La mémorisation des mots de passe dans les navigateurs web modernes

Documents pareils

JRES 2005 : La mémorisation des mots de passe dans les navigateurs web modernes

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Comment utiliser mon compte alumni?

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Programmation Web. Introduction

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Guide de connexion Wi-Fi sur un hotspot ADP Télécom

I. Descriptif de l offre. L offre Sage 100 Entreprise Edition Entreprise

Syfadis. > Configuration du poste client. Nous vous aidons à réussir. REFERENCE : Syfadis LMS - 12/09/2008. AUTEUR : Equipe technique Syfadis

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

Idées et propositions de cours. «Cookies, Cache & Co!» NetLa Matériel pédagogique 6. Campagne pour la protection de la personnalité

Guide pour le bon fonctionnement des applications académiques avec Internet Explorer 7.x

Notice d utilisation du serveur SE3 (Samba Édu 3) Version «élèves» 2.4 Lycée Jean-Pierre TIMBAUD

INTERNET est un RESEAU D ORDINATEURS RELIES ENTRE EUX A L ECHELLE PLANETAIRE. Internet : interconnexion de réseaux (anglais : net = réseau)

Espace Client Aide au démarrage

Guide de connexion pour les sites sécurisés youroffice & yourassets

Dispositif e-learning déployé sur les postes de travail

d authentification SSO et Shibboleth

Découvrez notre solution Alternative Citrix / TSE

IPS-Firewalls NETASQ SPNEGO

Syfadis. > Configuration du poste client. Nous vous aidons à réussir. REFERENCE : Syfadis LMS - 20/06/2007. AUTEUR : Equipe technique Syfadis

Guide Utilisateur ArkadinAnywhere

CHARTE DE GESTION DES COOKIES

CAHIER DES CHARGES D IMPLANTATION

L identité numérique. Risques, protection

Mise en œuvre des serveurs d application

Communiqué de lancement. Sage 100 Entreprise Edition Etendue Module CRM inclus

Disque Dur Internet «Découverte» Guide d utilisation du service

Configuration du nouveau Bureau Virtuel (BV) collaboratif de Lyon I

Serveurs de noms Protocoles HTTP et FTP

Introduction. aux architectures web. de Single Sign-On

E.N.T. Espace Numérique de Travail

Plateforme académique de partage de documents - owncloud

COMMENT METTRE A JOUR SON SITE WEB?

Demande d'assistance : ecentral.graphics.kodak.com

Zimbra. S I A T. T é l : ( ) F a x : ( )

Gestionnaire des services Internet (IIS)

Mise en oeuvre d un intranet à partir de logiciels Open Source avec intégration des certificats numériques et login unique

Le partenaire tic de référence. Gestion des ressources humaines INOVA RH

ACCEDER A SA MESSAGERIE A DISTANCE

Présentation de la solution Open Source «Vulture» Version 2.0

ACCÉDER A SA MESSAGERIE A DISTANCE

Pourquoi utiliser SharePoint?

Problème d affichage de rapports ou relevés dans HEC en ligne lié aux bloqueurs de pop-up

Single Sign-On open source avec CAS (Central Authentication Service)

Dive Center Manager. Outil de gestion clients pour Centre de plongée

Groupe Eyrolles, 2005,

Développement d applications Internet et réseaux avec LabVIEW. Alexandre STANURSKI National Instruments France

Accéder à ZeCoffre via FTP

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Contenu de la version 3.4 C I V I L N E T A D M I N I S T R A T I O N

Failles XSS : Principes, Catégories Démonstrations, Contre mesures

Chapitre 1 Windows Server

Vulnérabilités et sécurisation des applications Web

AccessMaster PortalXpert

cbox VOS FICHIERS DEVIENNENT MOBILES! INTERFACE WEB MANUEL D UTILISATION

M1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015

Communiqué de Lancement. Sage Intégrale V4.50

COMMUNICATION TECHNIQUE N TCV060 Ed. 01. OmniVista 4760 Nb de pages : 18 Date : URGENTE NON URGENTE TEMPORAIRE DEFINITIVE

Demande d assistance : ecentral.graphics.kodak.com. Variable Data Print est désormais une option sous licence de InSite Storefront 6.0.

Accès à la messagerie électronique HES

Publication dans le Back Office

Sommaire. AIDAUCLIC BACKUP : Solution de sauvegarde en ligne 3. Quelles problématiques résout la solution? 3. Fonctionnement de la solution 4

Configuration requise pour l utilisation de la plateforme EnlightKS Online Certification Management Services ET2.13 Juin 2011

WINDOWS Remote Desktop & Application publishing facile!

Cyberclasse L'interface web pas à pas

Mode d emploi Accès & consultation des certificats d étalonnage MES PV EN LIGNE

SUPPRIMER SES COOKIES

CATALOGUE DE FORMATION INTERNET BUREAUTIQUE INFORMATIQUE..::NET-INOV.COM::..

Manuel de Documents. Introduction Format des fichiers lus Fonctions supplémentaires Copier et partager des fichiers...

Guide d installation BiBOARD

Les rootkits navigateurs

Groupe Eyrolles, 2006, ISBN : X

Fiche produit. Important: Disponible en mode SaaS et en mode dédié

Barid Al Maghrib. Guide d utilisateur Boite Postale Electronique. Fonctions de base. Version 1.0

... Cahier des charges Site Internet Office de Tourisme Lesneven - Côte des Légendes MAITRE D OUVRAGE

Guide Utilisateur pour accès au réseau WiFi sécurisé 802.1X

La sécurité dans les grilles

CHECKLIST : OUVERTURE DES OFFRES

Administration de systèmes

Guide de migration BiBOARD V10 -> v11

ClariLog - Asset View Suite

Installation et utilisation d'un certificat

Catalogue «Intégration de solutions»

UserLock Quoi de neuf dans UserLock? Version 8.5

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

Etude d Exchange, Google Apps, Office 365 et Zimbra

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Cours 14. Crypto. 2004, Marc-André Léger

Paramétrage des navigateurs

Sécurité des réseaux sans fil

Une solution de déploiement Windows Windows Deployment Service. Arnault Carrere - INRIA Yann Damon - CRPP

Sécurisation des accès au CRM avec un certificat client générique

Prise en main d un poste de travail sous Windows sur le réseau du département MMI de l'upemlv. d après M. Berthet et G.Charpentier

Authentification unifiée Unix/Windows

Prérequis techniques

Transcription:

1 La mémorisation des mots de passe dans les navigateurs web modernes Didier Chassignol Frédéric Giquel 6 décembre 2005 - Congrès JRES

2 La problématique Multiplication des applications web nécessitant une authentification Multiplication des saisies de mots de passe pour l utilisateur Les navigateurs proposent une fonction de mémorisation des mots de passe Question : peut-on raisonnablement utiliser cette fonctionnalité? Point vue ergonomie Point vue sécurité

3 Les navigateurs étudiés Mozilla 1.7.3 (Windows, Linux, Mac OS) Netscape 7.1 (Windows, Linux, Mac OS) Firefox 1.0 (Windows, Linux, Mac OS) Internet Explorer 6.0 (Windows) Internet Explorer 5.2.3 (Mac OS) Safari 1.2.4 (Mac OS) Konqueror 3.4.2 (Linux)

4 Plan de la présentation Rappel sur les méthodes d authentification sur les serveurs web Résultat des tests Disponibilité de la fonctionnalité et de l ergonomie Sécurité de la mémorisation sur les postes clients Sécurité du point de vue réseau Conclusion

Authentification au niveau du protocole HTTP 5 Protocole normalisé (RFC 2617) Facilement détectable par le navigateur 2 variantes : Basic (et Digest) Utilisateur Navigateur Serveur 1 - Demande d affichage d une page 4 - Affichage d un pop-up 2 - Requête HTTP 3 - Authentification requise 5 - Saisie login/mot de passe 6 - Requête HTTP avec login/mot de passe 8 - Affichage de la page 7 - Page demandée Suivi de session authentifiée : rejeu automatique par le navigateur Utilisation d un «realm» pour délimiter la zone protégée

6 Authentification applicative par formulaire Pas de normalisation Détection partielle par le navigateur Page web avec un formulaire Entrée de formulaire de type text pour le login Entrée de formulaire de type password pour le mot de passe Transmission, généralement en clair, du login et du mot de passe par la méthode HTTP POST (parfois GET) Suivi de session authentifiée : généralement avec un cookie (RFC 2965)

