Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

RequestPolicy : Une extension Firefox pour se protéger des attaques

RequestPolicy : Une extension Firefox pour se protéger des attaques
2009-01-192013-02-11sécurité du poste de travailfr
Suite à mon dernier article portant sur le "in-session phishing" et alors que rédigeait une note de cadrage relative à un programme de sensibilisation tournant autour du thème de la sécurité des applications, je me suis dit qu'il était opportun de (re)-partager avec vous quelques...
Publié le 19 Janvier 2009 par Jean-François Audenard dans sécurité du poste de travail

Suite à mon dernier article portant sur le "in-session phishing" et alors que rédigeait une note de cadrage relative à un programme de sensibilisation tournant autour du thème de la sécurité des applications, je me suis dit qu'il était opportun de (re)-partager avec vous quelques techniques de protection disponibles pour les heureux utilisateurs de Mozilla Firefox.

Parmi l'une des dernières extensions que j'ai assez récemment installé, RequestPolicy est assez intéressante : Cette extension bloque par défaut toutes les requêtes en provenance d'une page vers des domaines ou URL n'appartenant à la page d'origine.

Cette extension vous offre un niveau de protection direct contre les attaques dites de CSRF (Cross-Site Request Forgeries) aussi connues sous le joli nom de "session riding attack" (ou "chevauchement de sessions"). Les attaques de CSRF permettent par exemple de lancer une requête vers un site à l’insu de l’utilisateur : Le "hic" c’est que le site qui reçoit la requête ne peut pas distinguer cette requête "contrainte" d’une requête légitime. Imaginez deux minutes que l’appel à cette URL déclenche le changement de votre mot de passe ou provoque un virement bancaire...

Parmi les appels légitimes d’une page vers des URLs "externes" appartenant à des domaines tiers, on retrouve des appels tout à fait corrects : Vers un Google Analytics pour des statistique, une inclusion d’une image depuis le site des "Creatives Commons", etc...

Un moyen efficace, mais un peu contraignant il faut l’avouer : En effet, cette extension requière une configuration pour chacun des sites que vous consultez régulièrement (car sinon, il manque pas mal de choses ici et là)....
Idée: Le top serait d’avoir un système permettant que chaque site déclare (via un fichier de configuration signé numériquement) la liste des URLs/sites qu’il accède ; ce qui permettrait de configurer automatiquement et de façon transparente la liste des URLs "autorisées"... L’extension en est encore à ses débuts et n’est pas considérée comme "stable", laissons-lui un peu de temps et nous aurons un nouvel outil à notre disposition.

J’entends déjà des voix qui diront que je suis paranoïaque : Non, je suis simplement curieux des techniques ou autres moyens qui permettent de se protéger de nouvelles menaces encore mal comprises et qui n’ont de cesse de se développer.

Pour compléter le tableau, l’extension NoScript vous permet de désactiver le JavaScript et autres codes actif par défaut : Vous créez votre "liste blanche" au fur et à mesure. Simple et efficace. Rappelez-vous, le JavaScript est un pré-requis pour les attaques de "in-session phishing"... Il vaut donc mieux le désactiver pour tous les sites, sauf au cas par cas.

3 Commentaires

  • 22 Janvier 2009
    2009-01-22
    par
    Florent
    L'idée de la liste des sites ayant le droit d'accéder à des ressources existe pour flash car le crossdomain est interdit par défaut.
    Un tutorial sur le crossdomain flash ;
    http://wiki.mediabox.fr/tutoriaux/flash/crossdomain.xml
    Certains s'amusent à en faire des listes :
    http://ha.ckers.org/weird/crossdomain.html
    Et d'autres à faire des attaques crossdomain :
    http://jeremiahgrossman.blogspot.com/2008/05/crossdomainxml-invites-cros...

    ps : Marrant TypePad détecte mon post comme du spam même si je réponds correctement à la CAPTCHA...
  • 22 Janvier 2009
    2009-01-22
    par
    Florent
    Depuis ce post j'utilise RequestPolicy et je vais le garder.

    Au début j'avais configuré un mode très strict ne permettant pas à un site d'accéder à des sous-domaines. Là on voit très vite les sites avec une façade statique et des sous-serveurs pour le contenu dynamique. Par exemple deezer avec tous ses serveurs de streaming en round robin. Ou alors des sites dynamiques qui hébergent les images sur un autre serveur. Mais c'est ingérable de surfer.

    Quand on accepte les requêtes sur un même domaine c'est un tout petit peu contraignant mais pas plus que noscript.

    C'est là qu'on se rend compte de certains comportements. Par exemple les passages incessants de google.fr à google.com...
    Ou encore la galère pour lire les flux rss avec du contenu (par exemple les blogs de BD) par google reader.

    Mais on s'y fait. Des fois il faut être laxiste et autoriser un site vers tout internet. Ca fait un peu mal au coeur puis on se rend compte qu'en fait c'est le comportement "normal" du navigateur et là on comprend l'intérêt de l'outil...
  • 20 Janvier 2009
    2009-01-22
    par
    Florent
    J'utilise NoScript tout le temps. D'ailleurs il me détecte des fois des attaques par click-jacking (des faux-positifs).
    Adblock ne rentre peut-être pas dans la catégorie sécurité, mais ça retire pas mal de connexions vers des sites externes (et on a déjà vu des attaques via bannières publicitaires).
    FlashBlock permet aussi de ne pas exécuter les flash automatiquement.
    A une époque j'avais essayé cookiesafe, mais c'est super contraignant à la longue.
    Il y avait aussi SafeHistory contre justement les attaques css permettant de détecter sur quels sites on vient de surfer. https://addons.mozilla.org/en-US/firefox/addon/1502

    PS : D'ailleurs il faut activer plein de javascript pour réussir à poster ici :x

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage