Expiration de session : suivez les bonnes pratiques sécurité avec TIMIFY

Les prestataires de services portent la lourde responsabilité de protéger les comptes clients et leurs données personnelles, face à de nouvelles technologies et types d’attaques en constante évolution.

Chez TIMIFY, nous faisons le maximum pour proposer des solutions qui dépassent les mesures de sécurité recommandées et ainsi offrir la tranquillité d’esprit à nos clients qui développent leur entreprise avec notre système.
​​​​​​​

Quel est le danger pour mon entreprise ?

Bien que les risques liés à la sécurité concernent l’ensemble de vos opérations, cet article se concentre sur un problème particulier : le piratage de session.

Il s’agit d’un type d’attaque qui profite d’une faiblesse de fonctionnement de l’authentification utilisateur et de la gestion des sessions pour détourner l’identité d’un réel utilisateur et contrôler son accès à votre système et à ses données.

La Open Web Application Security Project (OWASP), l’une des organisations leader sur le secteur de la sécurité logicielle, place le piratage de session en seconde position parmi les plus grandes menaces sur les systèmes logiciels, et ce en raison “du design et de l’application de la plupart des contrôles d’identité et d’accès.”

“Une fois qu’une session authentifiée est établie, l’ID session (ou token) est temporairement équivalent à la méthode d’authentification la plus forte utilisée par l’application, comme le nom d’utilisateur et le mot de passe, les phrases secrètes, les mots de passe à usage unique (OTP), les certificats clients numériques, cartes à puce ou biométrie (empreinte digitale ou reconnaissance de l’iris.)”

– OWASP Session Management Cheat Sheet

Afin de soutenir les clients TIMIFY dans cette lutte, nous avons lancé deux nouvelles fonctionnalités, qui, utilisées ensemble, renforcent les défenses de la gestion des sessions contre les attaques. 
​​​​​​​

Réduire la durée de la session

Cela vous permet de fixer une durée de validité pour l’ID session particulièrement sensible d’un utilisateur individuel, au terme de laquelle une reconnexion sera demandée, même si l’utilisateur a été continuellement actif.

Les meilleures pratiques concernant les sessions utilisateurs recommandent de leur attribuer une durée minimum, afin de réduire les opportunités d’accès à votre compte par les pirates (notre durée par défaut est de 48 heures).

La limitation de durée est simple à mettre en place et peut s’appliquer par jour, heures ou minutes.

Les exemples ci-dessous montrent comment une durée de session mal implémentée peut être facilement exploitée.

Scenario #1

Un utilisateur est connecté sur TIMIFY via un appareil public ou partagé. Lorsqu’il a terminé, il ferme le navigateur. Mais si la durée de session est trop longue, un utilisateur malveillant pourrait poursuivre la session simplement en rouvrant le navigateur.

Même si l’utilisateur clique sur le bouton déconnexion avant de quitter l’appareil, l’ID session survit et peut être détourné depuis n’importe où sans autre authentification.

​​​​​​​Scenario #2

Détourner une session utilisateur ne nécessite même pas d’accéder physiquement à votre appareil. Si vous utilisez TIMIFY avec un WIFI non sécurisé ou public, un utilisateur malveillant peut intercepter votre navigateur ou les cookies Internet et s’en servir pour accéder à votre session sans vous authentifier à nouveau.

Là encore, plus la session est longue, plus le pirate a de chances d’y parvenir

Activer la déconnexion automatique

En complément de la réduction des durées de sessions, TIMIFY vous permet d’améliorer encore la sécurité en forçant l’expiration d’une session utilisateur suite à une période d’inactivité.

À l’issue d’une durée d’inactivité déterminée, les utilisateurs seront invités à confirmer leur activité sur leur compte, et sans réponse de leur part, ils seront automatiquement déconnectés.

Ce dispositif protège votre système des utilisateurs malveillants qui profiteraient d’une connexion en cours sur un appareil laissé vacant.

Il est particulièrement pertinent pour les fournisseurs de services, dont le staff est souvent amené à utiliser des appareils partagés ou portables, tout en délivrant le service en question et à s’interrompre.

La longueur de ce délai d’inactivité dépend de la nature des données que votre système accueille, mais l’OWASP donne ici quelques recommandations :

“L’OWASP recommande aux développeurs d’applications d’implémenter des délais d’inactivité courts (2 à 5 minutes) pour les applications recueillant des données très sensibles, telles que des informations financières. Un délai plus long (15 à 30 minutes) est acceptable pour des applications moins risquées.”

– Auth0 blog - Balance User Experience and Security to Retain Customers

Les scénarios ci-dessous montrent comment l’absence de déconnexion pour inactivité peut donner lieu à des piratages.

Scenario #1

Un physiothérapeute dispose d’un ordinateur portable ou d’une tablette dans sa salle de consultation afin d’accéder facilement aux détails du client, mais abandonne fréquemment l’appareil, le temps de réaliser un traitement ou d’aller chercher du matériel.

De même, les ordinateurs se trouvant dans un open space, un espace de coworking ou une zone d’accueil deviennent accessibles lorsque les employés quittent l’appareil pour aider un visiteur ou se rendre dans la cuisine.

En quelques minutes, un utilisateur malveillant peut prendre le contrôle de l’appareil et obtenir un accès autorisé à vos données ou voler les informations de connexion pour les utiliser plus tard.

Scenario #2

Un ordinateur portable professionnel peut être oublié dans un train ou un café, ou simplement volé.

Sans délai d’inactivité, un pirate peut simplement prendre l’appareil et accéder à votre compte TIMIFY ultérieurement, lorsqu’il n’est plus dans un lieu public.

Grâce à un délai d’inactivité court, la fenêtre d’opportunité criminelle dans les lieux publics est fortement réduite et risquée.
​​​​​​​

Impliquez votre équipe dans l’intégration

Naturellement, la plupart des équipes seront contrariées d’être régulièrement déconnectées de leur compte et forcées de rentrer à nouveau leurs informations.

C’est d’ailleurs une requête de changement très courante sur les applis TIMIFY Mobile et Tablette, lorsque nous forçons les utilisateurs à s’identifier à chaque fois qu’ils ouvrent l’application, en raison de l’augmentation des risques liés aux appareils portables.

C’est pourquoi il est crucial d’expliquer clairement à votre équipe pourquoi ces fonctionnalités sont mises en place.

Discutez avec votre équipe d’experts sécurité de délais de session et d’inactivité raisonnables, afin de trouver l’équilibre entre expérience utilisateur et sécurité.

De plus, communiquez efficacement auprès de vos employés sur l’intérêt de la combinaison de mesures simples telles que la durée limitée de session et le délai d’inactivité pour lutter contre le piratage de sessions.

La gêne mineure occasionnée par des connexions répétées est tout simplement incomparable avec les conséquences qu’une fuite de données pourrait avoir sur l’entreprise, sa réputation et ses clients.

N’attendez plus, contactez notre équipe TIMIFY pour obtenir plus d’informations et de conseils sur l’optimisation des contrôles de gestion de sessions.