{"id":1708,"date":"2022-06-28T12:03:06","date_gmt":"2022-06-28T10:03:06","guid":{"rendered":"http:\/\/v32019.vaadata.com\/blog?p=1708"},"modified":"2022-12-12T11:18:30","modified_gmt":"2022-12-12T10:18:30","slug":"attaques-csrf-principes-impacts-exploitations-bonnes-pratiques-securite","status":"publish","type":"post","link":"https:\/\/www.vaadata.com\/blog\/fr\/attaques-csrf-principes-impacts-exploitations-bonnes-pratiques-securite\/","title":{"rendered":"Attaques CSRF : principes, impacts, exploitations et bonnes pratiques s\u00e9curit\u00e9"},"content":{"rendered":"
\n
\"Attaques<\/figure>\n<\/div>\n\n\n

Les attaques CSRF<\/strong> sont souvent utilis\u00e9es pour compromettre les donn\u00e9es et fonctionnalit\u00e9s d\u2019une application web.<\/p>\n\n\n\n

Principes, impacts, exploitations possibles, nous vous pr\u00e9sentons dans cet article une vue d\u2019ensemble de la vuln\u00e9rabilit\u00e9 CSRF<\/strong> ainsi que les bonnes pratiques et mesures \u00e0 impl\u00e9menter pour pr\u00e9venir les risques d\u2019attaques.<\/p>\n\n\n\n\n\n\n\n

Qu’est-ce qu’une vuln\u00e9rabilit\u00e9 CSRF ? <\/h2>\n\n\n\n

Une vuln\u00e9rabilit\u00e9 CSRF (pour Cross-Site Request Forgery<\/strong>, en fran\u00e7ais : falsification de requ\u00eate inter-site) est une faille qui permet \u00e0 un attaquant d\u2019abuser \u00e0 la fois d\u2019un utilisateur, d\u2019un navigateur web et d\u2019un serveur. Le principe est assez simple. L\u2019objectif de l\u2019attaque est de forcer un utilisateur authentifi\u00e9 sur un site ou une application web \u00e0 ex\u00e9cuter des actions sp\u00e9cifiques \u00e0 son insu.<\/p>\n\n\n\n

Pour ce faire, il s\u2019agit de corrompre la relation entre un navigateur web et un serveur, con\u00e7ue en th\u00e9orie, pour emp\u00eacher diff\u00e9rents sites et applications web d\u2019interf\u00e9rer les uns avec les autres. Lors d\u2019une attaque r\u00e9ussie, une faille CSRF peut permettre \u00e0 un attaquant de forcer le changement d\u2019un mot de passe et\/ou autres informations personnelles et ainsi r\u00e9cup\u00e9rer des donn\u00e9es sensibles si la victime est un utilisateur avec des droits standards. Si la victime d\u00e9tient un compte administrateur, une attaque CSRF peut compromettre l\u2019ensemble de l\u2019application web. <\/p>\n\n\n\n

De mani\u00e8re g\u00e9n\u00e9rale, lorsqu\u2019une fonctionnalit\u00e9 est vuln\u00e9rable aux attaques CSRF, les attaquants cherchent \u00e0 pousser les utilisateurs \u00e0 charger une page malveillante.<\/p>\n\n\n\n

Cette page contenant du code malveillant enverra des requ\u00eates via le navigateur d\u2019un utilisateur comme s\u2019il s\u2019agissait d\u2019une action l\u00e9gitime de ce dernier, ce qui permet \u00e0 l\u2019attaquant de r\u00e9aliser des actions telles que la modification du mot de passe et\/ou d\u2019autres informations personnelles ou le changement des configurations et des param\u00e8tres personnels de l\u2019utilisateur sur la plateforme vuln\u00e9rable.<\/p>\n\n\n\n

L\u2019impact d\u2019une attaque CSRF r\u00e9ussie peut donc \u00eatre assez s\u00e9v\u00e8re. Les attaquants s\u2019appuient souvent sur des techniques d\u2019ing\u00e9nierie sociale<\/a> (via du phishing g\u00e9n\u00e9ralement avec l\u2019envoi d\u2019un lien par email par exemple dont l\u2019objectif est de rediriger un utilisateur vers un site malveillant) pour en augmenter les chances de succ\u00e8s.<\/p>\n\n\n\n

Enfin, une derni\u00e8re pr\u00e9cision : les attaques CSRF visent g\u00e9n\u00e9ralement les demandes de modification (mot de passe et autres) et non le vol de donn\u00e9es, car les attaquants n\u2019ont aucun moyen de voir la r\u00e9ponse \u00e0 la demande falsifi\u00e9e.<\/p>\n\n\n\n

Quelles sont les conditions n\u00e9cessaires \u00e0 une attaque CSRF ?<\/h2>\n\n\n\n

Pour mener \u00e0 bien une attaque CSRF, certaines conditions doivent \u00eatre remplies :<\/p>\n\n\n\n