Partager via


Menaces envers Office Communicator Web Access

Dernière rubrique modifiée : 2009-03-09

Cette rubrique décrit les menaces potentielles envers Office Communicator Web Access.

Fixation de session

Lors d'une attaque par fixation de session, une personne malveillante définit le jeton de session de l'utilisateur avant que la session soit établie entre l'utilisateur et le serveur Web. Ainsi, l'intrus dispose déjà de l'ID de session et il n'a pas à l'identifier une fois la session établie. Office Communicator Web Access a été conçu de manière à minimiser ce risque.

Détournement de session

Lors d'un détournement de session, l'intrus accède à la session d'un utilisateur en reniflant le trafic non chiffré sur le réseau. Office Communicator Web Access minimise ce risque en utilisant SSL comme protocole de communication par défaut entre le client et le serveur Office Communicator Web Access.

Vol de session

Lors d'une attaque par vol de session, une personne malveillante tente d'utiliser une session établie entre un utilisateur et une application Web afin d'exécuter des commandes en se faisant passer pour l'utilisateur. Pour ce faire, elle envoie un message électronique à l'utilisateur, où elle invite ce dernier à visiter un site Web conçu dans l'unique but d'exécuter du code malveillant. L'intrus peut exécuter diverses commandes telles que l'ouverture de pare-feu, la suppression de données, ainsi que d'autres commandes au sein du réseau interne.

Office Communicator Web Access est conçu pour empêcher une personne mal intentionnée d'utiliser une telle méthode pour contrôler la session Office Communicator Web Access d'un utilisateur par le biais d'un site Web malveillant.

Scripts intersite (CSS, XSS, insertion de code)

Une attaque par scripts intersite (également appelée attaque CSS, XSS ou par insertion de code) se produit lorsqu'un intrus utilise une application Web pour envoyer du code malveillant à un utilisateur cible. Le code malveillant est généralement inclus dans un script. Le navigateur de l'utilisateur cible exécute alors le script, car il n'est pas en mesure de détecter qu'il s'agit d'un script non approuvé. Une fois le script malveillant exécuté, il peut accéder à des cookies, des jetons de session et d'autres informations sensibles qui sont enregistrées par le navigateur de l'utilisateur final. Ce type de script peut également réécrire le contenu de la page HTML.

Les attaques par scripts intersite peuvent être enregistrées ou réfléchies. Dans le cas d'une attaque enregistrée, le script malveillant est enregistré de manière permanente sur le serveur ciblé par l'attaque, par exemple dans les bases de données, les forums de messages, les journaux de visiteurs ou les champs de commentaires. Lorsque l'utilisateur accède au serveur Web, son serveur exécute le script. Dans une attaque par scripts intersite réfléchie, l'utilisateur accepte de cliquer sur un lien ou de soumettre un formulaire contenant du code malveillant. Lorsqu'il clique sur le lien pour soumettre les données du formulaire, l'URL (qui contient le code malveillant) est envoyée au serveur Web avec les données de l'utilisateur. Lorsque le site Web réaffiche ses informations à l'utilisateur, celles-ci semblent provenir d'une source approuvée. Toutefois, elles contiennent le code malveillant qui est ensuite exécuté sur son ordinateur.

Cette vulnérabilité existe uniquement dans les sites Web qui ne valident pas correctement les entrées des utilisateurs. Office Communicator Web Access exécute une validation renforcée des entrées des utilisateurs pour parer à cette menace.

Menaces liées aux jetons

HTTP est un protocole sans connexion et chaque page Web requiert plusieurs demandes et réponses du serveur pour achever la page. Au cours d'une session, plusieurs méthodes permettent de conserver la persistance de la session entre les demandes de page. L'une des méthodes utilisée par le serveur Web consiste à émettre un jeton au navigateur client qui effectue la demande. Il s'agit de la méthode utilisée par Office Communicator Web Access.

Une fois que le serveur Office Communicator Web Access a correctement authentifié un utilisateur interne ou externe, il émet un jeton dans un cookie de session, puis le renvoie au client. Ce cookie permet d'accéder au serveur pour une seule session. Par conséquent, pour garantir un fonctionnement optimal, les clients doivent accepter les cookies provenant du serveur Office Communicator Web Access. Une personne malveillante peut voler et réutiliser ce jeton. Office Communicator Web Access réduit les risques liés aux jetons en émettant uniquement un cookie de session. Il utilise SSL (lorsque ce protocole est activé) pour acheminer le jeton, puis vide le jeton à la fin de la session. De cette façon, le jeton expire après une période d'inactivité du client.

Persistance de jeton de session

Dans une attaque par persistance de jeton de session (token ping ou token keep-alive en anglais), un utilisateur authentifié envoie à plusieurs reprises une demande au serveur Web pour éviter que la session, et par conséquent le jeton de session, expire. Une attaque par persistance de jeton de session peut être considérée comme une menace car elle contourne la logique d'expiration intégrée au serveur. Toutefois, le risque est faible car l'utilisateur doit être authentifié au préalable.

Hameçonnage (Phishing ou Password Harvesting Fishing)

L'hameçonnage est une attaque, similaire à une attaque de l'intercepteur, basée sur l'usurpation d'identité. La personne malveillante non autorisée tente d'obtenir des informations auprès d'utilisateurs en se faisant passer pour une entité autorisée à détenir ces informations. Pour ce faire, l'utilisateur est généralement invité à entrer un mot de passe ou un numéro de compte sur un site Web, un formulaire Web ou un message électronique qui s'avère être un faux. Vous devez mettre en garde vos utilisateurs en leur indiquant les méthodes utilisées par des personnes malveillantes pour tenter d'obtenir leurs informations personnelles.