7 Plan de la présentation Rappel sur les méthodes d authentification sur les serveurs web Résultat des tests Disponibilité de la fonctionnalité et de l ergonomie Sécurité de la mémorisation sur les postes clients Sécurité du point de vue réseau Conclusion

Disponibilité de la fonctionnalité sur les navigateurs web 8 HTTP/HTTPS Authentification HTTP Basic Tous les navigateurs Authentification applicative par formulaire Tous les navigateurs sauf Internet Explorer Mac OS

9 Contrôle de la mémorisation L utilisateur contrôle la mémorisation des mots de passe lors de la 1ère authentification Authentification HTTP Basic avec Firefox Authentification applicative par formulaire avec Safari

10 Automatisation de l authentification L automatisation est-elle complète? Quasi automatisée (préremplissage + validation de l utilisateur) Entièrement automatisée pour l authentification HTTP Basic avec Safari Eléments complémentaires concernant l authentification applicative par formulaire Choix dans une liste déroulante Propriété «autocomplete off»

Cas où le mot de passe mémorisé diffère de celui attendu par l application 11 Authentification HTTP Basic : Détection par le navigateur Légères différences de comportement entre les navigateurs (préremplissage ou non du champ «Mot de passe») Authentification applicative par formulaire : Pas de détection par le navigateur Lié aux choix du programmeur de l application web

Mot de passe commun à plusieurs applications 12 LDAP Côté serveur Application 1 Application 2 Application Application n Côté navigateur Enregistrement 1 Enregistrement 2 Enregistrement Enregistrement n Peut-on en une seule opération modifier la mémorisation du mot de passe commun? Aucun des navigateurs ne propose cette fonctionnalité

13 Plusieurs applications sur un même site web Problématique : des URLs très proches http://serveur.etablissement.fr/appli1/ http://serveur.etablissement.fr/appli2/ Authentification HTTP basic : Les navigateurs proposent la bonne authentification si des realms différents sont fournis Exception lors de nos tests : Mozilla Authentification applicative par formulaire L application fournit ou ne fournit pas des noms différents pour les entrées de formulaire de type text Internet Explorer et Konqueror mémorisent l URL complète

14 Visualisation des mots de passe Un utilisateur peut-il retrouver un mot de passe mémorisé? Oui, directement dans l application pour Mozilla et Firefox Oui, à l aide d un outil externe fourni pour Safari et Konqueror Oui, à l aide d outils tiers pour Internet Explorer Windows et Netscape Non pour Internet Explorer Mac OS

15 Plan de la présentation Rappel sur les méthodes d authentification sur les serveurs web Résultat des tests Disponibilité de la fonctionnalité et de l ergonomie Sécurité de la mémorisation sur les postes clients Sécurité du point de vue réseau Conclusion

16 Stockage des mots de passe Les mots de passe mémorisés sur le disque dur sont-ils chiffrés dans un but de protection en cas d accès physique? Pas de stockage en clair quelque soit le produit Chiffrement 3DES : Mozilla, Netscape, Firefox et Safari Chiffrement Blowfish : Konqueror Méthode de chiffrement/codage non documentée : Internet Explorer (Windows et Mac OS) Note : Internet Explorer Windows stocke les données dans le registre de l utilisateur (fichier NTUSER.DAT)

17 Clé de chiffrement / «master password» Comment la clé de chiffrement est-elle créée? Est-elle dérivée d un «master password»? Utilisation d un «master password» En option pour Mozilla, Netscape et Firefox Obligatoire pour Konqueror Obligatoire pour Safari : par défaut, le mot de passe de session Mac OS Durée de vie paramétrable Pas de «master password» pour Internet Explorer Chiffrement cassable en cas d accès physique

18 Stockage des cookies Les cookies permettent un suivi de session authentifiée pour l authentification applicative par formulaire Importance de les protéger Risque moins important que pour les mots de passe Durée de vie souvent limitée par le serveur Tous les cookies ne sont pas stockés sur le disque dur Aucun des navigateurs n intègre un mécanisme de protection du stockage des cookies

19 Sauvegarde et restauration Risque d oubli par l utilisateur des mots de passe mémorisés par le navigateur Simple pour les navigateurs qui stockent les données dans un fichier (Mozilla, Netscape, Firefox, Safari, Konqueror et Internet Explorer Mac OS) Compliqué pour Internet Explorer Windows car nécessite un outil de sauvegarde du registre

