et les transmet aux serveurs internes de l entreprise. Il se présente à l utilisateur externe comme un serveur ordinaire, mais les requêtes sont transmises aux serveurs internes appropriés. 26 Source : 27 Source : 28 Source : 29 Source : 24/76

26 Il y a de nombreux avantages 30 à installer un proxy de ce type : - SSL/TLS : Le chiffrage et déchiffrage du flux de communication sécurisé peut être géré. Cela permet au serveur interne de ne pas avoir à se soucier de ce travail. - Load balancing : La charge est répartie sur les différents serveurs internes pour garantir une disponibilité et une efficacité maximale du service fourni. - Caching : La charge peut être diminuée par le biais d un cache pour les données statiques pouvant être retransmises aux requêtes semblables. - Compression : Compression du contenu et optimisation de la transmission. - Spoon feeding : Réduction de l usage des ressources par les clients lents (fait appel à un cache des réponses et à un envoi «lent» au client). - Sécurité : Une protection peut être mise en place pour protéger les applications Web contre de nombreuses attaques. - Etc. Ce type de proxy ne nous intéresse pas dans cette approche, car nous nous concentrons sur les forward proxies Schéma réseau en fonction du contexte Cette partie du rapport se base sur le point précédent pour fixer un schéma général des composants qui interagissent lors de la navigation Web sur Smartphone et en fonction du contexte choisi. Nous prenons en compte une utilisation professionnelle ou privée, ainsi que l emplacement de l utilisateur Navigation professionnelle Dans ce travail, nous avons besoin d un forward proxy dédié à la communication Web. Notre utilisateur passe par un proxy pour accéder au contenu qui l intéresse. Comme nous nous concentrons sur une application professionnelle, nous avons deux cas de figure différents à traiter : 1) L utilisateur est présent dans le réseau interne de l entreprise via une connexion WIFI par exemple : Figure 19 : Forward proxy si l'utilisateur est dans le réseau interne de l'entreprise 30 Source : 25/76

27 2) L utilisateur se trouve en dehors du réseau WIFI de l entreprise et se connecte à un proxy via une connexion sécurisée : Figure 20 : Forward proxy si l'utilisateur est en dehors du réseau de l'entreprise Dans le premier cas, comme le Smartphone se trouve dans le réseau de l entreprise, nous pouvons gérer la confidentialité, l intégrité et l authenticité des données transmises plus facilement. Dans le deuxième cas, nous devons sécuriser le lien numéro 1 qui correspond au flux de données entre le Smartphone et le proxy interne de l entreprise. Pour cela, il est possible de mettre en place un flux HTTPS ou de passer directement par un VPN. Android permet de paramétrer un VPN directement dans le système. Voici les types supportés: - Point to Point Tunnelling Protocol (PPTP) - Layer 2 Tunnelling Protocol (L2TP) - Layer 2 Tunnelling Protocol with IPSec Pre-Shared Key - Certificate based IPSec VPN with optional L2TP shared secret Cette partie concernant la navigation professionnelle nous intéresse tout particulièrement, car le proxy de l entreprise travaille à deux niveaux : 1) Fournir des services à l utilisateur Des services comme le cache, le filtrage des données indésirables, la compression, etc. 31 améliorent la sécurité. 2) Fournir des services à l entreprise L entreprise utilise le proxy pour filtrer les échanges vers l intérieur ou vers l extérieur, afin de prévenir toute perte de confidentialité ou d intégrité. D autres fonctionnalités sont disponibles, comme l application de listes blanches ou noires pour contrôler ou limiter les possibilités des employés (Facebook, sites à risque), la création de logs, etc. 31 Pour plus de précisions, se référer à la liste des fonctionnalités d un proxy présentées dans le sous-chapitre /76

28 Navigation privée Si la navigation est faite dans le domaine privé, complètement en dehors du cadre professionnel, l utilisateur n a pas accès au proxy de l entreprise. Cette situation est problématique, car il faut absolument pouvoir accéder à un proxy «de confiance». Le paramétrage et le fonctionnement du proxy doivent correspondre aux besoins de sécurité requis par l utilisation d un navigateur sur Smartphone. Il faut donc posséder des droits d administration pour que la configuration puisse être modifiée. Pour résumer, dans un cadre strictement privé, soit l utilisateur possède un proxy qu il contrôle et paramètre, soit il doit passer par un open proxy présent sur le Web. Dans le deuxième cas de figure, il s expose à des risques, car il n a aucun contrôle sur le paramétrage du serveur et sur la qualité des services qu il reçoit Résumé des choix Nous travaillons avec un forward proxy dans un cadre professionnel. Voici le cas final (en tenant compte d un réseau de type «Sandwitched DMZ» pour l entreprise): Figure 21 : Schéma réseau global La communication (flèche bleue sur le schéma) entre le «Smartphone sur réseau externe» et notre réseau interne se fera via une connexion sécurisée. Vu que différents types de VPN sont déjà intégrés dans la plateforme Android, l un de ces derniers devra être utilisé. Les contraintes, les menaces et le schéma complet du réseau étant définis, nous pouvons analyser les produits existants qui correspondent à nos besoins. 27/76

29 8. Etat de l art Dans le cadre de ce projet, nous utilisons deux éléments pour la navigation: 1) Le navigateur du Smartphone 2) Le proxy de l entreprise Voici l état de l art concernant ces deux applications : Projet d approfondissement 8.1. Côté Smartphone - Navigateur Voici la liste des principaux navigateurs avec quelques explications et captures d écrans : Opera Mini 32 Nom Opera Mini Editeur Opera Software ASA Prix Gratuit Avis utilisateur Très satisfaisant (4.3 étoiles) Version Application Version Android 1.5 et plus récente Autorisations système : Figure 22 : Images Opera Mini du Market 33 - COMMUNICATIONS RESEAU ACCES INTERNET INTEGRAL, AFFICHER L'ETAT DU RESEAU - STOCKAGE MODIFIER/SUPPRIMER LE CONTENU DE LA CARTE SD - OUTILS SYSTEME DEFINIR LES APPLICATIONS PREFEREES 32 Lien Market Web : 33 Source : 28/76

30 Remarques concernant la navigation : Nous remarquons que ce navigateur (comme la plupart de ses concurrents) cache la barre d adresse pendant la navigation. Les informations concernant la sécurité ne sont donc pas affichées constamment. La barre d adresse est disposée juste au-dessus du début de la page et lorsque l utilisateur commence la navigation vers le bas ou clique sur la page, elle disparaît : Figure 23 : Barre d'adresse URL cachée durant la navigation 34 Pour permettre de lire un texte sans se déplacer de gauche à droite, le navigateur arrange automatiquement la disposition des éléments affichés à l écran (largeur de colonne des textes). Le rendu n est donc pas correctement reproduit dans la plupart des pages chargées. Nous voyons également qu à la suite de la saisie d une adresse, un champ de recherche apparaît, ce qui laisse très peu d espace pour afficher l URL : Figure 24 : Espace restreint pour afficher l'url Ce navigateur supporte les fonctionnalités suivantes : - Onglets - Historique - Favoris - Téléchargement de fichiers - Désactivation du chargement des images - Désactivation de l affichage modifié pour Smartphone - Plein écran - Désactivation des cookies - Gestionnaire de mots de passe Opera Mini ne permet pas de paramétrer un proxy mais, en revanche, il peut désactiver la modification de l affichage destinée aux petits écrans pour que la restitution du contenu reste fidèle à la réalité. 34 Source : 29/76

