Faille de sécurité : CSRF – Cross Site Request Forgery

Home / Sécurité / Réparation des Failles de Sécurité / Faille de sécurité : CSRF – Cross Site Request Forgery

Description

Les attaques de type Cross-Site Request Forgery (CSRF) utilisent l’administrateur du site comme déclencheur, celui-ci devient alors complice sans en être conscient. L’attaque étant actionnée par l’utilisateur, un grand nombre de systèmes d’authentification sont contournés.

Une attaque CSRF force un utilisateur final à exécuter des codes malicieux sur une application web dans laquelle il est authentifié.
Une exploitation CSRF peut donc compromettre les données de l’utilisateur final et le fonctionnement de l’application web. Si l’utilisateur final visé est le compte administrateur, cela peut compromettre toute l’application Web.

Conséquences

Les conséquences varient en fonction de la nature de la fonctionnalité vulnérable au CRSF.

Si la victime est un administrateur du site web, les conséquences peuvent aller jusqu’à :

  • L’obtention du contrôle total d’une application web
  • La suppression ou le vol des données
  • La désinstallation du produit ou le déclenchement d’autres attaques contre les produits des utilisateurs.

Exemple

1)   Supposons que Pierre, comme 30.000 autres personnes soit l’administrateur d’un site internet souffrant d’une faille de sécurité de type CSRF et qu’il soit connecté à celui-ci par un système de sessions (connexion sur son site internet via un système d’authentification : saisie d’un mot de passe).

2)   Une pseudo-image (qui contient en fait du code informatique) est utilisée sur un site populaire que Pierre consulte.

3)   En essayant de charger la pseudo-image, le navigateur de Pierre exécute à son insu une action sur le site internet de Pierre.

4)   Sans que Pierre et les 30.000 autres personnes dans le même cas que lui s’en aperçoivent, le pirate a réussi à se créer un compte administrateur sur leurs sites internet.

5)   Le pirate a accès à mon site internet? Et après >>