20 Solution transparente de chiffrement externe Une alternative au chiffrement proposé par le navigateur et à l utilisation d un «master password» Peut être une solution pour la protection des cookies Solution par système d exploitation et non par navigateur EFS sous Windows CryptoAPI sous Linux FileVault sous Mac OS Difficultés pour Internet Explorer Windows à cause du stockage dans le registre

21 Plan de la présentation Rappel sur les méthodes d authentification sur les serveurs web Résultat des tests Disponibilité de la fonctionnalité et de l ergonomie Sécurité de la mémorisation sur les postes clients Sécurité du point de vue réseau Conclusion

22 Idées développées Les «webbugs» Code HTML utilisé par les spammeurs Force le navigateur à faire une requête HTTP Utilisable pour déclencher une authentification HTTP Basic Image factice, invisible par l utilisateur Exemple : <img src="http://serveur_a_contacter/image.jpg" width=1 height=1 border=0> Non utilisation de HTTPS Risque d usurpation d identité du serveur Pas de confidentialité pour la transmission du mot de passe Pas de vérification d intégrité

23 Scénario possible de vol de mot de passe Utilisateur 1 5 4 3 2 Site web A (non HTTPS) sur lequel surfe l utilisateur Etape 15 42 3 : échange requête réponse HTTP de du (issue (y compris l utilisateur site du web «webbug A contenant vers le») site un de authentification «l utilisateur webbug A» vers HTTP de le site ajouté web l utilisateur) B par le entre piratele site webusurpéet l utilisateur Site web usurpé Site web B (non HTTPS) pour lequel l utilisateur à mémorisé un mot de passe de l authentification HTTP Basic

Authentification à l insu d un utilisateur de Safari 24 Avec Safari, l authentification HTTP Basic est entièrement automatisée Pas d apparition de pop-up à la suite du «webbug» visant les sites avec mot de passe mémorisé Risque supplémentaire lié à la mémorisation : Automatisation complète du vol de mot de passe Limitation du risque : Le nom des sites est chiffré dans le stockage sur le poste client

Limitation de la mémorisation et du préremplissage aux seules pages HTTPS 25 L utilisateur peut-il globalement désactiver les fonctionnalités de mémorisation et de préremplissage pour les pages non HTTPS? Quelque soit le navigateur, pas de désactivation globale Limitation de la mémorisation aux seules pages HTTPS à la discrétion de l utilisateur Préremplissage d une page HTTPS par le navigateur seulement si la mémorisation a eu lieu en HTTPS Sauf cas particuliers

Réutilisation en HTTP des mots de passe mémorisés en HTTPS 26 Cas rencontrés : Famille Mozilla et Internet Explorer pour l authentification HTTP Basic en HTTP sur port TCP 443. Exemple : URL lors de la mémorisation : https://serveur.etablissement.fr/page.html Informations mémorisées : serveur.etablissement.fr:443 URL valide pour le préremplissage : http://serveur.etablissement.fr:443/page.html Safari pour l authentification applicative par formulaire Risque supplémentaire lié à la mémorisation : Vol d un mot de passe d un site HTTPS par attaque réseau Limitation du risque : Nécessite une action de l utilisateur

27 Plan de la présentation Rappel sur les méthodes d authentification sur les serveurs web Résultat des tests Disponibilité de la fonctionnalité et de l ergonomie Sécurité de la mémorisation sur les postes clients Sécurité du point de vue réseau Conclusion

28 Conclusions générales Résultats des tests significatifs à instant T. La grille d analyse est importante Coûts faibles Ergonomie améliorée malgré quelques inconvénients Risques supplémentaires de vol de mot de passe Internet Explorer à déconseiller si accès physique non protégé Des précautions à prendre : Utilisation d un «master password» Sauvegarde/restauration Verrouillage de session Portables : éviter le mode hibernation et chiffrer la zone de swap

29 Contextes d utilisation Base de compte commune Situation actuelle à l INRIA Annuaire LDAP central 2 gros inconvénients Ergonomie mal adaptée Risque de vol du mot de passe unique Ensemble hétérogène d applications web Webmail, forum, inscription à une conférence Utilisation adaptée si choix de mots de passe différents (idéalement aléatoires)

Questions / Réponses 30