AccueilđŸ‡«đŸ‡·Chercher

Secure cookie

Les secure cookies sont un type de cookie HTTP qui ont l'attribut Secure configurĂ©, ce qui limite l'utilisation du cookie Ă  des canaux dits « sĂ©curisĂ©s » (oĂč « sĂ©curisĂ© » est dĂ©fini par l'agent utilisateur, typiquement le navigateur web)[1].

Principe

Lorsqu'un cookie a l'attribut Secure, l'agent utilisateur va inclure le cookie dans les requĂȘtes HTTP seulement si la requĂȘte est transmise Ă  travers un canal sĂ©curisĂ© (typiquement le HTTPS)[1]. Bien qu'apparemment utile pour protĂ©ger les cookies contre les attaquants actifs du rĂ©seau, l'attribut Secure protĂšge uniquement la confidentialitĂ© du cookie. Un attaquant actif sur le rĂ©seau peut modifier l'attribut Secure des cookies depuis un canal non sĂ©curisĂ©, perturbant leur intĂ©gritĂ©. Ce problĂšme est officiellement appelĂ© intĂ©gritĂ© faible[1]. Toutefois, certains navigateurs, incluant Chrome 52 et supĂ©rieur ainsi que Firefox 52 et supĂ©rieur, renoncent Ă  cette spĂ©cification en faveur d'une meilleure sĂ©curitĂ© et interdisent aux sites non sĂ©curisĂ©s (HTTP) la crĂ©ation de cookies ayant l'attribut Secure[2].

MĂȘme avec l'attribut Secure, certaines sources recommandent que des donnĂ©es sensibles ne soient jamais stockĂ©es dans un cookie, sur la prĂ©misse qu'ils sont intrinsĂšquement peu sĂ»rs et que cet attribut ne peut pas offrir une rĂ©elle protection[2]. L'attribut Secure n'est pas le seul mĂ©canisme de protection des cookies, il y a Ă©galement les attributs HttpOnly (en) et SameSite (en). L'attribut HttpOnly empĂȘche le cookie d'ĂȘtre accĂ©dĂ©, par exemple, par du code JavaScript, et l'attribut SameSite n'autorise uniquement la transmission du cookie si la requĂȘte provient de la mĂȘme origine.

Les cookies

Un cookie est un petit paquet de données[3] qui est transmis depuis un site web vers un navigateur web. Il y a deux types de cookies :

  • Les cookies persistants (en) - Cookies qui stockent des informations dans le navigateur de l'utilisateur pendant une longue pĂ©riode.
  • Les cookies non-persistants (en) - Cookies qui expirent gĂ©nĂ©ralement Ă  la fermeture du navigateur.

Les cookies peuvent contenir des informations sensibles, comme des mots de passe ou des numĂ©ros de carte bancaire, qui sont envoyĂ©s Ă  travers une connexion HTTP et qui peuvent ĂȘtre stockĂ©s dans les navigateurs web comme du texte brut. Pour empĂȘcher les attaquants de voler ces informations, les cookies peuvent ĂȘtre sĂ©curisĂ©s avec des attributs.

Vol et détournement de cookies

De nombreuses techniques de dĂ©tournement de cookies existent[4]. Ces mĂ©thodes ne sont pas difficiles Ă  mettre en Ɠuvre et peuvent causer des dommages importants Ă  un utilisateur ou Ă  une organisation. Les cookies contenant des informations sensibles telles que les noms d'utilisateur, les mots de passe et les identifiants de session peuvent ĂȘtre capturĂ©s Ă  l'aide de ces outils une fois qu'ils sont transmis d'un site web vers un navigateur Web ou accessibles via le disque dur d'un ordinateur[5].

Menaces réseau

Les cookies qui sont envoyĂ©s sur des canaux non chiffrĂ©s peuvent ĂȘtre soumis Ă  de l'Ă©coute clandestine, c'est-Ă -dire que le contenu des cookies peuvent ĂȘtre lus par un attaquant. Ces types de menaces peuvent ĂȘtre Ă©vitĂ©es par l'utilisation de Secure Sockets Layer ou le protocole SSL au niveau des serveurs et des navigateurs web bien que cela ne fonctionne uniquement si le cookie est sur le rĂ©seau[6]. On peut Ă©galement utiliser des cookies avec uniquement des informations sensibles chiffrĂ©es au lieu de transmettre l'intĂ©gralitĂ© des donnĂ©es[7].

Menaces systĂšme

Les cookies peuvent ĂȘtre copiĂ©s et volĂ©s depuis le client, ce qui peut soit rĂ©vĂ©ler les informations des cookies ou permettre Ă  un attaquant de modifier le contenu des cookies et usurper l'identitĂ© des utilisateurs. Cela peut se produire lorsqu'un cookie, qui se trouve dans le systĂšme final du navigateur web et stockĂ© dans le lecteur local ou la mĂ©moire en texte clair, est modifiĂ© ou copiĂ© d'un ordinateur Ă  un autre avec ou sans la connaissance de l'utilisateur[6].

RĂ©colte de cookies

L'attaquant peut tenter de se faire passer pour un site web en acceptant les cookies des utilisateurs. Une fois que l'attaquant obtient les cookies, il peut utiliser ces cookies récoltés sur les sites web qui acceptent les cookies tiers. Un exemple de cette menace est l'attaque dite de Cross-Site Scripting, qui implique l'exploitation des vulnérabilités d'un site web affichant des données fournies par l'utilisateur qui ont une intention malveillante[8]. Un attaquant, par exemple, pourrait intégrer un script dans une URL qu'il a publiée dans un forum de discussion ou un e-mail, qui est alors exécuté lorsque la cible ouvre le lien hypertexte[8].

Voir aussi

Références

  1. (en) A. Barth, « RFC 6265 - HTTP State Management Mechanism », Request for comments no 6265, .
  2. (en-US) « HTTP cookies », sur MDN Web Docs (consulté le )
  3. « Origin Cookies: Session Integrity for Web Applications » [archive du ] (consulté le )
  4. Cookies Lack Integrity: Real-World Implications, Proceedings of the 24th USENIX Security Symposium, (ISBN 978-1-931971-232, lire en ligne [archive du ])
  5. Ido Dubrawsky, CompTIA Security+ Certification Study Guide: Exam SY0-201 3E, Burlington, MA, Syngress, , 105 p. (ISBN 9781597494267)
  6. Vijay Atluri et John Hale, Research Advances in Database and Information Systems Security, Berlin, Springer Science+Business Media, LLC, , 52 (ISBN 9781475764116, lire en ligne AccÚs limité)
  7. Messaoud Benantar, Access Control Systems: Security, Identity Management and Trust Models, Heidelberg, Springer Science+Business Media, , 127 (ISBN 9780387004457, lire en ligne AccÚs limité)
  8. Sushil Jajodia et Duminda Wijesekera, Data and Applications Security XIX, Berlin, Springer Science & Business Media, , 317 (ISBN 9783540281382, lire en ligne AccÚs limité)
Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplĂ©mentaires peuvent s’appliquer aux fichiers multimĂ©dias.