Discussion:Vulnérabilité des services d'authentification web

	Tâches à accomplir pour Vulnérabilité des services d'authentification web	aide
	Votre aide est la bienvenue pour corriger les liens, présents dans l'article, vers les pages d'homonymie Requête ⇒ Quelques explications pour effectuer ces corrections. -- 15 novembre 2020 à 13:28 (CET) Votre aide est la bienvenue pour corriger les arguments inconnus dans les appels de modèle, présents dans l'article : Modèle {{ Article }} : l'argument «  Bell2008  » ne fait pas partie des arguments gérés par le modèle {{ Article }} (dans «  Bibliographie  ») Modèle {{ Article }} : l'argument «  Bell2008  » ne fait pas partie des arguments gérés par le modèle {{ Article }} (dans «  Bibliographie  ») Modèle {{ Article }} : l'argument «  Bell2008  » ne fait pas partie des arguments gérés par le modèle {{ Article }} (dans «  Bibliographie  ») Modèle {{ Article }} : l'argument «  Bell2008  » ne fait pas partie des arguments gérés par le modèle {{ Article }} (dans «  Bibliographie  ») Modèle {{ Article }} : l'argument «  Bell2008  » ne fait pas partie des arguments gérés par le modèle {{ Article }} (dans «  Bibliographie  ») Modèle {{ Article }} : l'argument «  Bell2008  » ne fait pas partie des arguments gérés par le modèle {{ Article }} (dans «  Bibliographie  ») Modèle {{ Article }} : l'argument «  Bell2008  » ne fait pas partie des arguments gérés par le modèle {{ Article }} (dans «  Bibliographie  ») Modèle {{ Article }} : l'argument «  Bell2008  » ne fait pas partie des arguments gérés par le modèle {{ Article }} (dans «  Bibliographie  ») Modèle {{ Article }} : l'argument «  Bell2008  » ne fait pas partie des arguments gérés par le modèle {{ Article }} (dans «  Bibliographie  ») Modèle {{ Article }} : l'argument «  Bell2008  » ne fait pas partie des arguments gérés par le modèle {{ Article }} (dans «  Bibliographie  ») … -- 10 novembre 2021 à 12:12 (CET)

Bonjour,

Dans le cadre du module IIR du Master TIIR à distance, j'ai en charge la relecture de votre article. La première lecture ne pose pas de difficulté et permet de comprendre ce que l'on entend par vulnérabilité de l'authentification. Voici quelques remarques ou questions suite a ma première relecture. Ces remarques se voulant constructives, n'hésitez pas à revenir vers moi pour toutes questions ou objections les concernant.

Remarques générales[modifier le code]

• Sur le fond :

J'ai une légère incompréhension du plan. Elle concerne la partie « Authentification par cookies ». Je ne comprend pas la raison de son positionnement dans le chapitre « authentification HTTP ». Même si c'est à base de protocole HTTP, il s'agit d'un autre type d'authentification. D'autant plus que dans l'introduction aux protocoles d'authentification vous faites bien la différence entre authentification par mots de passes, cookies d'authentification, ou utilisation de SSL. J'aurai donc plutôt vu "Authentification par cookies" dans une sous section 1.4 par exemple. Ce qui, par la même occasion, supprimera les sous-sous sections (tel que « 1.2.3.1 Vol de cookies »).

Il me semble que la vulnérabilité des services d'authentification porte sur la faiblesse des protocoles d'authentification, des navigateurs, mais comporte également un volet humain (cf Ingénierie sociale). De plus, en m'appuyant sur l'article parlant de l'Authentification forte, il semble que certains protocoles/techniques d'authentifications n'ont pas été évoqués dans votre article (OTP, biométrie, certificats...). Est ce un choix de votre part de ne pas en parler ?

Vous pourriez évoquer les services d'authentification décentralisés tel que OpenID qui est de plus en plus utilisé sur le web. Vous détailler très peu les techniques de chiffrements et les failles qui leur sont associées (cf. Cryptographie asymétrique#Une clé privée inviolable ?). Un chapitre sur des failles célèbres démontrant les vulnérabilités de certains protocoles d'authentification aurait été parlant a mon sens (heartbleed, poodle, etc...).

