Chiffrement et hash en PHP contre l'attaque Man in the middle

IV. Protection contre le vol de session▲

IV-A. Identification par l'environnement▲

IV-A-1. L'adresse IP▲

Pour �viter le vol de session, l'enregistrement de l'adresse IP appara�t comme une solution �vidente. En effet, une machine -> une session -> un utilisateur. Si l'IP change, cela signifie que la session a �t� vol�e et utilis�e sur une autre machine. Pour r�aliser ce contr�le, c'est tr�s simple, une fonction de ce type retourne l'IP de l'utilisateur.

Fonction PHP r�cup�rant l'IP de l'utilisateur

Sélectionnez


/**
    * @desc R�cup�re l'adresse IP du client
    * @return string
    * @access public
    */
    public function getIP()
    {
        if(getenv('HTTP_X_FORWARDED_FOR'))
        {
            return getenv('HTTP_X_FORWARDED_FOR');
        }
        elseif(getenv('HTTP_CLIENT_IP'))
        {
            return getenv('HTTP_CLIENT_IP');
        }
        else
        {
            return getenv('REMOTE_ADDR');
        }
    }

En th�orie, c'est parfait.
En pratique, cette m�thode est pour moi inutile et m�me parfois emb�tante, d'une part l'IP n'est pas une valeur s�re, d'autre part l'IP d'un m�me utilisateur peut changer au cours du temps.

Session Hijacking et IP spoofing

Je ne m'attarderai pas trop sur ces notions, il y a juste besoin de savoir qu'une IP, �a se vole. Pour en savoir plus, vous pouvez aller voir les articles de David Burgermeister et Jonathan Krier ( ici ).

IP instable

Certains fournisseur comme AOL et certaines entreprises ou universit�s renouvellent tr�s souvent l'IP de leurs ordinateurs, rendant impossible l'existence d'une session se reposant dessus.
Fonder son authentification sur l'IP revient � renoncer � beaucoup d'utilisateurs potentiels.

IV-A-2. Variable d'environnement▲

Une autre m�thode pour avoir une "signature" d'un visiteur est d'utiliser son environnement, c'est-�-dire son explorateur, son syst�me d'exploitation, etc.
On est s�r que ces donn�es ne changeront pas pendant la session.
Par contre, comme l'IP, c'est loin d'�tre involable. En fait, c'est m�me inutile car si le hacker a d�j� vol� l'identifiant de session par l'�coute du r�seau, il aura aussi captur� ceci :

ent�te HTTP — Capture des ent�tes HTTP lors de l'appel d'une page

IV-A-3. Conclusion▲

En conclusion, se fier � des donn�es li�es � un utilisateur pour fiabiliser la session n'est pas une bonne id�e, car ces donn�es proviennent justement de l'utilisateur ;-) et la premi�re r�gle en d�veloppement d'application web est de ne jamais faire confiance � ce qui vient de l'ext�rieur, adresse IP comprise.
Il faut �videmment relativiser, le vol d'adresse IP n'est pas donn� � tout le monde, mais je d�conseille malgr� tout cette technique � cause de l'instabilit� de l'IP.
Le meilleur moyen de prot�ger sa session d'un vol est de chiffrer la session enti�re gr�ce au SSL que nous allons voir un peu plus loin.

IV-B. Syst�me de ticket▲

Un hacker qui vole une session signifie que l'utilisateur r�el est lui aussi connect� sur le site, sinon il n'y aurait pas de session. Ce hacker volera une seule fois l'identifiant de session, puis l'utilisera.
En somme, il y a 2 utilisateurs sur le m�me compte.
L'id�e est de donner un ticket � l'utilisateur qui demande une page. Pour obtenir la suivante, il faudra renvoyer ce ticket. Si celui-ci ne correspond pas, la session est annul�e; si il correspond, un nouveau ticket est d�livr�.

Ainsi, voici le d�roulement lors d'un vol de session

Le visiteur demande une page
On g�n�re un ticket (exemple : toto123), on le m�morise cot� serveur et on l'envoie cot� client.
L'utilisateur demande une nouvelle page
On r�cup�re le num�ro du ticket cot� client, on le compare avec celui en m�moire c�t� serveur
Le num�ro correspond, on envoie la page et on renouvelle le ticket (exemple : titi456)
Le hacker demande ensuite la page (il conna�t l'identifiant de session et poss�de un ticket qui lui est propre)
Le ticket du hacker ne correspond pas avec celui de l'utilisateur, on coupe la session

En pratique, il suffit de cr�er un cookie que l'on renouvelle � chaque page, on le stocke aussi en session.

cr�ation du ticket

Sélectionnez


$ticket = uniqid(strval(mt_rand() (1, 999999)));
$_COOKIE['ticket'] = $ticket;
$_SESSION['ticket'] = $ticket;

Lors de l'appel d'une nouvelle page, on v�rifie.

V�rification du token

Sélectionnez


if ($_COOKIE['ticket'] == $_SESSION['ticket'])
{
	// On renouvelle
	$ticket = uniqid(strval(mt_rand() (1, 999999)));
	$_COOKIE['ticket'] = $ticket;
	$_SESSION['ticket'] = $ticket;
}
else
{
	// On DECONNECT
}

Cette technique pr�sente tout de m�me une grosse faiblesse. Si le hacker vole la session alors que l'utilisateur vient de terminer sans se d�connecter, le hacker r�ussira.
En effet, le hacker vole l'identifiant de session et le ticket d�livr� au membre lorsque celui-ci appelle la derni�re page, le hacker les utilise ensuite comme les siens. Pour le serveur, il n'y a aucun moyen de voir la permutation, vu qu'il ne voit qu'un seul utilisateur tout le long.

Il faut forcer du mieux possible l'utilisateur � se d�connecter manuellement apr�s chaque session.

Vous vous dites peut-�tre que vous avez d�j� vu l'id�e quelque part.
En effet, PHP d�finit la fonction session_regenerate_id( ).
Cette fonction fait globalement la m�me chose que notre syst�me de ticket, � la diff�rence (�norme) que l'ancienne session n'est pas effac�e et qu'elle ne s'applique pas � un ticket arbitraire mais � l'identifiant de session. Ainsi, chaque appel � session_regenerate_id ajoute une nouvelle session et augmente les chances de se faire voler une de ses sessions.
Heureusement, depuis PHP 5.1.0, cette fonction prend le param�tre facultatif [bool delete_old_session]. Mais attention, celui-ci est � false par d�faut.

Copyright © 25/01/2007 Guillaume Affringue. Aucune reproduction, même partielle, ne peut être faite de ce site ni de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.