Sommaire

Violation de gestion d’authentification et de session

1. Présentation et risques

La violation de session et d’authentification permet à un cybercriminel de capturer ou contourner les méthodes d’authentification utilisées par une application web.

Les attaques de ce type sont dues à des défauts de conception lors de la création de l’application ou au manque de chiffrement réseau ou des mots de passe.

Les risques d’une telle attaque sont importants car elle touche directement à la protection des données des utilisateurs et à leur vie privée mais aussi aux administrateurs des entreprises avec le risque que des cybercriminels accèdent à des comptes non autorisés. Voici l’évaluation du risque par l’OWASP :

images/03EP32.png

Le graphique ci-dessus montre bien la criticité du risque et justifie pleinement le placement de celui-ci au deuxième rang du top 10 OWASP.

2. Vol de session (session hijacking)

Pour comprendre comment fonctionne le vol de session et s’en protéger, il est nécessaire de faire un rappel sur le fonctionnement d’une session dans une application web :

  • À l’aide d’un formulaire sur le site web, l’utilisateur s’authentifie avec un identifiant et un mot de passe.

  • Les informations sont soumises à l’application qui crée un identifiant de session, qui suivra l’utilisateur tout au long de sa navigation sur le site web. L’identifiant ...