• Sur la forme :

Je vous laisse le soin de faire une première relecture pour corriger les fautes d'orthographes et les fautes de frappes.

Les acronymes tel HTTP, HTTPS, TLS, SSL devrait-être annotés afin d'y apporter une traduction (cf. Règles par rapport à la ponctuation).

Il y a des sous chapitres entiers qui ne sont pas sourcés. J'ai trouvé quelques sources intéressantes sur IEEE, je vous en propose dans ce premier échange.

Je pense qu'il y a beaucoup de termes qui pourraient comporter des liens internes (ex : brute force, attaque par rejeu, etc...). On devrait s'attendre à avoir beaucoup de liens internes en début d'article et moins sur la fin. Évitez la répétition des liens (tel serveur) (cf Wikipédia:Liens internes).

Evitez les mots anglais dans le wiki français (tel timestamps, digest, etc...).

Peut-être rajouter un ou deux schémas permettrait d'étayer/compléter un peu plus l'article.

Remarques par chapitres[modifier le code]

1.1 Introduction aux protocoles d'authentifications

Aucune source dans le texte (cf Wikipédia:Citez vos sources). Voici une publication qui peut vous permettre d'appuyer certaines de vos affirmations sur les vulnérabilités liées à l'authentification : Mitigating the authentication vulnerabilities in Web applications through security requirements (IEEE).

1.2 Authentification HTTP

La seconde phrase introductive est incomplète, soit il faut y mettre « : » et auquel cas les sous chapitres « http basic » et « http digest » doivent être transformés en une liste a puce, soit il faut la conclure en citant les deux sous chapitres et en mettant un point.

1.2.1 HTTP Basic

Attention : Aucune source pour appuyer le développement de ce chapitre. Voici un lien vers l'article anglais Basic access authentication (en). La rfc1945 (section 11) devrait, a mon sens, faire partie de vos sources.

1.2.2 HTTP Digest

Même remarque que pour « HTTP Basic », il faudrait sourcer vos affirmations : voir rfc 2617, 3310, 4169. elles prennent en considération les vulnérabilités dans leurs évolutions.

1.2.3 Authentification par cookies

Voir dans remarques générales pour ce qui est de son placement dans le plan. Petit détail : Lorsque vous mettez une référence, elle doit-être collée au dernier mot de la phrase. Vous pouvez aussi utiliser la même référence deux fois dans le texte (cf. Aide:Note).

1.2.3.1 Vol de cookies

Quelques sources possibles: source qui traite de XSS : An HTTP Extension for Secure Transfer of Confidential Data (IEEE); Article parlant de httponly (https://www.owasp.org/index.php/HttpOnly#What_is_HttpOnly.3F). Le site OWASP propose un bon nombre d'article en lien avec la vulnérabilité des services d'authentification.

1.2.3.2 Fixation de session

SID ou "session ID" est a remplacer par une note

1.2.3.3 injections de requêtes illégitimes par rebond (ou en anglais Cross-Site Request Forgery)

A mon sens la traduction "(ou en anglais Cross-Site Request Forgery)" devrait être dans le texte en tant que CSRF et annoté. Vous n'avez aucune source pour appuyer ce paragraphe.

1.2.4 Attaque par hameçonnage

L'introduction du sous chapitre 1.2 introduit les points 1.2.1 et 1.2.2 mais ne parle pas de ce point (1.2.4). Peut-être est-il a sortir du sous chapitre 1.2 ou faut-il plutôt en parler dans l'introduction du sous chapitre. Deux publications intéressantes traitant du phishing : An Online User Authentication Scheme for Web-Based services; et Anti-phishing mutual authentication using the visual secret sharing scheme. Publication qui traite du pharming : Dynamic pharming attacks and locked same-origin policies for web browsers.

1.3 Authentification HTTPS

Une vulnérabilité importante de SSL 3.0 est l'attaque de type POODLE. Elle est peut-être a exposer ici.

2.1 Gestionnaire de mot de passes.

Evitez les références dans le titre d'un chapitre (cf Aide:Note#Recommandation concernant les titres de section). Voici une publication visant a comparer l'authentification par mot de passe avec d'autres types d'authentification et qui fournis un cadre permettant la comparaison des schémas d'authentification : The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes. Une autre publication parlant d'OTP et de ses vulnerabilités : A novel dynamic user authentication scheme. Vous détaillez ensuite différents navigateurs sans être exhaustif, peut-être serait-il intéressant d'évoquer deux autres navigateurs très utilisés que sont Safari et Opéra.

2.2 Méfiance des navigateurs

J'ai un peu de mal à comprendre le terme "méfiance"... S'agit-il d'évoquer les contre-mesures mises en place par les éditeurs de navigateurs web ? Les références ne sont pas a placer dans le titre d'un chapitre (cf Aide:Note#Recommandation concernant les titres de section) Utilisez plutôt les notes pour apporter des traductions aux acronymes tel MITB. Voici deux autres sources trouvées sur le sujet permettant d'appuyer vos écrits : Review of Browser Extensions, a Man-in-the-Browser; Mitigating Man-In-The-Browser Attacks with Hardware-based Authentication Scheme.

3 Références

Vous avez un certain nombre de références sans indication de la ou les pages concernées. (cf Aide:Utilisation avancée des références Harvard)

4 Bibliographie

Il y a 17 documents dans votre bibliographie qui ne sont pas référencés dans votre article. Il faut le préciser comme suit : {{Sources à lier}} (cf. Modèle:Réaction à une information non sourcée).

J’espère que ces remarques vous aiderons, et encore une fois, si certaines de mes remarques sont incomprises ou vous semble exagérées, n'hésitez pas à me contacter pour m'en faire part.

Bon courage pour la suite.

Yoann

--

Authentification HTTP

Vous auriez pu vous passer de la phrase qui suit ce titre et et qui n'est pas sourcé.

HTTP Basic

Pour les sources qui sont des RFC, vous pourriez aussi préciser la page qui indique votre affirmation même si le lien renvoit vers ce dernier. Cela permettrat de mieux suivre votre bibliographie.

Attaque par hameçonnage

Pour ce type d'attaque, que vous avez bien expliquer, un accent sur l'extension du protocole DNS qui est le DNSSEC et dont l'objectif est d'authentifier la réponse au requêtes DNS permettra de mieux illustrer ce type d'attaque et certaines contre-mésures.

Authentification par cookies

La reférence du paragraphe [11] de ce texte renvoit vers une source dont l'adresse n'est pas accessible.

B.ramanou (discuter) 7 janvier 2015 à 17:33 (CET)[répondre]

Fixation de session

Vous n'avez pas précisé la source de affirmation "Cette attaque repose sur le fait, que lorsqu’un utilisateur s’authentifie, un nouveau SID ne lui est pas attribué, ce qui rend possible l’utilisation de son SID".

Vulnérabilités des navigateurs

Je voudrais vous rappelez que dans cette section, vous n'avez pas pris en compte les navigateur maison de iOS. Votre présentation de cette section semble donner une perception que les vulnérabilités se résument à la gestion des mots de passe.

Si vous proposez une synthèse sur les différents cas étudiés à la fin du document, cela serait bien.

Bonne Suite Ramanou

Observations de la relecture de Ramanou B.

Remarques[modifier le code]

Quelques petites erreurs d'orthographes, Une correction orthographique serait appréciée.

Je me suis permis de corriger directement quelques fautes d'orthographe, c'est plus simple comme ça. Romain

Vos illustrations ne sont pas sourcées, Vous auriez pu reprendre les illustrations dans votre état de l'art.

Bien que la question de l'authentification a été aborder de façon générale, vous ne vous êtes pas accentué sur l'authentification forte.

Dans votre "section Vulnérabilité des navigateurs", vous n'avez pas pris en compte les navigateur maison de iOS. Votre présentation de cette section semble donner une perception que les vulnérabilités se résument à la gestion des mots de passe.

La sous-sous section "Méfiance des navigateurs" pourrait être conclusion (Attitude à avoir vis à vis des navigateurs) à la vulnérabilité dont vous parlez (MITB). Votre titre pourrait être encore plus parlant si vous l'intitulez "Usurpation d'information via l'attaque MITB". Bref une réadaptation est possible.

Bonjour,

Merci pour vos relectures.

Yoann: nous avons prit le temps de lire tes remarques et allons tenté de corriger au fur et à mesure ces dernières. Nous avons déjà opéré quelques changements : - Déplacement de la partie cookies - ajout des acronymse - ajout et modification de liens internes - ajout de sources dans la partie HTTP Nous allons considérer tes sources et prendre le temps de les lire et voir ce qui peut être ajouté ou non.

