Menaces contre Lync Web App

Fixation de session

Lors d’une attaque par fixation de session, une personne malveillante définit le jeton de session de l’utilisateur avant que la session soit établie entre l’utilisateur et le serveur Web. Ainsi, l’intrus dispose déjà de l’ID de session et il n’a pas à l’identifier une fois la session établie. Lync Web App a été conçu de manière à minimiser ce risque.

Détournement de session

Lors d’un détournement de session, l’intrus accède à la session d’un utilisateur en reniflant le trafic non chiffré sur le réseau. Lync Web App minimise ce risque en utilisant SSL comme protocole de communication par défaut entre le client et Lync Web App.

Vol de session

Lors d’une attaque par vol de session, une personne malveillante tente d’utiliser une session établie entre un utilisateur et une application Web afin d’exécuter des commandes en se faisant passer pour l’utilisateur. Pour ce faire, elle envoie un message électronique à l’utilisateur, dans lequel elle l’invite à visiter un site Web conçu dans l’unique but d’exécuter un logiciel malveillant. L’intrus peut exécuter diverses commandes telles que l’ouverture de pare-feu, la suppression de données, ainsi que d’autres commandes au sein du réseau interne.

Lync Web App est conçu pour empêcher une personne mal intentionnée d’utiliser une telle méthode pour contrôler la session Lync Web App d’un utilisateur par le biais d’un site Web malveillant.

Scripts intersite (CSS, XSS, insertion de code)

Une attaque par scripts intersite (également appelée attaque CSS, XSS ou par insertion de code) se produit lorsqu’un intrus utilise une application Web pour envoyer un logiciel malveillant, généralement sous forme de script, à un utilisateur cible. Le navigateur de l’utilisateur cible exécute alors le script, car il n’est pas en mesure de détecter qu’il s’agit d’un script non approuvé. Une fois le script malveillant exécuté, il peut accéder à des cookies, des jetons de session et d’autres informations sensibles qui sont enregistrées par le navigateur de l’utilisateur final. Ce type de script peut également réécrire le contenu de la page HTML.

Les attaques par scripts intersite peuvent être enregistrées ou réfléchies. Dans le cas d’une attaque enregistrée, le script malveillant est enregistré de manière permanente sur le serveur ciblé par l’attaque, par exemple dans les bases de données, les forums de messages, les journaux de visiteurs ou les champs de commentaires. Lorsque l’utilisateur accède au serveur Web, son navigateur exécute le script. Dans une attaque par scripts intersite réfléchie, l’utilisateur accepte de cliquer sur un lien ou de soumettre un formulaire contenant un logiciel malveillant. Lorsqu’il clique sur le lien pour soumettre les données du formulaire, l’URL (qui contient le logiciel malveillant) est envoyée au serveur Web avec les données de l’utilisateur. Lorsque le site Web réaffiche ses informations à l’utilisateur, celles-ci semblent provenir d’une source approuvée. Toutefois, elles contiennent le logiciel malveillant qui est ensuite exécuté sur son ordinateur.

Ce problème de sécurité existe uniquement dans les sites Web qui ne valident pas correctement les entrées des utilisateurs. Lync Web App exécute une validation renforcée des entrées des utilisateurs pour parer à cette menace.

Menaces liées aux jetons

HTTP est un protocole sans connexion et chaque page Web requiert plusieurs demandes et réponses du serveur pour achever la page. Au cours d’une session, plusieurs méthodes permettent de conserver la persistance de la session entre les demandes de page. L’une des méthodes utilisées par le serveur Web consiste à émettre un jeton au navigateur client qui effectue la demande. Il s’agit de la méthode utilisée par Lync Web App.

Une fois que Lync Web App a correctement authentifié un utilisateur interne ou externe, il émet un jeton dans un cookie de session, puis le renvoie au client. Ce cookie permet d’accéder au serveur pour une seule session. Par conséquent, pour garantir un fonctionnement optimal, les clients doivent accepter les cookies provenant de Lync Web App. Une personne malveillante peut voler et réutiliser ce jeton. Lync Web App réduit les risques liés aux jetons en émettant uniquement un cookie de session. Il utilise le protocole SSL (lorsqu’il est activé) pour acheminer le jeton, puis l’efface à la fin de la session. De cette façon, le jeton expire après une période d’inactivité du client.

Persistance de jeton de session

Dans une attaque par persistance de jeton de session (token ping ou token keep-alive en anglais), un utilisateur authentifié envoie à plusieurs reprises une demande au serveur Web pour éviter que la session, et par conséquent le jeton de session, expire. Une attaque par persistance de jeton de session peut être considérée comme une menace car elle contourne la logique d’expiration intégrée au serveur. Toutefois, le risque est faible car l’utilisateur doit préalablement être authentifié.

Hameçonnage (Phishing ou Password Harvesting Fishing)

L’hameçonnage est une attaque, similaire à une attaque de l’intercepteur, basée sur l’usurpation d’identité. La personne malveillante non autorisée tente d’obtenir des informations auprès d’utilisateurs en se faisant passer pour une entité autorisée à détenir ces informations. Pour ce faire, l’utilisateur est généralement invité à entrer un mot de passe ou un numéro de compte sur un site Web, un formulaire Web ou un message électronique qui s’avère être un faux. Vous devez mettre en garde vos utilisateurs en leur indiquant les méthodes utilisées par des personnes malveillantes pour tenter d’obtenir leurs informations personnelles.