Résumé
L'authentification sur un site web à l'aide d'un mot de passe implique un processus de connexion en plusieurs étapes, où chaque étape implique des décisions critiques en matière de politique et de mise en œuvre qui ont un impact sur la sécurité de la connexion et la facilité d'utilisation. Alors que la communauté de la sécurité a identifié les meilleures pratiques pour chaque étape du processus de connexion, nous manquons actuellement d'une large compréhension des politiques de connexion aux sites web dans la pratique. Les travaux antérieurs s'appuyaient sur l'inspection manuelle des sites web, produisant des évaluations d'une petite population de sites biaisés vers les sites les plus populaires.
Dans ce travail, nous cherchons à fournir une image plus complète et systématique des politiques de connexion aux sites web dans le monde réel. Nous développons une méthode automatisée pour déduire les politiques de connexion des sites web et nous l'appliquons aux domaines du Google CrUX Top 1 Million. Nous évaluons avec succès les politiques de connexion sur 18 000 à 359 000 sites (variant en fonction de l'étape de connexion considérée), ce qui permet de caractériser une population de deux à trois ordres de grandeur plus importante que les études précédentes. Nos résultats révèlent l'étendue de l'existence de politiques de connexion non sécurisées et identifient certaines causes sous-jacentes. En fin de compte, notre étude fournit la base empirique la plus complète à ce jour sur l'état de la sécurité des connexions aux sites web, et met en lumière les directions à suivre pour améliorer l'authentification en ligne.
Conclusion
Dans cette étude, nous avons réalisé la plus grande évaluation des politiques de connexion aux sites web à ce jour, en évaluant 18 000 à 359 000 sites à travers divers éléments de politique (un ordre de grandeur supérieur à celui des travaux antérieurs). Nos résultats établissent une base empirique sur l'état de l'authentification moderne sur le web, en caractérisant les politiques de connexion peu sûres qui existent. Nous synthétisons ici nos résultats en leçons pour améliorer l'authentification web à l'avenir.
Importance des mesures d'authentification Web à grande échelle. En effectuant des mesures à grande échelle, nous avons découvert des aspects uniques de l'authentification en ligne, notamment des politiques de connexion variées déployées par des sites dans différentes catégories de classement. Par exemple, bien qu'il y ait peu de preuves de l'utilisation de la tolérance aux fautes de frappe dans la pratique, nous avons trouvé des centaines de sites déployant la tolérance aux fautes de frappe, et nous avons identifié que les politiques prennent principalement en compte les fautes de casse de lettres. Cette constatation a des implications en matière de sécurité, car des travaux récents ont montré que les systèmes de tolérance aux fautes de frappe, s'ils sont plus faciles à utiliser, sont aussi beaucoup plus vulnérables aux attaques par credential stuffing. Ces domaines nouvellement identifiés, y compris un site du top 50, motivent une étude plus approfondie du compromis sécurité-utilisabilité de la tolérance aux fautes de frappe. Nous avons également observé certaines sous-populations présentant des pratiques peu sûres, telles que les mauvaises configurations HTTPS des sites gouvernementaux et éducatifs, et la désactivation fréquente du collage de formulaires de connexion par les domaines indiens les plus importants. Une fois ces sous-populations identifiées, les efforts de la communauté pour informer les parties concernées et encourager les mesures correctives peuvent conduire à de réelles améliorations en matière d'authentification en ligne.
Cependant, il est extrêmement difficile de réaliser des mesures d'authentification sur le web à grande échelle, étant donné l'hétérogénéité du web et l'ingénierie extensive requise pour l'automatisation. Nos données et nos résultats finiront par être périmés, et des recherches ultérieures sur l'authentification en ligne seront nécessaires. Les travaux futurs devraient affiner les méthodes de mesure existantes, par exemple en développant des classificateurs plus précis ou en identifiant des moyens de mieux gérer la diversité du web.
