Skip to main content

Protection du système et des communications

Communication sécurisée

TLS (Transport Layer Security) est un protocole de protection des communications Internet. Le protocole TLS garantit que les communications ne sont pas lues ou modifiées par une autre entité. Blackboard utilise le protocole TLS pour sécuriser les communications entre le serveur Web et la machine cliente.

Gestion des sessions

Cycle de vie des identifiants de session

Chaque session dans Blackboard est protégée par un identifiant de session cryptographiquement sécurisé, stocké dans un cookie de navigateur. Pour vous protéger des attaques par fixation de session, l'identifiant de session connaît une rotation lors du chargement de la page, après la connexion et la déconnexion.

Cookies

Nous définissons par défaut deux indicateurs de cookies simples comme mesure supplémentaire contre le détournement de session sur les cookies liés à la gestion des sessions : HttpOnly et Secure.

BBrouter est le seul cookie utilisé pour la gestion des sessions. Il possède l'indicateur HttpOnly qui fournit une couche de protection supplémentaire contre les accès non autorisés par des scripts côté client potentiellement malveillants. Blackboard exige depuis longtemps que le protocole TLS soit activé à l'échelle du système. Par mesure de prudence, le drapeau Secure est configuré pour empêcher les navigateurs d'envoyer le cookie via HTTP sans TLS (« SSL »).

Le cookie JSESSIONID n'est pas lié à la gestion des sessions et ne possède pas le drapeau HttpOnly ni le drapeau Secure.

Dans le SaaS, deux cookies supplémentaires sont présents et ne possèdent pas les indicateurs Secure et HttpOnly : AWSELB et AWSELBCORS. Blackboard est en grande partie apatride, mais il existe un minimum d'affinité de session qui est implémenté sur l'équilibreur de charge à l'aide de ces cookies. Pour en savoir plus sur ces cookies, consultez l'article AWS, Configurer des sessions persistantes pour votre Classic Load Balancer.

Expiration de session

Les sessions expirent automatiquement après qu'un utilisateur a été inactif au-delà d'une durée prédéfinie. Il est également possible de mettre fin à une station manuellement via une déconnexion explicite.

Empreintes digitales de session

Les empreintes digitales de session peuvent aider à détecter lorsque la session d'un utilisateur a été détournée par un attaquant malveillant. Une empreinte digitale n'aide qu'à identifier les utilisateurs, par exemple, en utilisant l'adresse IP de leur ordinateur ou le type de navigateur (agent utilisateur) qu'ils ont utilisé. Les empreintes digitales de session constituent un outil permettant d'atténuer le risque de détournement par un attaquant malveillant.

Blackboard recommande vivement d'activer ce contrôle. Pour activer correctement ce contrôle, vous devez sélectionner les deux options Activer la reconnaissance de l'empreinte digitale de session et Créer une session lorsque l'empreinte digitale change.

Configurer la prise d'empreintes de session

Dans le panneau de configuration de l'administrateur, sous Sécurité, sélectionnez Paramètres d'empreinte de session. Le tableau ci-contre décrit les champs disponibles.

Champ

Description

Activer la prise d'empreintes de session

Sélectionnez Oui pour activer les empreintes digitales de la session.

Emplacement du journal

L'emplacement où les modifications apportées aux empreintes digitales des utilisateurs seront journalisées. En savoir plus sur les journaux système.

Valeur de l'empreinte digitale

Choisissez les valeurs à inclure dans l'empreinte digitale de la session : adresse IP, agent utilisateur ou les deux. Pour minimiser les demandes de connexion multiples, il est recommandé d'utiliser uniquement l'adresse IP, car les modifications apportées à l'adresse IP devraient être moins fréquentes que les modifications apportées à l'agent utilisateur.

  • Adresse IP  : L'adresse IP est l'adresse de l'ordinateur de l'utilisateur. Généralement, elle ne change pas pendant une session. Cependant, cela peut se produire dans certains cas, par exemple lors de l'utilisation de certains fournisseurs de service Internet.

  • Agent utilisateur  : L'agent utilisateur indique le navigateur, le système d'exploitation et d'autres informations logicielles mineures concernant le navigateur que l'utilisateur utilise pour accéder au site. Cette valeur est générée par le navigateur et peut ne pas être exacte. Par exemple, sur Safari, la version du système d'exploitation ne change jamais. Les utilisateurs peuvent généralement le remplacer par des prolongations de navigateur.

Filtrer les adresses IP

Cette option a été ajoutée avec un ensemble de règles par défaut pour résoudre les problèmes liés à AOL, un fournisseur de service Internet américain. Bien que cette fonctionnalité fonctionne toujours dans ce but unique, elle ne doit pas être utilisée à d'autres fins car aucun panneau de configuration ne permet de modifier l'ensemble de règles.

Créer une nouvelle session lorsque l'empreinte digitale change

Sélectionnez Oui pour forcer la création d'une nouvelle session lorsque l'empreinte digitale d'un utilisateur change. Lorsque les tentatives de détournement sont réelles, l'attaquant revient à la page de connexion tandis que l'utilisateur usurpé reste dans la session actuelle. Toutefois, si un faux positif se produit (comme indiqué ci-dessus dans la section Valeur de l'empreinte digitale), l'utilisateur doit à nouveau se connecter. C'est à vous de choisir entre la sécurité et la commodité.

Note

Une invite de connexion apparaît lors du chargement de l'applet de plusieurs fichiers lorsque vous définissez l'option « Créer une nouvelle session lorsque l'empreinte digitale change » sur Oui.