Par rapport au faite qu’on a pas évoqué tous les protocole et on a pas trop entrer dans les détailles, c’est que l’article au début été intitulé « Service d’authentification et méfiance des navigateurs « , du coup il fallait pas qu’on détaille les protocole mais il fallait qu’on trouve plutôt comment les navigateur traite ces protocoles et comment ce méfier des navigateurs. Et comme on n’a pas trouvé de ressource par rapport à ce sujet du coup le sujet a été orienté vers les protocoles d’authentification toute en abordant les rôles des navigateurs, et la fin le titre a été changer sous l’accord de M.Gill (si vous avez des propositions par rapport au titre n’hésitez pas).

Les illustrations ont été réalisées on se basant sur les paragraphe associés, et pour les sources on va essayer d’en mettre plus

Remarques générales[modifier le code]

Veillez à traiter la remarque "article orphelin" indiqué par wikipedia en tête d'article.

Je vois que vous avez fait un effort de recherche de nouvelle sources. Ce qui rend l'article encore plus crédible.

Malgré cela, vous n'avez, selon moi, toujours pas assez de source dans chacun de vos paragraphes pour que l'on puisse vérifier vos affirmations(voir les sources proposées dans la relecture du 28/12).

Si dans un paragraphe vous écrivez deux phrases distinctes s'appuyant sur une même page de publication, vous devez avoir 1 référence utilisée deux fois. Si vous citez 2 pages distinctes d'une même publication, alors vous devez avoir 2 références distinctes.

Les vulnérabilités d'authentification faisant l'objet de publications proposent bien souvent des contres-mesures. Vous ne les évoquez pas ou peu dans votre article. Cela est dommageable. Dans les publications proposées en relecture du 28/12, vous trouverez un certain nombre de contres-mesures relatives aux vulnérabilités citées.

Les notes ou références sont a coller au mot précédent.

Remarques par chapitres[modifier le code]

Résumé introductif

Une faute d'accord sur la première phrase de l'article.

Introduction aux protocoles d'authentifications

Attention, il me semble que "protocoles d'authentifications" ne prend pas de "s" a authentification. Internet s’écrit avec une majuscule quand on parle du réseau Internet en général. De plus il pourrait y avoir un lien interne sur le mot Internet.

Un article wikipedia existe également sur les "Applications WEB". Un lien interne sur cookie serait également le bien venu dans ce chapitre.

Authentification HTTP

Exemple d'affirmation non sourcée : "L'authentification HTTP permet de s'identifier auprès d'un serveur HTTP à l’aide d’un nom d’utilisateur et d’un mot de passe. Il existe deux méthodes: la méthode basic et la méthode digest."

Faire un lien interne de "nonce" vers "Nonce cryptographique" me semble intéressant. DNS est un acronyme sans note.

La phrase "Elle utilise une combinaison d'un nom d'utilisateur et mot de passe pour authentifier l'utilisateur" me semble mal formulée. La phrase "Toutefois, elle sera toujours vulnérable à de nombreuses attaques côté client, y compris l'attaque de l'homme du milieu et également vulnérable aux attaques par brute force" peut être également reformulée. Faute de frappe  : "comme une amélioration de la l'authentification HTTP de base". Quelques fautes d'accords sont toujours présentes dans ce chapitre (en particulier dans "Attaque par hameçonnage"). "http" est indiqué parfois en majuscule, parfois en minuscule. A mon sens, il est préférable d'harmoniser tout les acronymes en majuscule. Il reste un bout de phrase qui n'a pas été enlevé : "en anglais)"

Authentification par cookies

Je ne comprend pas cette phrase : "chaque parti ayant accès au réseau peut renifler la valeur de l’abus à l’avenir". La phrase "Alors que SSL/TLS protège contre cette menace, de nombreux sites ne protégeant que la page de connexion avec SSL/TLS puis revienne à du HTTP laissant la valeur du cookie exposé" me semble a reformuler.