Influence des frameworks web populaires. Nous avons découvert que plusieurs problèmes de sécurité de connexion étaient dus à des décisions de mise en œuvre prises par des frameworks web populaires. Par exemple, environ un cinquième des domaines vulnérables à l'énumération des utilisateurs semblent simplement utiliser les messages d'échec de connexion par défaut de WordPress. De même, la politique de tolérance aux fautes de frappe la plus courante est probablement due à la manière dont les logiciels côté serveur les plus répandus modifient les mots de passe. Si ces cadres web peuvent être à l'origine des problèmes d'authentification les plus courants, ils peuvent aussi être la source de solutions. Les mises à jour logicielles qui répondent aux problèmes d'authentification pourraient réduire considérablement les populations vulnérables. Par ailleurs, si les frameworks web les plus répandus prenaient en charge les pratiques recommandées par défaut, telles que la limitation de débit (déployée par une minorité de sites seulement), nous observerions probablement des niveaux d'adoption nettement plus élevés.
Amélioration de l'écosystème HTTPS sur le web. Comme indiqué plus haut, notre analyse de l'utilisation du protocole HTTPS lors des connexions sur le web montre que l'utilisation du protocole TLS s'est considérablement améliorée par rapport aux observations antérieures. Les efforts déployés par la communauté pour favoriser l'adoption du protocole TLS ont permis d'améliorer la sécurité des connexions en ligne en général. Toutefois, il reste du travail à faire car certains sites utilisent encore des canaux de communication non sécurisés. Nous avons constaté que le contenu mixte reste un problème important sur les pages de connexion et, compte tenu de l'importance des sites web qui proposent encore des pages de connexion sur HTTP, des efforts supplémentaires sont nécessaires pour inciter les opérateurs de sites web à faire migrer toutes les pages sensibles (par exemple, les pages de connexion) vers HTTPS uniquement. Dans de nombreux cas, nous supposons que les exploitants ne savent pas que les pages de connexion sont encore disponibles sur HTTP, ou qu'ils ne sont pas conscients des conséquences de l'hébergement de pages de connexion HTTP. Dans ce cas, des campagnes de sensibilisation peuvent être efficaces pour réduire cette population.
Combinaison d'approches crowdsourcées et automatisées. Notre étude de cas du projet crowdsourcé Plain Text Offenders (PTO) montre que même les efforts populaires de crowdsourcing ont une couverture limitée (nous avons découvert des centaines de nouveaux sites stockant des mots de passe en clair) et doivent traiter des données périmées (de nombreux domaines figurant sur la liste PTO n'y appartiennent plus). D'autant plus que ces projets servent en partie à "nommer et faire honte" aux sites qui se comportent mal, les données périmées peuvent inutilement salir les sites qui prennent des mesures correctives. Toutefois, ces efforts peuvent permettre d'identifier des cas d'insécurité que les méthodes automatisées ne peuvent pas identifier, et constituent donc des approches très complémentaires. Nous préconisons des efforts hybrides pour aller de l'avant, où les données recueillies par la foule peuvent être complétées par des mesures automatisées, et alimentées par l'automatisation pour permettre des réévaluations périodiques (produisant de nouveaux résultats).
Favoriser l'adhésion aux normes modernes. Alors que les normes modernes fournissent des lignes directrices pour des politiques sûres et utilisables à chaque étape de la connexion (à l'exception de la tolérance aux fautes de frappe, qui mérite d'être étudiée plus avant et incorporée dans les lignes directrices), nous observons le non-respect de ces normes par d'importantes populations de sites dans l'ensemble de nos résultats. Il convient d'étudier plus avant les raisons pour lesquelles les exploitants de sites web n'adoptent pas ces normes, afin de déterminer les meilleurs moyens d'influer sur le changement. L'un des leviers possibles pour améliorer les pratiques d'authentification pourrait être l'application de réglementations. Par exemple, nous avons observé à la section 4.5 que de nombreux domaines stockant des mots de passe en clair se trouvent dans l'Union européenne, où le RGPD pourrait être utilisé pour sanctionner ces pratiques peu sûres. Une telle application pourrait sensibiliser et inciter à remédier aux comportements peu sûrs des sites web.
Partager