Cross-site request forgery - Wikipédia http://fr.wikipedia.

org/wiki/Cross-site_request_forgery

Cross-site request forgery

Les attaques de type Cross-Site request forgeries (abrégées CSRF prononcées sea-surfing ou parfois XSRF)
utilisent l'utilisateur comme déclencheur, celui-ci devient complice sans en être conscient. L'attaque étant
actionnée par l'utilisateur, un grand nombre de systèmes d'authentification sont contournés. Le nombre de
sites se protégeant contre ce type d'attaque est encore marginal, faute de communication sur ce type
d'attaque probablement. [réf. souhaitée]

Sommaire
1 Illustration
2 Caractéristiques
3 Prévention
4 Voir aussi
5 Lien externe

Illustration
Supposons que Bob soit l'administrateur d'un forum et qu'il soit connecté à celui-ci par un système de
sessions. Alice est un membre de ce même forum, elle veut supprimer un des messages du forum. Comme
elle n'a pas les droits nécessaires avec son compte, elle utilise celui de Bob grâce à une attaque de type
CSRF.

Alice arrive à connaître le lien qui permet de supprimer le message en question

Alice envoie un message à Bob contenant une pseudo-image à afficher (qui est en fait un script). L'URL de
l'image est le lien vers le script permettant de supprimer le message désiré.
Bob lit le message d'Alice, son navigateur tente de récupérer le contenu de l'image. En faisant cela, le
navigateur actionne le lien et supprime le message, il récupère une page web comme contenu pour l'image.
Ne reconnaissant pas le type d'image associé, il n'affiche pas d'image et Bob ne sait pas qu'Alice vient de
lui faire supprimer un message contre son gré.

Caractéristiques
Les caractéristiques du CSRF sont un type d'attaque qui :

Implique un site qui repose sur l'authentification globale d'un utilisateur

Exploite cette confiance dans l'authentification pour autoriser des actions implicitement
Envoie des requêtes HTTP à l'insu de l'utilisateur qui est dupé pour déclencher ces actions

Pour résumer, les sites sensibles au CSRF sont ceux qui acceptent les actions sur le simple fait de
l'authentification à un instant donné de l'utilisateur et non sur une autorisation explicite de l'utilisateur pour
une action donnée.

1 sur 2 23/01/2010 04:21

Cross-site request forgery - Wikipédia http://fr.wikipedia.org/wiki/Cross-site_request_forgery

Prévention
Éviter d'utiliser des requêtes HTTP GET pour effectuer des actions
Cette technique va naturellement éliminer des attaques simples basées sur les images, mais laissera
passer les attaques fondées sur Javascript, lesquelles sont capables de lancer des requêtes HTTP
POST.
Demander des confirmations à l'utilisateur pour les actions critiques
Au risque d'alourdir l'enchaînement des formulaires.
Utiliser des jetons de validité dans les formulaires
Faire en sorte qu'un formulaire posté ne soit accepté que s'il a été produit quelques minutes
auparavant : le jeton de validité en sera la preuve. Le jeton de validité doit être transmis en paramètre
et vérifié côté serveur.

Voir aussi
Vulnérabilité (informatique)
XSS
Cross-site cooking

Lien externe
(fr) Introduction aux Cross-Site request forgeries (http://www.apprendre-php.com/tutoriels/tutoriel-
39-introduction-aux-cross-site-request-forgeries-ou-sea-surf.html)
(fr) JDN Développeurs (http://developpeur.journaldunet.com/tutoriel/php/031030php_nexen-xss1.shtml)
(fr) Papier sur la vulnérabilité de certaines BOX françaises aux attaques CSRF
(http://www.rahimblakblog.fr/wp-content/uploads/2008/03/box1.pdf)
(en) The cross-site request forgery FAQ (http://www.cgisecurity.com/articles/csrf-faq.shtml)
(fr) CSRForm - Outil d'aide à l'exploitation de failles de type CSRF (http://code.google.com/p/csrform/)

Ce document provient de « http://fr.wikipedia.org/wiki/Cross-site_request_forgery ».

Dernière modification de cette page le 23 novembre 2009 à 17:09.

Droit d'auteur : les textes sont disponibles sous licence Creative Commons paternité partage à l’identique ;
d’autres conditions peuvent s’appliquer. Voyez les conditions d’utilisation pour plus de détails, ainsi que les
crédits graphiques.
Wikipedia® est une marque déposée de la Wikimedia Foundation, Inc., organisation de bienfaisance régie
par le paragraphe 501(c)(3) du code fiscal des États-Unis.

2 sur 2 23/01/2010 04:21