La note concernant le SID doit être liée à l'acronyme lui-même et non a sa forme littérale. Attention, ne pas mettre de note ou de référence dans les titres (voir relecture du 28/12)

Les paragraphes "Fixation de session" et "injections de requêtes illégitimes par rebond" (sans majuscule a injections !) comportent de nombreuses affirmations non sourcées. Voici une publication permettant d'appuyer le paragraphe traitant des attaques CSRF et qui apporte des contres-mesures possibles : "Robust Defenses for Cross-Site Request Forgery"

Authentification HTTPS

La RFC sur SSL (6101) est, à minima, à référencer dans ce paragraphe. Une autre publication appuyant l'attaque Man In The Middle : "Man-in-the-Middle Attack to the HTTPS Protocol" Pour appuyer l'exemple de Marlingspike, voici sa publication : "New Tricks For Defeating SSL in Practice"

Il n'y a pas de lien vers un document en face de la référence "Burkholder 2013".

La traduction de "SSL Stripping" par "décapage SSL" ne semble pas la plus judicieuse, peut-être scrutation ou examen.

Le schéma ne comporte aucune explication.

Gestionnaire de mot de passes

Il serait bon de remplacer "La concurrence dans le marché" par "La concurrence sur le marché". proposition : je remplacerai "consiste en" par "consiste à".

Exemple d'affirmation non sourcée : "L’une d’elle consiste en la mise en place d’un système de gestion de mot de passes". Vous sourcez la phrase précédente par le document relatif à la norme ISO. Vous pouvez donc réutiliser la source pour la phrase suivante.

Le second paragraphe ne contient aucune source. Voir les sources proposez en relecture du 28/12.

Un article wikipedia existe sur le typosquattages, un lien interne serait donc apprécié.

Pour être exhaustif, vous pourriez également parler de 2 autres gestionnaire de mot de passe très utilisés : LastPass et RoboForm. Leurs vulnérabilités ont été étudiées dans cette publication : Vulnerability and Risk Analysis of Two Commercial Browser and Cloud Based Password Managers

Les trois paragraphes suivants sont issus de la publication "On The Security of Password Manager Database Formats", or vous ne la référencez qu'une seule fois.

Firefox

Manque de références dans ce chapitre. De plus la seule référence présente est en plein milieu d'une phrase. Peut-être pouvez vous vous appuyer sur https://bugzilla.mozilla.org/ pour identifier les failles et les types d'attaques (en voici une : https://bugzilla.mozilla.org/show_bug.cgi?id=739126)

Chrome

Manque également de référence. Voir peut-être : https://support.google.com/chrome/answer/95606?hl=en

Méfiance des navigateurs

Le chapitre est peu développé, ce qui amène un déséquilibre par rapport aux autres chapitres de l'article. Il serait peut-être souhaitable de l’étoffer un peu. Voir commentaire du 28/12 et les sources proposées.

Peut-être serait-il bon de créer un lien interne vers un futur article "man in the brother".

Notes et références

Un seul nom d'auteur doit apparaitre dans vos références. Les références doivent indiquer uniquement la page qui appuie l'affirmation. Si possible toutes les références de publications devraient indiquer une page de document.

Merci également, si possible, de mettre un commentaire à mes remarques si elles ont été prises en compte ou non.

Bon courage pour la suite

Yoann

Bonjour aux contributeurs,

Je viens de modifier 1 lien(s) externe(s) sur Vulnérabilité des services d'authentification web. Prenez le temps de vérifier ma modification. Si vous avez des questions, ou que vous voulez que le bot ignore le lien ou la page complète, lisez cette FaQ pour de plus amples informations. J'ai fait les changements suivants :

• L'archive https://web.archive.org/web/20131228131856/http://www.dis.uniroma1.it/~monscan/Didattica/progsw08/slide08/S.I.4%20-%20Lo%20standard%20ISO%209126%20sulle%20qualita'%20del%20software,%201991%20-%20ProSW.pdf a été ajoutée à http://www.dis.uniroma1.it/~monscan/Didattica/progsw08/slide08/S.I.4%20-%20Lo%20standard%20ISO%209126%20sulle%20qualita%27%20del%20software,%201991%20-%20ProSW.pdf

SVP, lisez la FaQ pour connaître les erreurs corrigées par le bot.

Cordialement.—InternetArchiveBot (Rapportez une erreur) 23 juillet 2018 à 10:53 (CEST)[répondre]