Communications sécurisées

TLS (Transport Layer Security) est un protocole de protection des communications Internet. Le protocole TLS garantit que les communications ne sont pas lues ou modifiées par une autre entité. Blackboard Learn utilise le protocole TLS pour sécuriser les communications entre le serveur Web et le terminal client.


Gestion de la session

Cycle de vie de l'ID de session

Chaque session dans Blackboard Learn est protégée par un identificateur de session sécurisé au niveau du chiffrement, stocké dans un cookie de navigateur. Pour vous protéger des attaques par fixation de session, l'identifiant de session connaît une rotation lors du chargement de la page, après la connexion et la déconnexion.

Cookies

Nous définissons deux indicateurs de cookies simples comme une mesure supplémentaire contre le détournement de session sur les cookies liés à la gestion de session par défaut : HttpOnly et Secure.

Les cookies session_id et s_session_id sont utilisés pour la gestion des sessions. L'indicateur HttpOnly est défini pour ces cookies. L'indicateur HttpOnly fournit une couche de protection supplémentaire contre les accès non autorisés par des scripts malveillants côté client. Lorsque TLS est activé sur l'ensemble du système, le cookie session_id est toujours présent, seul le cookie s_session_id est utilisé pour la gestion des sessions. Le cookie s_session_id bénéficie de la protection supplémentaire de l'indicateur Secure. Le cookie JSESSIONID n'est pas lié à la gestion des sessions et n'a pas d'indicateur HttpOnly ou Secure défini.

Expiration de la session

Les sessions expirent automatiquement après qu'un utilisateur a été inactif au-delà d'une durée prédéfinie. Il est également possible de mettre fin à une station manuellement via une déconnexion explicite.


Empreintes digitales de session

Les empreintes digitales de session peuvent aider à détecter lorsque la session d’un utilisateur a été détournée par un attaquant malveillant. Une empreinte digitale n’aide qu’à identifier les utilisateurs, par exemple, en utilisant l’adresse IP de leur ordinateur ou le type de navigateur (agent utilisateur) qu’ils ont utilisé. Les empreintes digitales de session constituent un outil permettant d'atténuer le risque de détournement par un attaquant malveillant.

Blackboard recommande vivement d'activer ce contrôle. Pour activer correctement ce contrôle, vous devez sélectionner les deux options Activer la reconnaissance de l'empreinte digitale de session et Créer une session lorsque l'empreinte digitale change.

Configurer la reconnaissance de l'empreinte digitale de session

Dans le Panneau de configuration de l'administrateur, sous Sécurité, sélectionnez Paramètres de l'empreinte digitale de session. Le tableau ci-contre décrit les champs disponibles.

ChampDescription
Activer la reconnaissance de l’empreinte digitale de sessionSélectionnez Oui pour activer les empreintes digitales de la session.
Emplacement du journalL’emplacement où les modifications apportées aux empreintes digitales des utilisateurs seront journalisées. Pour afficher le contenu du journal, dans le Panneau de configuration de l'administrateur, sous Outils et utilitaires, sélectionnez Journaux.
Valeur de l’empreinte digitaleChoisissez les valeurs à inclure dans les empreintes digitales de la session. Adresse IP, Agent utilisateur ou les deux. Afin d'éviter les invites de connexion multiples, nous vous recommandons d'utiliser uniquement l'adresse IP, car les modifications apportées à l'Adresse IP doivent être moins fréquentes que les modifications apportées à l'Agent utilisateur.
  • Adresse IP : l’adresse IP est l’adresse de l’ordinateur de l’utilisateur. Généralement, elle ne change pas pendant une session. Cependant, cela peut se produire dans certains cas. Par exemple, lors de l'utilisation de certains fournisseurs de services Internet.
  • Agent utilisateur : l’agent utilisateur indique le navigateur particulier à partir duquel un utilisateur accède au site. Dans les sites Web modernes, l'agent utilisateur peut changer fréquemment en raison des lecteurs multimédias et d'autres plug-ins de navigateur qui deviennent des délégués de la session de l'utilisateur.
Filtrer les adresses IPSi vous sélectionnez Adresse IP ou Adresse IP et agent utilisateur dans le champ Valeur de l’empreinte digitale, sélectionnez Oui pour empêcher des plages d’adresses IP d’être exclues des empreintes digitales de la session. Cette solution est utile pour exclure les plages d'adresses IP sécurisées. Personnalisez les plages d’IP en modifiant le fichier de configuration bb-session-fingerprint-excluded-addresses.txt.
Créer une nouvelle session lorsque l'empreinte digitale change

Sélectionnez Oui pour forcer la création d’une nouvelle session lorsque l’empreinte digitale d’un utilisateur change. Lorsque les tentatives de détournement sont réelles, l’attaquant revient à la page de connexion tandis que l’utilisateur usurpé reste dans la session actuelle. Toutefois, si un faux positif se produit (comme indiqué ci-dessus dans la section Valeur de l’empreinte digitale), l’utilisateur doit à nouveau se connecter. C’est à vous de choisir entre la sécurité et la commodité.

Une invite de connexion apparaît lors du chargement de l'applet de plusieurs fichiers lorsque vous définissez l'option « Créer une nouvelle session lorsque l'empreinte digitale change » sur Oui.