ReSIST - 18 septembre 2012 - Framework BeEF -- Utilisateurs et authentification
La réunion du groupe ReSIST du mardi 18 septembre 2012 a abordé les thèmes du framework BeEF (attaque d'un navigateur) et des comportements des utilisateurs vis-à-vis de systèmes d'authentification unique de type CAS.
Présentations :
- M. Etienne Maynier, MDAL [PDF ]
BeEF : The Browser Exploitation Framework
Les XSS (Cross Site Scripting) sont des vulnérabilités qui prennent de plus en plus d'importance depuis leur découverte avec la "webisation" des interfaces et le développement des fonctionnalités dans les navigateurs. Le temps où les XSS ne permettaient que d'extraire les cookies est révolu, il est cependant bien difficile de définir précisément les possibilités d'une XSS. BeEF (Browser Exploitation Framework) est un outil d'exploitation de XSS incluant un système de commande du navigateur devenu "zombie". Le projet se veut modulaire et permet donc d'ajouter rapidement de nouvelles attaques qui s'intègrent dans le framework, il inclut également une interface avec metasploit.
L'objectif de cette présentation est de présenter par des démonstrations et des explications avec code à l'appui les possibilités d'attaques sur un navigateur par XSS. - M. Jérôme Bousquié, IUT de Rodez [PDF ]
Comportement des utilisateurs dans l'usage de mécanismes d'authentification
Les établissements de l'enseignement supérieur utilisent massivement comme portail d'authentification web SSO l'implémentation de JASIG du serveur d'authentification centralisée CAS (http://www.jasig.org/cas). Par ailleurs, les bases de comptes utilisées pour l'authentification CAS sont souvent les mêmes que celles utilisées pour l'authentification sur d'autres services non web : authentification windows active directory, espace de stockage en ligne, e-mail, applications métier, etc.
Enfin, afin de faciliter l'accès à des ressources extérieures, de très nombreux établissements ont rejoint une fédération d'identités et de services : la fédération Renater, basée sur Shibboleth.
Les serveurs CAS des établissements sont habituellement utilisés in fine pour procéder aux authentifications sur la fédération d'identités.
Cette présentation vise à montrer comment pourraient être utilisés les serveurs CAS institutionnels pour récupérer les identifiants d'utilisateurs par un simple hameçonnage ciblé. Les contre-mesures à mettre en œuvre sont ensuite développées.
Le site de ReSIST (Réseaux et Systèmes Informatiques Sécurisés à Toulouse).