31 Chrome Lite Nom Chrome Lite Editeur Google Prix Gratuit, inclus de base Avis utilisateur - Version Application - Version Android - Autorisations système : Figure 25 : Images de chrome lite sur la surcouche SENSE d un HTC Désire - POSITION LOCALISATION GPS, POSITION GEOGRAPHIQUE APPROXIMATIVE SELON LE RESEAU - INFORMATIONS PERSONNELLES ECRIRE, LIRE HISTORIQUE - COMMUNICATIONS RESEAU ACCES INTERNET INTEGRAL, AFFICHAGE DE L ETAT DU RESEAU, AFFICHAGE DE L ETAT DU WIFI - STOCKAGE - MODIFIER/SUPPRIMER LE CONTENU DE LA CARTE SD - OUTILS SYSTEME ARRET DU MODE VEILLE SUR LE TELEPHONE, MODIFICATION DE LA CONNECTIVITE DU RESEAU, RECUPERATION DES APPLICATIONS EN COURS D EXECUTION, CONFIGURATION DU FOND D ECRAN, INSTALLATION DE RACCOURCIS Remarques concernant la navigation : Comme pour le navigateur Opera Mini, Chrome Lite colle la barre d adresse juste au-dessus du contenu de la page. Lorsque l utilisateur descend, elle disparaît pour laisser un maximum de place au site. Lors du chargement d une nouvelle page, le navigateur fait un zoom le plus éloigné possible pour que l utilisateur puisse avoir une vue d ensemble. Dans la plupart des cas, ce zoom «trop éloigné» ne permet pas la lecture du contenu de la page, les caractères étant de trop petite taille : 30/76

32 Figure 26 : Vue d'ensemble, contenu illisible Ce navigateur supporte les fonctionnalités suivantes : - Onglets - Historique - Favoris (Partage de favoris) - Téléchargement de fichiers - Désactivation du chargement des images - Blocage des pop-up - Désactivation de l affichage modifié pour Smartphone - Désactivation de Javascript - Gestion des données de localisation - Plein écran - Désactivation des cookies - Gestionnaire de mots de passe - Gestionnaire des informations entrées dans les formulaires - Plugins Chome Lite est rapide, complet et intégré à Android. Malheureusement, il ne dispose pas d option permettant de fixer un proxy. Il semble que cette fonctionnalité ne fasse pas partie des priorités lors de l implémentation des principaux navigateurs Web pour Smartphone. 31/76

33 Firefox 4 Nom Firefox 4 Editeur Mozilla Prix Gratuit Avis utilisateur Très satisfaisant (3.3 étoiles) Version Application 4.0 Version Android 2.0 et plus récente Autorisations système : Figure 27 : Images Firefox 4 Bêta du Market 35 - POSITION LOCALISATION GPS - COMMUNICATIONS RESEAU ACCES INTERNET INTEGRAL, AFFICHER L'ETAT DU RESEAU - STOCKAGE MODIFIER/SUPPRIMER LE CONTENU DE LA CARTE SD - OUTILS SYSTEME INSTALLATION DES SHORTCUTS Remarques concernant la navigation : Ce navigateur supporte les fonctionnalités suivantes : - Onglets - Historique - Favoris - Téléchargement de fichiers - Désactivation du chargement des images - Désactivation de l affichage modifié pour Smartphone (seulement formatage du texte) - Désactivation de Javascript - Afficher l encodage des caractères - Plein écran - Désactivation des cookies - Gestionnaire de mots de passe - Modules 35 Source : 32/76

34 Firefox ajoute des éléments en haut, à gauche et à droite de la page Web comme illustré ci-dessous : Au-dessus : Barre d adresse A gauche : Onglets A droite : Favoris Figure 28 : Différents éléments de Firefox disponibles pendant la navigation Pour avoir accès aux onglets et aux favoris, l utilisateur peut passer par le menu ou tout simplement glisser son doigt sur la gauche ou sur la droite de l écran. Durant son lancement, Firefox est plus lent et moins réactif aux interactions. Il ne propose pas de fixer un proxy directement dans ses propriétés. Un module est sensé le faire, mais il n a pas été mis à jour pour fonctionner sur la version mobile Dolphin Browser HD Nom Dolphin Browser HD Editeur Dolphin Browser Prix Gratuit Avis utilisateur Très satisfaisant (4.5 étoiles) Version Application Version Android 2.0 et plus récente Figure 29 : Images Dolphin Browser HD du Market Source : 33/76

35 Autorisations système : - POSITION LOCALISATION GPS, POSITION GEOGRAPHIQUE APPROXIMATIVE SELON LE RESEAU - COMMANDE DU MATERIEL CONTROLER LE VIBREUR - COMMUNICATIONS RESEAU ACCES INTERNET INTEGRAL, AFFICHER L'ETAT DU RESEAU - STOCKAGE MODIFIER/SUPPRIMER LE CONTENU DE LA CARTE SD - OUTILS SYSTEME EMPECHER LA MISE EN VEILLE DE L'APPAREIL Remarques concernant la navigation : Ce navigateur supporte les fonctionnalités suivantes : - Onglets (volet sur la gauche) - Historique - Favoris - Gestes d actions tactiles - Personnalisation de la fonction des touches de volume (ajouter du scroll par exemple) - Téléchargement de fichiers (dont un paramètre pour télécharger les fichiers en arrière-plan sans les montrer à l utilisateur, ce qui peut être un problème de sécurité) - Désactivation du chargement des images - Désactivation des Pop-ups - Désactivation de Javascript - Désactivation de l historique pendant la navigation - Désactivation de l affichage modifié pour Smartphone (vue d ensemble) - Suppression des données gardées en cache (paramètres complets) - Plein écran - Support ou non du plugin Flash (demandé au premier lancement) - Désactivation des cookies - Gestionnaire de mots de passe - Add-ons (plugins) Ce navigateur est le plus complet et le plus agréable à utiliser. Il comporte plusieurs add-ons qui peuvent se révéler intéressants pour filtrer le contenu à l affichage (bloquer les publicités, etc.). Une version mini, visuellement allégée, est disponible sur le market : Figure 30 : Dolphin Browser Mini 34/76

36 Lors de son premier lancement, et contrairement aux autres navigateurs, Dolphin Browser propose quelques paramétrages comme, par exemple, la personnalisation de la fonction des boutons de volume (scroll au lieu de volume) ou l activation du plugin Flash. Pendant la navigation, l utilisateur interagit de plusieurs manières avec le navigateur : Glisser avec le doigt de gauche à droite accès aux favoris Glisser avec le doigt de droite à gauche accès aux add-ons et aux paramètres Bouton en bas à gauche accès aux gestes de navigation Figure 31 : Interactions possibles Comme les navigateurs précédents, Dolphin Browser ne dispose pas de paramétrage concernant le proxy Autres navigateurs Nom et éditeur Commentaires NetFront Life Browser Ce navigateur est fortement lié au moteur de recherche Yahoo. Editeur : ACCESS CO., LTD. L utilisateur est invité à faire une recherche plutôt qu à écrire une URL, bien qu il puisse faire les deux. L URL ne s affiche pas, il n y a que le titre qui est inscrit au-dessus de la page. Concernant la navigation sécurisée, aucun détail n est disponible. NetFront se xscope Browser - Web & File Editeur : xscope Mobile Miren Browser Editeur : Miren Boat Browser Editeur : Boat Browser UltraLight Web Browser Editeur : Appiphiliac contente d afficher un petit cadenas. Plusieurs paramètres disponibles fournissent pratiquement les mêmes fonctionnalités que les principaux navigateurs cités dans les chapitres précédents. Au niveau de la sécurité, aucune information n est donnée à l utilisateur lors de la navigation en HTTPS. Par défaut, lors de la navigation, Miren Browser passe en mode plein écran et n affiche pas du tout de barre d adresse. Aucune information concernant l URL ou la sécurité n est donc affiché. Encore une fois, ce navigateur n affiche aucune information sur la sécurité lors de la navigation. De plus, l URL affichée dans la barre d adresse est très petite (vingt caractères sur HTC Désire). Ce navigateur est très sommaire et il n affiche que le titre de la page lors de la navigation. L utilisateur ne voit pas l URL et aucune information de sécurité n est affichée. 35/76

