Suite à mon dernier article portant sur le "in-session phishing" et alors que rédigeait une note de cadrage relative à un programme de sensibilisation tournant autour du thème de la sécurité des applications, je me suis dit qu'il était opportun de (re)-partager avec vous quelques techniques de protection disponibles pour les heureux utilisateurs de Mozilla Firefox.
Parmi l'une des dernières extensions que j'ai assez récemment installé, RequestPolicy est assez intéressante : Cette extension bloque par défaut toutes les requêtes en provenance d'une page vers des domaines ou URL n'appartenant à la page d'origine.
Cette extension vous offre un niveau de protection direct contre les attaques dites de CSRF (Cross-Site Request Forgeries) aussi connues sous le joli nom de "session riding attack" (ou "chevauchement de sessions"). Les attaques de CSRF permettent par exemple de lancer une requête vers un site à l’insu de l’utilisateur : Le "hic" c’est que le site qui reçoit la requête ne peut pas distinguer cette requête "contrainte" d’une requête légitime. Imaginez deux minutes que l’appel à cette URL déclenche le changement de votre mot de passe ou provoque un virement bancaire...
Parmi les appels légitimes d’une page vers des URLs "externes" appartenant à des domaines tiers, on retrouve des appels tout à fait corrects : Vers un Google Analytics pour des statistique, une inclusion d’une image depuis le site des "Creatives Commons", etc...
Un moyen efficace, mais un peu contraignant il faut l’avouer : En effet, cette extension requière une configuration pour chacun des sites que vous consultez régulièrement (car sinon, il manque pas mal de choses ici et là)....
Idée: Le top serait d’avoir un système permettant que chaque site déclare (via un fichier de configuration signé numériquement) la liste des URLs/sites qu’il accède ; ce qui permettrait de configurer automatiquement et de façon transparente la liste des URLs "autorisées"... L’extension en est encore à ses débuts et n’est pas considérée comme "stable", laissons-lui un peu de temps et nous aurons un nouvel outil à notre disposition.
J’entends déjà des voix qui diront que je suis paranoïaque : Non, je suis simplement curieux des techniques ou autres moyens qui permettent de se protéger de nouvelles menaces encore mal comprises et qui n’ont de cesse de se développer.
Pour compléter le tableau, l’extension NoScript vous permet de désactiver le JavaScript et autres codes actif par défaut : Vous créez votre "liste blanche" au fur et à mesure. Simple et efficace. Rappelez-vous, le JavaScript est un pré-requis pour les attaques de "in-session phishing"... Il vaut donc mieux le désactiver pour tous les sites, sauf au cas par cas.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens