Falsification de requête intersites (CSRF)

Cross-Site Request Forgery (CSRF)

Le Cross-Site Request Forgery (CSRF), également connu sous le nom de session riding, est une attaque de cybersécurité où un site web ou un email malveillant incite un utilisateur à effectuer une action indésirable sur un autre site où l'utilisateur est authentifié. L'attaque tire parti de la session active de l'utilisateur avec un autre site pour exécuter des commandes non autorisées, telles que le transfert de fonds ou la modification des paramètres.

Concepts clés et définitions

Le CSRF est un type de vulnérabilité de sécurité qui permet aux attaquants d'exploiter la confiance entre le navigateur d'un utilisateur et un site web auquel il est connecté. L'attaquant trompe le navigateur de l'utilisateur en lui faisant faire une requête vers un autre site web au nom de l'utilisateur, sans sa connaissance ou son consentement.

Pour exécuter une attaque CSRF, l'attaquant envoie généralement un lien ou un email conçu à l'utilisateur. Lorsque l'utilisateur clique sur le lien ou interagit avec l'email, son navigateur envoie une requête au site web cible, profitant de la session active de l'utilisateur et incitant le site web cible à effectuer une action au nom de l'utilisateur.

Le site web ou l'email malveillant peut contenir des formulaires cachés, des images ou du code JavaScript qui déclenche automatiquement des actions sur le site web cible. Étant donné que la requête provient du navigateur de l'utilisateur, le site web cible la considère comme une requête légitime et effectue l'action demandée, à l'insu de l'utilisateur.

Comment fonctionne le CSRF

1. Conception de l'attaque : L'attaquant crée un lien ou un email malveillant qui semble inoffensif ou attrayant pour l'utilisateur. Cela peut inclure des liens vers des pages de connexion factices ou des sites web imitant des services populaires.

2. Interaction de l'utilisateur : L'utilisateur clique sur le lien conçu ou interagit avec l'email malveillant. Cela déclenche l'envoi d'une requête par le navigateur de l'utilisateur au site web cible.

3. Exploitation de la session active : La requête envoyée par le navigateur de l'utilisateur comprend les cookies de session ou les identifiants d'authentification de l'utilisateur. Le site web cible, voyant la requête comme légitime en raison de la session active de l'utilisateur, traite la requête et exécute l'action spécifiée par l'attaquant.

4. Action indésirable : Le site web cible effectue une action au nom de l'utilisateur, qui pourrait inclure la modification des paramètres du compte, la réalisation de transactions frauduleuses ou même la suppression de données utilisateur.

Conseils de prévention

Bien que les attaques CSRF puissent être nuisibles, il existe plusieurs mesures préventives que les utilisateurs et les propriétaires de sites web peuvent prendre pour réduire le risque :

1. Pare-feu d'applications web : Le déploiement d'un pare-feu d'applications web (WAF) peut aider à détecter et filtrer les potentielles attaques CSRF. Les WAF analysent les requêtes entrantes et peuvent bloquer les requêtes suspectes ou non autorisées.

2. Jetons anti-CSRF : Les propriétaires de sites web peuvent implémenter des jetons anti-CSRF pour se protéger contre les attaques CSRF. Ces jetons sont des jetons uniques et vérifiables intégrés dans chaque requête utilisateur. Lors de la soumission d'un formulaire ou d'une requête, le serveur vérifie le jeton pour s'assurer qu'il correspond à la valeur attendue. Si le jeton est manquant ou incorrect, le serveur rejette la requête.

3. Se déconnecter des comptes importants : Il est recommandé de se déconnecter ou d'utiliser des sessions de navigateur distinctes lors de l'accès à des comptes importants ou de la réalisation d'activités sensibles. Cela réduit le risque d'attaques CSRF puisque la session active de l'utilisateur n'est pas disponible pour être exploitée par des sites web malveillants.

4. Éducation des utilisateurs : Promouvoir la sensibilisation et l'éducation des utilisateurs concernant les meilleures pratiques de cybersécurité. Les utilisateurs doivent être prudents lorsqu'ils cliquent sur des liens dans des emails, surtout s'ils sont inconnus ou suspects. Il est important de vérifier l'authenticité des sites web avant de saisir les identifiants de connexion ou d'effectuer des actions sensibles.

Exemples d'attaques CSRF

1. Virement bancaire : Un attaquant envoie un lien malveillant à un utilisateur, prétendant qu'il mène à une promotion ou une offre spéciale. Lorsque l'utilisateur clique sur le lien, son navigateur envoie une requête au site web de banque en ligne de l'utilisateur, transférant des fonds vers le compte de l'attaquant.

2. Changement de paramètres : Un attaquant piège un utilisateur pour qu'il visite son site web malveillant. Le site inclut des formulaires cachés qui, une fois soumis, modifient les paramètres du compte de l'utilisateur sur un autre site web, comme le changement de l'adresse email ou du mot de passe.

3. Publication sur les réseaux sociaux : Un attaquant crée un site web qui publie automatiquement du contenu sur le compte de réseau social d'un utilisateur à son insu. Lorsque l'utilisateur visite le site web malveillant, son navigateur déclenche l'action de publication sur son compte de réseau social authentifié.

Termes connexes

• Session Hijacking : Le détournement de session est un autre type d'attaque où un attaquant obtient un accès non autorisé à la session active d'un utilisateur. En volant les cookies de session ou l'ID de session, l'attaquant peut se faire passer pour l'utilisateur et effectuer des actions en son nom.

• Cross-Site Scripting (XSS) : Le Cross-Site Scripting (XSS) est une attaque similaire au CSRF où des scripts malveillants sont injectés dans des pages web consultées par d'autres utilisateurs. Le XSS permet aux attaquants d'effectuer des actions au nom de la victime dans le contexte du site web vulnérable.