37 Gestion HTTPS - certificats Public key certificates Un certificat est un document qui utilise une signature numérique pour lier une clé publique à une identité. Il est utilisé pour vérifier si une clé publique appartient à une entité définie. Dans une infrastructure à clés publiques (PKI) standard, les signatures émanent de différentes autorités de certification (CA) qui attestent ce lien. Un certificat standard (X.509) utilisé dans les échanges chiffrés via HTTPS contient les informations suivantes : - Numéro de série : identification unique - Sujet : identification de la personne ou de l entité - Algorithme de signature (description) - Emetteur : entité qui a vérifié les informations et qui a émis ce certificat - Validité, date de début - Validité, date de fin - Utilisation : fonction de la clé publique (ex : chiffrement, etc.) - Clé publique - Algorithme de hachage pour le contrôle de l intégrité (description) - Résultat du hach Il est utilisé pour authentifier le serveur web SSL distant lors de la navigation sécurisée. De plus, il est géré tout au long de son cycle de vie par l intermédiaire de listes de révocation (Certificate Revocation List, CRL) et appartient à une classe définie par Verisign : - Classe 1 : Pour les individus (adresse électronique du demandeur requise) - Classe 2 : Pour les organisations ou individus (preuve de l'identité, par exemple : photocopie de carte d'identité, numéro SIRET/SIREN, nom de domaine, etc.) - Classe 3 : Pour les serveurs ou logiciels dont le titulaire a été authentifié (présentation physique du demandeur obligatoire) - Classe 4 : Pour les transactions commerciales en ligne entre entreprises - Classe 5 : Pour les organisations privées / sécurité des gouvernements Voici, par exemple, les informations du certificat de postfinance : Figure 32 : informations sur le certificat de postfinance 36/76

38 Nous remarquons dans l image précédente la ligne «Délivré par : VeriSign Class 3 Extended Validation SSL SGC CA». L information Extended Validation SSL (SSL EV) correspond à la validité étendue du certificat. Des contrôles supplémentaires sont effectués quand une demande est émise auprès d une autorité de certification. Les logiciels compatibles avec les certificats EV présentent des informations supplémentaires à l utilisateur et, pour la plupart, fournissent des éléments visuels intéressants dans le cadre de ce travail : Figure 33 : Différents affichages en fonction de la validation du certificat 37 Dans cette figure, on note la présence d un jeu de couleur qui donne une information plus précise de la validité et du degré d authenticité de l entité distante. Il est intéressant de se concentrer sur les quatre navigateurs les plus populaires de la plateforme Android pour étudier leurs comportements face à différents scénarios liés à la navigation sécurisée HTTPS. Voici les informations visuelles affichées dans chaque use case HTTPS certificat non EV valide Navigateur Commentaires Captures d écran Opera Mini Un petit cadenas est présent en haut à droite de l écran. L utilisateur n a aucun moyen d afficher les différentes informations concernant le certificat (émetteur, validité, etc.) Chrome Lite Un cadenas est affiché sur la partie gauche de la barre d adresse. Via le menu «Infos sur la page», l utilisateur a accès à une boîte de dialogue qui affiche les informations sur l entité distante, sur l émetteur et sur la validité (date d émission et d expiration). 37 Source : Jackson, Collin Daniel R. Simon, Desney S. Tan, Adam Barth. "An Evaluation of Extended Validation and Picture-in-Picture Phishing Attacks", page 2 37/76

39 Firefox 4 Ce navigateur est le seul à utiliser un jeu de couleur pour déterminer l authenticité des certificats. L utilisateur a la possibilité de voir ces informations en cliquant sur la petite icône à gauche de la barre d adresse. Par contre, le choix d une couleur à la place d un cadenas est moins facile à comprendre pour un utilisateur peu averti. Dolphin Browser HD Un cadenas est affiché sur la gauche de l URL mais aucune information sur le certificat n est disponible HTTPS certificat EV valide (test de la compatibilité avec SSL EV) Dans ce use case le certificat suivant a été utilisé pour effectuer les tests : Figure 34 : Informations sur le certificat SSL EV tirées du site 38/76

40 Navigateur Commentaires Captures d écran Opera Mini Aucune modification n a été apportée à l affichage, même si cette entité est validée de manière étendue. Chrome Lite Idem que pour Opera Mini, aucune information sur la validation étendue n est affichée à l utilisateur (même dans la boîte de dialogue dédiée à l affichage des informations sur le certificat). Firefox 4 La couleur change en fonction de la validation du certificat : - Bleu : certificat valide mais pas EV - Vert : certificat valide et EV Nous remarquons cependant que seul le titre du code HTML de la page n est affiché. L URL, quant à elle, disparaît. Dolphin Browser HD Aucune information supplémentaire n est affichée par rapport au scénario précédent HTTPS certificat autosigné (self-signed certificate) Navigateur Commentaires Captures d écran Opera Mini Ce navigateur a une façon particulière de gérer les certificats autosignés. Il n affiche tout simplement pas le cadenas, car il ne considère pas que la connexion soit sécurisée. Aucune information supplémentaire n est donnée à l utilisateur. Chrome Lite Comme nous le voyons dans l image de droite, un message d avertissement est affiché indiquant à l utilisateur que l entité distante n a pas pu être authentifiée. Le bouton «Afficher le certificat» permet de donner des informations supplémentaires sur le certificat. Si l utilisateur clique sur le bouton «Continuer», le site est affiché avec le cadenas sur la gauche de la barre d adresse. 39/76

41 Firefox 4 Dolphin Browser HD L image précédente est affichée dans le navigateur firefox. Elle explique clairement à l utilisateur que le certificat n est pas sûr car il est auto-signé. Si l utilisateur accepte néanmoins d accéder à ce site, l affichage ressemble au premier use case avec un certificat valide mais non EV (couleur bleu). Comme pour Chrome Lite, une boîte de dialogue est affichée. Ceci est logique, car Dolphin Browser utilise Chrome Lite tout en implémentant des fonctionnalités supplémentaires HTTPS certificat non valide Dans ce cas, l entité décrite dans le certificat ne correspond pas au domaine du site visité. Sur Chrome (Desktop), le message suivant est affiché : Figure 35 : Certificat non valide sur Chrome /76

42 Navigateur Commentaires Captures d écran Opera Mini Ce navigateur ne gère pas bien ce cas, car aucune alerte n est affichée à l utilisateur. Le site est affiché directement, sans aucun avertissement. Le message «Service Unavailable» correspond au contenu correct du site mais n est pas une erreur du navigateur. Chrome Lite Dans ce cas, le problème est clairement identifié et présenté à l utilisateur. La possibilité de consulter les informations sur le certificat est disponible. Firefox 4 Nous pouvons constater que Firefox gère correctement ce problème. 41/76

43 Cependant, si l utilisateur accepte les risques et continue la navigation, la couleur affichée correspond à celle des certificats valides sans EV comme dans le premier cas : Dolphin Browser HD Nous retrouvons la même gestion que pour le navigateur Chrome Lite. Une fois le bouton «Continuer» appuyé, le site s affiche sans information particulière de sécurité (même affichage que dans le premier cas) Discussion des résultats Grâce à ces quelques cas d utilisation, nous pouvons mettre en évidence les points suivants : - Firefox 4 est le seul navigateur à utiliser un jeu de couleur pour afficher les informations de validation étendue. La contrepartie négative, est qu un utilisateur peu averti ne comprendra pas leur signification. Dans un cas idéal, il faudrait afficher un cadenas supplémentaire lors de la visite de sites HTTPS. Figure 36 : Validation étendue avec un jeu de couleur - Chrome Lite permet en tout temps de consulter les informations du certificat via le menu «Infos sur la page». Dolphin, même en étant basé sur Chrome Lite, ne le permet qu en cas de problème. - Opera Mini a une gestion inexistante et transparente de la plupart des cas contenant un problème avec le certificat. - Aucun navigateur ne permet de consulter l intégralité des informations du certificat (Chrome Lite est celui qui en affiche le plus). - Très peu de moyens ont été mis à disposition de l utilisateur pour lui permettre d afficher l intégralité de l URL (détection visuelle de phishing, etc.). Il reste encore beaucoup d éléments à implémenter sur les principaux navigateurs afin de fournir tous les outils visuels nécessaires à un utilisateur pour qu il puisse vérifier la sécurité de sa connexion. Sachant qu actuellement chaque navigateur gère à sa façon l affichage des informations sur la sécurité, ne serait-il pas intéressant de mettre en place des règles strictes et standardisées pour que les utilisateurs finaux s y retrouvent? 42/76

