Les attaques par détournement de session : attention aux cookies et jetons de session

Ketty Cassamajor, Directrice Avant-Vente Europe du Sud, chez CyberArk livre son analyse et son point de vue sur le sujet

Si le mot « cookies » rappelle d’abord les gâteaux aux pépites de chocolat, en ligne ce sont de petits morceaux d’informations, généralement enregistrés dans une base de données, que les sites web transfèrent sur l’appareil de l’utilisateur pour enregistrer des données et des informations le concernant. Ils permettent aux sites de l’identifier et de mémoriser des informations utiles pour améliorer son expérience, de disposer d’annonces publicitaires adaptées ou encore de conserver sa session. La forme la plus connue et la plus courante d’attaque post-authentification est le vol de cookies, qui consiste à capturer ou à manipuler les cookies utilisés par les navigateurs web pour authentifier les utilisateurs auprès des applications en ligne. Les cookies sont des jetons de session émis par le serveur web après que les utilisateurs se sont connectés avec leurs identifiants et leur authentification multifactorielle (MFA). Ils sont stockés dans le navigateur. Le navigateur envoie ensuite ces cookies avec chaque requête au serveur web, qui les valide et accorde l’accès à l’utilisateur.

L’extension des surfaces d’attaque

Les cookies sont des maillons faibles de la chaîne de la sécurité et sont fréquemment exploités par les pirates informatiques. Cependant, ils ne sont pas les seuls types de jetons de session que ces types d’attaques peuvent cibler. À mesure que les applications web et les API deviennent plus complexes et diversifiées, et que de plus en plus de machines et d’appareils communiquent entre eux sur internet, d’autres formes de tokens se généralisent, parmi lesquels les clés API, les certificats machine ou les jetons OAuth, qui permettent d’authentifier et autoriser les machines dans différentes composantes du réseau. Or, ces jetons de session sont également vulnérables en cas d’attaques basées sur les sessions et peuvent être volés ou falsifiés par des cybercriminels de la même manière que les cookies, grâce à la capture ou l’interception du trafic réseau ou encore en accédant aux fichiers où ils sont stockés.

Ces dernières années ont vu une évolution significative des méthodes d’attaques en ligne, passées du vol d’identifiants en texte clair au ciblage des jetons de session. Cette tendance est due à la généralisation de l’authentification multifactorielle (MFA), qui rend plus difficile la compromission des comptes avec de simples mots de passe. Cependant, la MFA n’est pas infranchissable et les éléments post-authentification comme les jetons de session, les cookies, les clés API et les certificats machine peuvent toujours être exploités pour accéder à des systèmes et à des données sensibles.

Le principal avantage des attaques basées sur les sessions est qu’elles se produisent après la phase d’authentification, une fois l’utilisateur validé. Les attaquants peuvent ainsi contourner la MFA et d’autres systèmes de sécurité s’appliquant à l’étape de connexion en usurpant l’identité de l’utilisateur ou de la machine via le vol ou la falsification d’un jeton de session. De plus, ces derniers ont souvent une durée de vie importante et des niveaux de privilèges élevés, ce qui signifie que l’attaquant peut se maintenir durablement dans le réseau ciblé et s’y déplacer latéralement.

Les bonnes pratiques pour se prémunir contre de telles attaques

Si ces campagnes peuvent avoir des conséquences importantes, il existe des bonnes pratiques à mettre en œuvre pour limiter les risques face à ces innovations malveillantes. Il est donc important que les utilisateurs soient attentifs à ce sujet et qu’ils effacent régulièrement leurs données de session dans le navigateur afin que les acteurs malveillants ne puissent pas voler leur identité. Cela peut également s’appliquer aux entreprises dont les employés utilisent des services qui stockent les données sensibles de l’organisation dans des jetons. En outre, les utilisateurs doivent éviter de cliquer sur des liens suspects, de télécharger des fichiers inconnus ou de partager leurs jetons avec qui que ce soit. Il est également impératif que les développeurs soient au fait des dernières normes et consignes en matière de sécurité concernant ces derniers et qu’ils adoptent des pratiques de codage et de test sécurisées.

Par ailleurs, la mise en place du principe du moindre privilège est essentielle. Ainsi, il est possible de limiter la portée et la durée de vie des jetons de session, en accordant uniquement les droits d’accès minimaux nécessaires, au moment où ils sont requis (juste-à-temps), pour une tâche ou une interaction spécifique, en programmant une expiration ou une révocation dès que possible. Une telle approche peut réduire le risque de compromission des jetons de session et l’impact d’une telle compromission, le cas échéant.

De plus, un chiffrement fort et des différents contrôles d’intégrité sur la communication réseau et les jetons de session peuvent empêcher les pirates informatiques de les capturer, de les intercepter ou de les falsifier. Avec une surveillance complète et en temps réel, les équipes en charge de la sécurité peuvent détecter les actions inhabituelles et tirer le signal d’alarme le cas échéant. Une telle approche aide les entreprises à réagir efficacement en cas de compromission des jetons de session.

Les attaques post-authentification constituent un défi complexe et évolutif, car les acteurs malveillants inventent régulièrement de nouvelles façons de les exploiter. Les entreprises doivent donc être prêtes et vigilantes afin de s’en défendre en mettant en œuvre des mesures de sécurité telles que le moindre privilège, une surveillance constante et une culture fondée sur la dimension inévitable des intrusions.