44 Fixer un proxy sur Android Pour accéder au contenu Web de manière sécurisée, nous devons utiliser un navigateur qui puisse envoyer les requêtes directement à notre proxy. Comme nous l avons vu précédemment, les principaux navigateurs ne gèrent pas les proxy. Nous devons donc nous tourner vers le paramétrage du système ou vers une application tierce: 1) Paramètres du système Actuellement, sans les droits root, il n est pas possible de fixer un proxy sur Android, car Google n a pas intégré de menu (UI) dédié à cette fonctionnalité dans les paramètres du Smartphone. Néanmoins, trois solutions existent. Elles consistent à «rooter» le système, à installer une ROM alternative comme par exemple Cyanogen 38 ou à passer par les commandes ADB suivantes : > adb shell # sqlite3 /data/data/com.google.android.providers.settings/databases/settings.db sqlite> INSERT INTO system VALUES(99, http_proxy', 'proxy:port'); sqlite>.exit Ces commandes changent directement le paramétrage du proxy. Le navigateur de base du système (Chrome Lite) va donc les prendre en compte. Beaucoup d utilisateurs se plaignent auprès de Google comme le montre ces tickets ouverts sur Google Code : IP Proxy Settings for Wifi Network No Proxy setting in android Android cannot access exchange through a HTTP proxy Proxy Settings for Wifi Ces tickets de type «Defect» ou «Enhancement» sont classés en priorité «Medium». Notons que l UI concernant cette fonctionnalité est disponible sur les systèmes concurrents (Apple, Blackberry, Windows Phone). 2) Application tierce Quelques applications disponibles sur le market permettent de paramétrer le proxy. Sur les pages suivantes, vous trouverez des explications sur les deux plus intéressantes. 38 Informations supplémentaires : 39 Source : 40 Source : 41 Source : 42 Source : 43/76

45 AsProxy Nom ASProxy v1.4 Editeur AlSu Prix 4.99 $ (environ 4.55 CHF) Avis utilisateur Très satisfaisant (3.7 étoiles) Version Application 1.4 Version Android 1.6 et plus récente Remarque : Pour que cette application fonctionne correctement, il est nécessaire de posséder les droits «root» sur son système Android. ASProxy permet le support du proxy pour toutes les applications (y compris le navigateur, le market, Google Maps, Google Talk et Google Voice) sur différents réseaux (Wi-Fi, 3G/4G APN, Ethernet et Reverse tethering via USB). Voici la liste des possibilités offertes 43 : - Intercepte de manière transparente le trafic et le redirige (les applications n ont pas besoin d avoir le support du proxy intégré) - Supporte différents types de connexion (Wi-Fi, 3G/4G APN, Ethernet et Reverse tethering via USB) - Prend en charge plusieurs paramétrages de proxy - Supporte HTTP, SOCKS 4/4a et SOCKS 5 - Supporte Basic, NTLM et NTLMv2 pour l'authentification - DNS Forwarding Nous pouvons donc choisir les types de connexions que nous voulons faire passer par le proxy : Figure 37 : Choix des ports pour rediriger le trafic Source : 44 Source : 44/76

46 ainsi que les paramètres des proxy de notre choix et sur quelles connexions les activer : Figure 38 : Choix des proxy et des connexions Any Cut Nom Any Cut Editeur Jeff Hamilton Prix Gratuit Avis utilisateur Très satisfaisant (4.5 étoiles) Version Application 1.0 Version Android 1.0 et plus récente Any Cut permet de créer des raccourcis vers tout un ensemble d applications et de paramètres. Bien qu Android ne soit pas pourvu du menu des paramètres concernant le proxy, nous pouvons tout de même créer le raccourci suivant : Figure 39 : Ajout d'un raccourci pour accéder aux paramètres du proxy 45/76

47 Une fois le raccourci créé, nous pouvons y accéder et modifier le paramétrage du proxy : Figure 40 : Accès aux modifications du paramétrage du proxy Résumé Voici la liste des navigateurs les plus sûrs et possédant le plus grand nombre de fonctionnalités sur la plateforme Android : - Opera Mini - Chrome Lite - Firefox 4 - Dolphin Browser TM HD Firefox est le seul à gérer convenablement la validité étendue des certificats pendant une connexion HTTPS. Pour le moment, chaque navigateur affiche à sa façon les informations de sécurité à l utilisateur. Le fait qu aucune règle ne soit commune a pour conséquence des manques et des incohérences. Un test pour valider un éventuel filtre anti-phishing dans le navigateur a été mené avec une adresse valide listée sur le site Le résultat est assez décevant, car aucun navigateur sur Smartphone n a affiché de message d avertissement. La même adresse URL a donné l affichage suivant sur la version Chrome pour Desktop : Figure 41 : Filtre anti-phishing incorporé dans la version de Chrome ( ) pour Desktop 46/76

48 Notons encore que l utilisateur n a pas accès au paramétrage du proxy directement sur son Smartphone, car, actuellement, Android ne dispose pas d UI conçu à cet effet. De même, les navigateurs ne prennent pas en charge cette fonctionnalité. Voici un tableau récapitulatif permettant de juger les navigateurs actuels en fonction de la sécurité et des fonctionnalités implémentées (les notes de 0 à 6 sont des appréciations de l état actuel) : Note de 0 à 6 Critère (0: mal/non implémenté et 6: parfaitement implémenté) Sécurité Opera Mini Chrome Lite Firefox 4 Dolphin Browser Filtre anti-phishing Affichage connexion sécurisée Gestion SSL EV visuelle Gestion des erreurs certificats Affichage URL complète Affichage infos certificats Moyenne sécurité Fonctionnalités Opera Mini Chrome Lite Firefox 4 Dolphin Browser Onglets Historique Favoris Interactions tactiles Gestion contenu (diverses désactivations: images, cookies) Désactivation affichage pour Smartphone Flash Add-ons Paramétrage du proxy Moyenne fonctionnalités Observations : 1) Chrome Lite est le navigateur affichant globalement la meilleure sécurité. 2) Dolphin Browser HD contient le plus grand nombre de fonctionnalités. 3) Il existe encore une grande marge de progression pour proposer un navigateur tenant compte au mieux de la sécurité. Le Design Proof Of Concept créé dans ce projet apporte diverses solutions pour pallier à ces lacunes. 47/76

49 8.2. Côté Entreprise Proxy Proxy Il existe une multitude de proxy sur le marché. Nous pouvons les diviser en deux catégories : 1) Hardware 2) Software Dans la première catégorie, nous pouvons citer, par exemple, les produits suivants : - Blue Coat CacheFlow 45 / ProxySG - Ara Networks Jaguar ApplianSys CACHEbox 47 Ces derniers mettent en place les fonctionnalités listées ci-dessous : o o o o o Caching Contents filtering Access control QoS (gérer la qualité de service pour différents utilisateurs) Audit Concernant la catégorie software, voici quelques exemples de logiciels existants : - Apache HTTP Server Grâce à un module nommé «mod_proxy», Apache tient le rôle de forward ou inverse proxy. Ce dernier dispose de nombreuses fonctionnalités dont, par exemple, la gestion des autorisations d accès et le cache. - Apache Traffic Server Ce proxy est rapide, évolutif, extensible et conforme au protocole HTTP/1.1. Après avoir été un produit commercial, Yahoo! en a fait don à la fondation Apache. Actuellement, ce logiciel est un TPL d Apache. Voici les fonctionnalités qu il offre : o Caching o Web Accelerator o Contents filtering o Anonymize contents - Polipo Polipo est un serveur proxy rapide et léger qui offre les possibilités suivantes : o Caching o Transformer toutes les requêtes HTTP/1.0 en HTTP/1.1 o Web accelerator o Gestion du téléchargement des fichiers (cache, reprise, etc.) o Output filtering (privacy-enhancing) o Input contents filtering 45 Source : 46 Source : 47 Source : 48/76

50 - Privoxy Serveur proxy sans cache contenant des fonctionnalités avancées de filtrage pour garantir une communication anonyme et dépourvue de données indésirables. - Squid Ce serveur proxy multiplateforme fait partie des plus connus et des plus populaires. Il est écrit en C/C++ et est très complet. Voici un aperçu de ses fonctionnalités : o Caching o Web accelerator o Anonymize contents o Audit o Security Remarques : - La plupart des firewalls du marché intègrent un proxy HTTP/FTP. - Les listes des fonctionnalités citées ci-dessus ne sont pas exhaustives, car ces produits n ont pas été testés dans ce travail. L état de l art sur les proxy est bref, car dans l approche de ce rapport, nous voulons surtout nous concentrer sur les fonctionnalités utiles à la navigation sur Smartphone Fonctionnalités d un proxy Pour mieux comprendre le proxy Web, nous allons à présent analyser les différentes fonctionnalités qu il met à disposition, tout en définissant leurs utilités dans le contexte de ce projet (en tenant compte des contraintes et des menaces exposées dans les premiers chapitres) Caching Description Présent dans la plupart des proxy actuels, le cache permet de garder en mémoire les informations les plus souvent demandées par les utilisateurs. Elle fonctionne sur plusieurs protocoles comme HTTP ou FTP, par exemple, et utilise des mécanismes pour comparer si les données stockées en mémoire sont toujours valides. Le cas du HTTP, qui nous intéresse tout particulièrement, définit les éléments suivants : - Freshness Les réponses peuvent être réutilisées sans avoir besoin de vérifier leur validité sur le serveur Web distant. Exemples d entêtes de réponse : s-maxage, max-age, min-fresh et max-stale. - Validation Le proxy cache utilise l entête «If-Modified-Since» pour interroger le serveur distant sur la validité de ses données sans avoir à les redemander. Ce cas intervient après leur sortie du contexte précédent (freshness). - Invalidation Les requêtes POST, PUT ou DELETE invalident les données mises précédemment en cache par le proxy. Dans notre cas, il est intéressant de mettre en place cette fonctionnalité sur les requêtes de pages WEB HTTP, ainsi que sur les fichiers téléchargés. 49/76

51 Avantages 1) Réduction de la bande passante du serveur proxy vers Internet (avantage pour l entreprise) 2) Diminution du temps d accès aux données (avantage pour l utilisateur du Smartphone) La contrainte liée aux liaisons lentes et coûteuses (chapitre 5.1.5) peut être atténuée par le deuxième avantage. Informations supplémentaires Si un attaquant arrive à corrompre les données mises en cache par le proxy, tous les utilisateurs de l entreprise seront soumis à un risque. Par exemple, une variante de l attaque HTTP response splitting utilise le cache de l entreprise pour atteindre tout employé qui souhaite accéder à la même ressource infectée. Le proxy doit donc implémenter une vérification des données qu il stocke Web accelerator/ Transforming Description Bien que le Caching permette de recevoir plus rapidement certaines données, les techniques suivantes peuvent être utilisées pour accélérer le transfert: - Résoudre préventivement les noms d'hôtes présents dans un document (HTML ou Javascript) pour réduire les latences des futures requêtes - Télécharger à l avance les informations susceptibles d'être demandées - Compresser les données - Transmettre seulement les données modifiées - Effectuer du «transforming»: réduire la taille du contenu, par exemple, en diminuant la qualité (images, vidéos, etc.) ou en optimisant le code HTML/Javascript - Filtrer le contenu inutile ou indésirable (fonctionnalité traitée plus loin dans ce document) - Maintenir une connexion persistante entre le navigateur et le proxy - HTTP pipelining 48 Ces améliorations concernent la navigation HTTP et, dans certains cas, la réception d s. Par contre, elles ne sont pas adaptées dans les cas suivants : streaming, gaming, P2P downloads, etc. Nous pouvons analyser les outils mis à disposition par HTTP pour utiliser la compression des données. Grâce à l entête Accept-Encoding, le navigateur signale au proxy ou au serveur distant les types d algorithmes qu il prend en charge. Voici un exemple d entête : GET / HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-us; rv:1.5) Gecko/ Firebird/0.7 Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,video/xmng,image/png,image/jpeg,image/gif;q=0.2,*/*;q=0.1 Accept-Encoding: gzip,deflate Accept-Charset: ISO ,utf-8;q=0.7,*;q= Informations supplémentaires : 50/76

52 Lors de la réponse, l entête Content-Encoding est utilisée pour informer le navigateur de l algorithme choisi. Comme les serveurs Web distants ne fournissent pas forcément de compression, le proxy peut prendre en charge cette tâche et compresser de manière adéquate les données demandées par le navigateur. Le gain dû à cette fonctionnalité sur le texte (code HTML, CSS, Javascript, etc.) peut aller jusqu à 79% 49. Voici les différents algorithmes présents dans la RFC du W3C : - gzip / x-gzip GNU zip (Lempel-Ziv coding (LZ77) avec un CRC de 32 bits) - compress / x-compress Compression de données sans perte, basée sur l'algorithme de Lempel-Ziv-Welch(LZW) en utilisant des pointeurs de taille variable et disponible sur les systèmes UNIX. - deflate Format zlib de compression de données sans perte qui couple l'algorithme LZ77 et le codage de Huffman (RFC ). Pour qu un algorithme puisse être utilisé, il doit être conforme à la RFC2616. Actuellement, le plus communément utilisé est gzip. Voici quelques chiffres 51 qui montrent les gains possibles de compression (moyennes sur cinq sites de chaque catégorie) : Seulement les fichiers HTML, CSS et JS Tous les fichiers (images inclues) Catégories Nbr de Taille* Taille* après Gain Taille* Taille* après Gain fichiers originale compression originale compression High-Tech 14 26,531 5,092 79% 60,650 39,211 35% Newspaper 37 74,688 16,218 79% 150,220 91,749 40% Directory 11 36,096 13,296 69% 50,168 27,368 46% Sports 24 41,011 10,167 74% 110,530 79,686 27% Moyenne 22 44,582 11,193 75% 92,892 59,504 37% * : tailles en bytes Avantages Le traitement des données permet d optimiser la quantité de bande passante nécessaire à la navigation. Ainsi, une solution est apportée à la contrainte liée aux liaisons lentes et coûteuses (chapitre 5.1.5). Par ailleurs, cela permet d augmenter le confort et l ergonomie d utilisation, car la rapidité de l affichage et la fluidité des interactions sont améliorées. Informations supplémentaires Certaines techniques présentées dans la partie «description» doivent être impérativement compatibles avec le navigateur. Par exemple, la compression mise en place par le proxy doit être prise en charge par le navigateur du côté client. 49 Source : 50 Source : 51 Source : 51/76

53 Bypassing filters and censorship Description Le proxy modifie ou cache certaines informations aux sites distants. Ceci permet de contourner les filtres mis en place par certains services accessibles sur Internet. Il est possible de citer, par exemple, les filtres basés sur l ip-géolocalisation ou encore l accès réservé aux clients qui possèdent certaines résolutions d affichage. Avantages Ces filtres peuvent être contournés si le proxy modifie les données des entêtes HTTP. De plus, l IP vue par le serveur distant n est pas celle du Smartphone. Informations supplémentaires Cette fonctionnalité est fortement liée à la suivante Anonymizer/ Manage client informations disclosure Description Un «anonymous proxy» joue un rôle important dans l utilisation professionnelle d Internet. Il permet de cacher les informations d identification du Smartphone, car les serveurs distants reçoivent les requêtes émises par le proxy de l entreprise. Avantages Le client qui utilise son Smartphone est mieux protégé, car ses informations d identification (IP, navigateur utilisé, contenus acceptés, version des plug-ins, etc.) peuvent être contrôlées et au besoin modifiées Authentification / Access policy Description Le proxy peut authentifier les utilisateurs car il est l'intermédiaire indispensable entre les Smartphones du réseau interne et les ressources externes. L accès à ces dernières pourra donc être réservé aux personnes autorisées à le faire. De plus, l identification permet l audit des différentes activités effectuées sur Internet. Il est possible de citer, par exemple, le module proxy_auth 52 méthodes pour gérer l authentification. Voici les plus utilisées : de Squid qui propose différentes - LDAP (Lightweight Directory Access Protocol) - NCSA (Fichier NCSA contenant username et password) - MSNT (Windows NT authentication domain) - PAM 53 (Unix Pluggable Authentication Modules scheme) - SMB 54 (Utilise un serveur SMB ex : Windows NT, Samba) - getpwam (Old-fashioned Unix password file) - SASL 55 (Simple Authentication and Security Layer) 52 Source : et 53 Informations supplémentaires : 54 Informations supplémentaires : 55 Informations supplémentaires : 52/76

54 - Windows native authenticator - Base de données NIS 56 - NTLM - Digest authentication - Serveur Radius Pour choisir une de ces possibilités, il faut être attentif à deux points : 1) Comment le proxy gère-t-il le mécanisme d authentification? (Est-il correctement implémenté?, Respecte-t-il la logique de sécurité du protocole?, etc.) 2) Est-ce que la sécurité est convenable? (Les échanges sont-ils chiffrés?, Le nom d utilisateur et le mot de passe sont-ils stockés en clair?, etc.) Avantages Dans le cadre d une utilisation professionnelle, l authentification permet de restreindre l accès aux ressources externes uniquement aux utilisateurs ayant les doits nécessaires. Il en découle la possibilité de tracer les différentes activités, ce qui permet un audit efficace. Pour appliquer les Access polices, des règles sont mises en place grâce, notamment, à l utilisation de listes blanches, noires et à l analyse des données demandées par l utilisateur (cf. chapitre suivant) Inbound data filtering Description Cette fonctionnalité est liée aux «acceptable use policies» établies par l entreprise. Seul le contenu conforme aux règles est accessible sur Internet. La mise en place de ce filtrage peut être faite de différentes manières: - DNS Blacklists / DNSBL 57 Utiliser les listes noires des serveurs pratiquant du phishing par exemple. - MIME 58 - Content analysis (common traits, keywords) Analyser les données pour identifier du contenu appartenant à une catégorie qui n est pas acceptée par les règles de l entreprise (caractère pornographique, violent, réseaux sociaux, etc.). De plus, un antivirus (démon et/ou basé sur ICAP 59 ) peut effectuer un scan en temps réel sur les données entrantes pour détecter les malwares. Comme cité dans le premier chapitre de ce document, le contenu indésirable représente une des menaces pour la navigation professionnelle depuis un Smartphone. Des éléments comme les bandeaux publicitaires, cookies, animations flash lourdes, etc. peuvent être filtrés et enlevés des réponses envoyées à l utilisateur. 56 Informations supplémentaires : 57 Informations supplémentaires : 58 Informations supplémentaires : 59 Informations supplémentaires : 53/76

55 Avantages Fonctionnalité qui permet d appliquer les «acceptable use policies», de filtrer les éléments indésirables et de scanner le trafic en entrée avec un antivirus Outbound data filtering Description Les données sortant du réseau interne de l entreprise peuvent être contrôlées pour garantir que les informations confidentielles ne soit pas envoyées sans autorisation vers l extérieur. De plus, les requêtes faites par les utilisateurs doivent passer par un filtre qui fait appel aux «acceptable use policies» et qui utilise les techniques suivantes : - URL Listes blanches ou noires d URLs pour accepter ou non une requête. - DNS Blacklists / DNSBL 60 Listes noires de serveurs pratiquant du phishing par exemple. - URL regex Appliquer un filtre utilisant les expressions régulières sur les URLs. Avantages L outbound data filtering permet d appliquer les «acceptable use policies» tout en contrôlant les données sortantes, afin d intercepter toute fuite de données confidentielles Logs / Audit Description/Avantages Les logs permettent de garder une trace de l activité de chaque utilisateur de l entreprise et se révèlent utiles dans les cas suivants : - Statistiques - Adaptation des règles de filtrage et des fonctionnalités en tenant compte des besoins - Surveillance de l activité (relation avec le domaine privé ou professionnel) - Données utiles aux IDS - Données utiles à la recherche d intrusions (intrusion forensic) - Etc HTTPS handling Description Un proxy HTTPS, plus communément appelé SSL proxy, permet de gérer le flux HTTPS chiffré en adoptant la position du «man-in-the-middle». En d autres termes, les requêtes faites par le navigateur du Smartphone sont gérées (terminées) par le proxy et renvoyées au serveur distant. Le certificat présenté au navigateur est celui du proxy (qui devra être placé préalablement dans les «trusted certificate authorities» du navigateur). Certains proxy se limitent à la fonction de gateway pour le protocole HTTPS. Cependant, pour une utilisation professionnelle sécurisée, il faudrait de préférence utiliser un SSL proxy capable de mettre en œuvre les différents avantages cités dans les chapitres précédents. 60 Informations supplémentaires : 54/76

56 De plus, cette fonctionnalité permet au proxy de vérifier les certificats des serveurs distants. Des listes blanches et/ou noires pourront être mises en place par l entreprise en fonction de ses «access policies». Avantages Le HTTPS handling permet de maîtriser du flux de données échangées entre le Smarphone et les serveurs distants via HTTPS tout en assurant un contrôle des certificats. Informations supplémentaires Le navigateur doit être paramétré pour passer à travers un SSL proxy afin d autoriser son rôle de «man-in-the-middle» dans l échange sécurisé Résumé Deux types de proxy : 1) Hardware 2) Software Proposant les fonctionnalités suivantes : - Caching - Web accelerator/ Transforming - Bypassing filters and censorship - Anonymizer/ Manage client informations disclosure - Authentification / Access policy - Inbound data filtering - Outbound data filtering - Logs / Audit - HTTPS handling 55/76

57 9. Concepts de sécurité à retenir Les paragraphes précédents ont permis de définir les différents composants de l architecture nécessaires à une navigation professionnelle via un Smartphone. Après avoir mis en évidence plusieurs problématiques, nous pouvons faire une synthèse des concepts de sécurité qui devraient idéalement être implémentés tant pour l utilisateur que pour l entreprise Côté utilisateur En complément à la sensibilisation que l utilisateur doit recevoir concernant les problèmes de sécurité auxquels il est exposé (cf. chapitre ), son Smartphone doit être paramétré convenablement pour lui fournir un niveau de sécurité maximum Smartphone L entreprise doit veiller à sécuriser 61 le Smartphone de ses employés. Nous pouvons citer les directives émises par l ENISA 62 qui recommande, par exemple, de modifier la configuration afin qu un mot de passe soit exigé avant l installation de toute nouvelle application. Lors de la navigation sur Internet, les quatre éléments suivants doivent être impérativement mis en place : 1) Navigateur sécurisé 2) Logiciel de protection (anti-malware/anti-phishing) 3) Proxy (paramétrage) 4) VPN 5) Spécifications du Smartphone Navigateur Le Smartphone doit posséder un navigateur performant et adapté aux objectifs de sécurité fixés par l entreprise. Nous avons mis en évidence que les informations traitant de la sécurité n étaient pas correctement affichées. Nous pouvons donc commencer par identifier les informations abordables pour un utilisateur peu averti et utiles dans une communication HTTP/HTTPS : - URL Vérification visuelle de l URL pour détecter des attaques par Spoofed URL ou Homograph attack (exemple : reconnaître des URLs non valides comme www-bankofthewest.com) - Type de connexion Sécurisée ou non (HTTP ou HTTPS) - Certificat du serveur distant lors d une connexion sécurisée Affichage de la validité du certificat et mise en place d une validation étendue qui fournit un meilleur contrôle du propriétaire du domaine (doit être une entité légalement constituée et avoir un siège social) - Informations et erreurs du certificat Affichage complet et compréhensible 61 Informations supplémentaires: Dr Giles Hogben, Dr. Marnix Dekker (ENISA). Information security risks, opportunities and recommandations for users, décembre Dr Giles Hogben, Dr. Marnix Dekker (ENISA). Information security risks, opportunities and recommandations for users, décembre /76

58 Une étude 63 menée par Collin Jackson, Daniel R. Simon, Desney S. Tan et Adam Barth (Stanford University et Microsoft Research, Redmond) met en évidence les points suivants : - Un utilisateur doit être sensibilisé aux attaques par phishing et doit comprendre les différentes informations de sécurité affichées par son navigateur. - La validation étendue («extended validation») du certificat améliore considérablement les chances de détecter une attaque. - Le navigateur doit afficher clairement les informations concernant la navigation sécurisée afin de donner tous les outils visuels nécessaires à un utilisateur pour s apercevoir d une attaque. Nous pouvons établir les règles suivantes : - Afficher l URL complète - Utiliser une police de caractères lisible qui ajoute des espaces entre les lettres Les espaces permettent d éviter le genre de confusion illustrée ci-dessous : Figure 42 : Le "double v" peut remplacer avantageusement le "w" - Afficher un pictogramme si la connexion est chiffrée via HTTPS - Donner la possibilité à l utilisateur de consulter les informations complètes sur le certificat - Afficher les informations sur la validation étendue - Gérer correctement les erreurs de certificats (affichage clair et explications) - Permettre à l utilisateur de désactiver les modifications de disposition apportées par le navigateur (affichage comme sur Desktop/Laptop) Actuellement, le navigateur répondant le mieux à ces règles est Chrome Lite, mais nous avons vu précédemment que la validation étendue n est pas gérée et que l utilisateur ne peut pas voir facilement l adresse URL complète. Pour trouver une solution convenable, nous allons appliquer les quelques règles présentées ci-dessus dans un design proof of concept (traité dans le chapitre 10) montrant ce que devrait faire au minimum un navigateur de Smartphone Logiciel de protection (anti-malware/anti-phishing) Nous avons vu qu il n y avait pas de filtre anti-phishing intégré aux principaux navigateurs, nous devons donc installer une application tierce. De cette manière, nous sommes en accord avec la règle fondamentale de sécurité : Defense in depth (redundant mechanismes). Un filtre anti-phishing sera présent sur le proxy de l entreprise et sur le Smartphone. 63 Jackson, Collin Daniel R. Simon, Desney S. Tan, Adam Barth. "An Evaluation of Extended Validation and Picture-in-Picture Phishing Attacks" 57/76

59 Les produits actuels qui fournissent cette possibilité sont nombreux, mais ils ne supportent que les navigateurs basés sur Chrome Lite. Nous pouvons citer comme exemple les programmes suivants : PhishLock Nom PhishLock Editeur SentryBay Ltd Prix Gratuit Avis utilisateur Très satisfaisant (3.8 étoiles) Version Application 1.0 Version Android 2.2 et plus récente Webroot Mobile Security Basic Nom Webroot Mobile Security Basic Editeur Webroot Software Inc. Prix Gratuit Avis utilisateur Très satisfaisant (4.5 étoiles) Version Application Version Android 2.1 et plus récente Norton Mobile Security (bêta) Nom Norton Mobile Security (bêta) Editeur NortonMobile Prix Gratuit (pendant 3 mois) Avis utilisateur Très satisfaisant (3.8 étoiles) Version Application Version Android 1.6 et plus récente BadLink Check Nom BadLink Check Editeur aegislab Prix Gratuit Avis utilisateur Très satisfaisant (3.1 étoiles) Version Application 0.9 Version Android 1.5 et plus récente L utilisateur aura un message d avertissement s il accède à un site de phishing répertorié : Figure 43 : Alerte de PhisLock 58/76

60 Proxy (paramétrage) Il faut configurer le Smartphone ou plus particulièrement le navigateur pour que toutes les requêtes soient émises au proxy de l entreprise et non au serveur distant. Actuellement, l entreprise a trois choix : - Utiliser un transparent proxy Il sera couplé avec divers éléments du réseau pour que toutes les requêtes et réponses HTTP/HTTPS passent par lui. - Rooter le Smartphone et installer l application AsProxy - Paramétrer le Smartphone via les commandes adb Cette possibilité n est pas optimale, car toutes les applications ne passent pas forcément par ce paramétrage. De plus, les requêtes HTTPS ne sont pas correctement prises en compte VPN Paramétrer le Smartphone pour chiffrer la connexion via VPN quand l utilisateur ne se trouve pas dans le réseau de l entreprise. Différentes possibilités sont implémentées sur Android, le choix dépend de l infrastructure mise en place Spécifications du Smartphone Pour pallier le plus efficacement possible aux contraintes définies dans les premiers chapitres de ce document, il serait préférable d utiliser un Smartphone possédant les caractéristiques suivantes : - Grande taille de l écran (idéalement plus grand que 3,7 pouces) pour afficher lisiblement la plus grande quantité d informations possible - Type d écran efficace lorsqu il est exposé à une forte luminosité - Disponibilité d un clavier physique pour fournir un maximum d espace dédié à l affichage du site - Puissance suffisante pour exécuter des outils dédiés à la sécurité du système (antivirus, antiphishing, etc.) et pour assurer un confort d utilisation raisonnable - Matériel fournissant le support des réseaux de données les plus performants possibles (WIFI, 3G, LTE, etc.) 59/76

61 9.2. Côté entreprise Structure et concepts de sécurité L entreprise doit mettre en place une infrastructure réseau adéquate avec les éléments suivants : - VPN - Proxy utilisant le plus de fonctionnalités possibles (cf. chapitre 9.2.2) - Logiciels de protection/scan des données entrantes et sortantes (anti-malware, anti-spam, anti-phishing, etc.) - Mettre en place des contrôles sur les serveurs d pour identifier les liens pointant sur des sites de phishing Elle doit aussi : - Fixer des «acceptable use policies» pour établir un règlement clair sur les permissions données aux utilisateurs accédant à des ressources externes (paramétrage du proxy en fonction de ces policies) - Paramétrer correctement les Smartphones pour garantir au mieux la sécurité souhaitée - Sensibiliser les employés aux risques de la navigation sur Internet et sur le fonctionnement de leur navigateur (cf. sous-chapitre suivant) - Intégrer la sécurité dans le développement des Web applications internes (utiliser les recommandations établies par l OWASP) - Respecter tout particulièrement ces règles fondamentales de sécurité : o Defense in depth (redundant mechanismes) Mettre en place des redondances dans les contrôles (anti-phishing sur le proxy et sur le navigateur, etc.) o Choke point Faire transiter tout le flux des données par un point de contrôle (proxy) o Deny by default Dans tous les systèmes de contrôles mis en place, appliquer au maximum le système de listes blanches o User participation Inclure l utilisateur dans le processus de sécurisation pour éviter qu il ne soit le vecteur d attaque le plus attractif (chapitre suivant) Sensibilisation des employés Pour que l utilisateur s aperçoive d une attaque, il doit la connaître et savoir où chercher les éléments qui lui donnent des renseignements utiles. Les filtres et les protections mis en place sont, pour la plupart, basés sur des listes blanches et/ou noires et ils ne permettent pas de stopper toutes les attaques. L entreprise doit donc sensibiliser ses employés sur les trois points suivants : 1) Les différentes menaces présentes lors de la navigation sur Smartphone (Phishing, Session Hijacking, Vol de données, Sniffing, etc.) 2) L utilisation correcte du navigateur afin de comprendre les informations visuelles liées à la sécurité 60/76

62 3) Quelques règles fondamentales sur Internet (par exemple: ne jamais cliquer sur un lien contenu dans un qui amène directement sur un site bancaire, vérifier l URL, donner le minimum d informations privées ou professionnelles possibles, etc.) Développements internes Comme nous l avons vu dans le chapitre traitant des menaces, les applications Web de l entreprise peuvent être directement ciblées par des attaques comme XSS, CRCF, etc. Pour que les risques encourus soient minimisés et acceptables, des règles concernant les développements internes doivent être respectées. Pour cela, l entreprise peut s inspirer des nombreuses directives établies par l OWASP 64 (Open Web Application Security Project) Proxy Précédemment, nous avons mis en évidence l implémentation de plusieurs fonctionnalités par les proxy. Voici la liste des fonctionnalités destinées à garantir un niveau maximum de sécurité tant pour l utilisateur que pour l entreprise : - Caching - Web accelerator/transforming - Anonymizer/Manage client informations disclosure - Authentification / Access policy Remarque : Il faut veiller à utiliser une méthode sûre qui chiffre les données stockées et échangées. - Inbound data filtering - Outbound data filtering - Logs/Audit - HTTPS handling (idéalement, authentification aussi du côté client) 64 Informations supplémentaires : 61/76

63 10. Design proof of concept Cette partie est basée sur les concepts de sécurité décris au chapitre pour montrer comment un navigateur devrait gérer l affichage des informations de sécurité. De plus, deux objectifs ont été pris en compte pour garantir l ergonomie et le confort d utilisation : - Fournir la meilleure lisibilité possible - Ne pas envahir l espace dédié au site Web Les sous-chapitres suivants sont orientés sur différents use cases dans le but de présenter les composants du navigateur «idéal». Remarque : Certains éléments visuels sont inspirés des navigateurs suivants : Chrome Lite, Firefox et Dolphin Browser HD Affichage des informations de sécurité HTTP/HTTPS Grâce à l état de l art des principaux navigateurs, nous avons mis en évidence que l utilisateur ne sait pas forcément faire la différence entre une connexion sécurisée ou non. Ceci est dû au manque de clarté dans le choix des composants visuels liés à la sécurité. Par exemple, sur la figure suivante, Firefox change la couleur de fond sur la partie gauche de la barre d adresse lorsque la connexion est sécurisée : Figure 44 : HTTPS avec certificat non EV valide Un utilisateur peu averti ne saura pas reconnaître si sa connexion est sécurisée, car tous les autres navigateurs affichent un petit cadenas pour symboliser l utilisation d HTTPS : Chrome Lite Opera Mini Dolphin Browser TM HD Figure 45 : Cadenas HTTPS La solution à ce problème est d afficher clairement et en permanence un cadenas signalant à l utilisateur si sa connexion est sûre ou non. Tous les cas doivent être pris en compte, même si le certificat comporte des erreurs : HTTP HTTPS HTTPS problème certificat Figure 46 : Cadenas affichés à tout moment Nous avons donc un affichage simple et compréhensible. L utilisateur connaît à tout moment l état de sa connexion. 62/76

64 URL complète Pour afficher une URL, deux points doivent être pris en compte : 1) Utiliser une police de caractères qui affiche un espace entre chaque lettre pour éviter toute confusion 2) Donner à l utilisateur la possibilité de consulter la totalité de l adresse Actuellement, seul Chrome Lite propose le deuxième point. L utilisateur doit ouvrir le menu et appuyer sur le bouton «Infos sur la page». Une solution plus accessible et intéressante serait d afficher un volet déroulant après un simple clic sur la barre d adresse : Figure 47 : Adresse URL complète La partie blanche qui contient l adresse et les informations de sécurité doit rester la plus sobre possible, afin de garantir un maximum de clarté et d espace pour le site : Figure 48 : Barre d'adresse simple et claire URL masquée Comme nous l avons vu précédemment, tous les navigateurs actuels cachent la barre d adresse quand l utilisateur interagit avec le site Web. Il en résulte un gain de place, mais aussi une perte de sécurité, car l URL et les informations visuelles de sécurité (cadenas HTTPS) ne sont plus présentes à l écran. Pour cette raison, ce proof of concept déconseille de masquer la barre d adresse. Néanmoins, si tel devrait être le cas, deux mesures peuvent être appliquées : 1) Permettre à l utilisateur d afficher ou de masquer l URL à tout moment. Cela implique de ne plus coller la barre d adresse au-dessus du site Web, comme le font actuellement les principaux navigateurs. 2) Garder visible le petit cadenas contenant les informations essentielles sur l état de la connexion. Figure 49 : Barre d'adresse masquée 63/76

65 Vue globale Pour que l utilisateur puisse s apercevoir de tout changement dans l apparence du site qu il visite, il faut afficher dès la fin de la réception des données, une vue globale. Elle ne permet ni la lecture du contenu ni l interaction avec les éléments (boutons, saisies de texte, etc.), mais elle offre un aperçu de la disposition des éléments : Figure 50 : Vue globale Remarque : Cette fonctionnalité est présente dans les quatre principaux navigateurs Authentification Pour garantir la meilleure sécurité possible, l architecture définie dans le chapitre 7.3 prévoit que tous les échanges de données liés aux protocoles HTTP/HTTPS passent par un proxy. L authentification de l utilisateur rend possible les fonctionnalités 65 d Authentification/Access policy et de Logs/Audit. Si l entreprise utilise un transparent proxy, une interface Web se chargera de cette partie, sinon le couple nom d utilisateur et mot de passe sera demandé par le navigateur. Dans le cadre de ce projet, nous pouvons aller plus loin et proposer une authentification forte. En plus des informations habituelles de connexion, le login peut demander un élément unique que l utilisateur a en sa possession. L entreprise peut, par exemple, fournir un badge NFC ou un compagnon Bluetooth à ses employés et lors du démarrage du navigateur, demander une authentification forte : Figure 51 : Authentification forte 65 Vues aux chapitres /76

66 Cet ajout apporte les avantages suivants : 1) Si l utilisateur perd son Smartphone, personne ne pourra utiliser le VPN mis en place pour accéder au réseau interne de l entreprise. 2) En forçant cette procédure pour toute demande d accès à un site provenant d un lien contenu dans un SMS/MMS ou dans un , un moment de réflexion supplémentaire sera donné à l utilisateur. L URL ne sera donc pas traitée instantanément par le navigateur. Cette situation particulière apporte un avantage en cas d attaque par Phishing Informations sur le certificat Comme nous avons pu le constater dans les chapitres précédents, il y a un manque réel dans l affichage des informations décrivant le certificat utilisé lors d une connexion sécurisée. Ce design proof of concept propose le message suivant lorsque l utilisateur clique sur le petit cadenas : Les informations suivantes doivent être affichées : Figure 52 : Informations sur le certificat X Etat du certificat : Valide/Non valide - Validité étendue (SSL EV) : Oui/Non - Emis à : Site et organisation - Emis par : Entité et organisation - Dates du début et de la fin de vie du certificat (Emis le/expire le) 65/76