Usurpation de cookies : expliquée et prévenue

« C est pour Cookie, ça me suffit. » – Cookie Monstre

Bien que je ne sois pas d’accord avec toutes les idées de Cookie Monster, il a incontestablement raison sur une chose : les cookies. Nous les aimons tous. Qui ne le fait pas ? Quiconque n’aime pas les cookies n’est pas digne de confiance. Il existe cependant un genre d’acteurs qui aiment tous les deux les cookies et ne sont pas dignes de confiance. Ces acteurs sont connus sous le nom de « hackers ». Semble familier? C’est exact. Les pirates voleront vos cookies et les utiliseront pour accéder à vos informations sécurisées et privées ! Où va le monde….

Pour expliquer l’usurpation de cookies, nous devons également couvrir le groupe plus large d’attaques dans lequel il se situe, connu sous le nom d’usurpation de session. L’usurpation de session est déclenchée lorsqu’un acteur spécialisé hautement qualifié obtient les identifiants (numéro de séquence TCP et numéro d’accusé de réception TCP) de la session de service Web active d’un utilisateur. L’acteur peut ensuite utiliser les identifiants actuels pour créer un paquet de données falsifié qui peut être envoyé à partir de n’importe quelle connexion Internet pour tromper le service que la session de l’acteur est une session légitime, fournissant à l’acteur un contrôle d’accès à toutes les informations d’identification que l’utilisateur mettait en œuvre. L’usurpation de session est rarement utilisée par les acteurs modernes, car les fournisseurs de systèmes d’exploitation ont développé des défenses contre ces attaques ; cependant, certaines estimations évaluent le nombre à 35 % de systèmes modernes encore vulnérables à l’usurpation de session.

Effrayant, non ? Comme les méchants Cosplayers, les Session Spoofers extraient les informations utiles de vos flux de données non cryptées et les utilisent pour assembler un You-Suit numérique !

L’usurpation de cookies est une forme spécialisée d’usurpation de session. Également connue sous le nom de « Session Hijacking » ou « Cookie Side-Jacking », l’attaque Cookie Spoof utilise le cookie défini par le service pour prendre frauduleusement le contrôle de la session d’un utilisateur, s’appliquant le plus souvent aux sessions de navigateur ou aux applications Web.

comment font-ils ça?

Dans la plupart des cas, lorsqu’un utilisateur se connecte à une application Web, le serveur définit un cookie de session temporaire dans le navigateur de l’utilisateur pour se rappeler que l’utilisateur est actuellement connecté et authentifié. L’acteur n’a qu’à obtenir l’identifiant de session de la victime, qui est stocké dans le cookie. Ces informations peuvent être obtenues par deux moyens principaux : le « reniflage de paquets » (la saisie de données réseau non cryptées via l’utilisation d’une carte réseau en mode moniteur) ou l’utilisation d’une usurpation de notification. Le Spoof de notification, qui relève du Cross-Side Scripting (XSS), est la méthode la plus courante d’exécution de l’attaque Cookie Spoof. Un acteur injecte des scripts côté client dans une page Web pour exécuter du code arbitraire lors du chargement de la page compromise. Ce code arbitraire produit une fausse notification (VOTRE ORDINATEUR EST INFECTÉ PAR 23 VIRUS !!!!!) pour inciter l’utilisateur à cliquer sur un lien malveillant avec un identifiant de session prédéfini. L’acteur peut alors utiliser l’ID de session volé pour sa session de navigateur, ce qui incitera le serveur à croire que la session de l’acteur est légitime, permettant à l’acteur d’exécuter toutes les fonctions que l’utilisateur aurait été autorisé à exécuter (telles que l’accès à des documents sécurisés, l’envoi e-mails, ou même transférer de l’argent ou effectuer des achats par carte de crédit !).

Comment vous défendez-vous contre ces attaques ?

Pour le reniflage de paquets, la solution est aussi simple que d’utiliser un VPN chaque fois que vous vous connectez à un réseau. Cela garantit que votre trafic est crypté, ce qui le rendra largement inutile à un mauvais acteur.

Cependant, pour vous défendre contre le Cross-Side Scripting, il vous suffit de vous méfier. Votre système d’exploitation vous avertira généralement des sites Web non sécurisés. Tenez compte de cet avertissement et marchez dans l’autre sens. Si un site Web vous demande « d’activer ceci » ou « d’installer cela » pour afficher son contenu, faites preuve de prudence et concluez que vous n’aviez pas VRAIMENT besoin de voir cette 5 000e photo de chat de la journée, même SI la vignette semble super adorable.

Éviter l’attaque Cookie Spoof est aussi simple que de savoir où vous êtes, à quoi vous êtes connecté et où vont vos données !

C’est ça!

« C est pour Cookie, ça me suffit. » – Cookie Monstre

Bien que je ne sois pas d’accord avec toutes les idées de Cookie Monster, il a incontestablement raison sur une chose : les cookies. Nous les aimons tous. Qui ne le fait pas ? Quiconque n’aime pas les cookies n’est pas digne de confiance. Il existe cependant un genre d’acteurs qui aiment tous les deux les cookies et ne sont pas dignes de confiance. Ces acteurs sont connus sous le nom de « hackers ». Semble familier? C’est exact. Les pirates voleront vos cookies et les utiliseront pour accéder à vos informations sécurisées et privées ! Où va le monde….

Pour expliquer l’usurpation de cookies, nous devons également couvrir le groupe plus large d’attaques dans lequel il se situe, connu sous le nom d’usurpation de session. L’usurpation de session est déclenchée lorsqu’un acteur spécialisé hautement qualifié obtient les identifiants (numéro de séquence TCP et numéro d’accusé de réception TCP) de la session de service Web active d’un utilisateur. L’acteur peut ensuite utiliser les identifiants actuels pour créer un paquet de données falsifié qui peut être envoyé à partir de n’importe quelle connexion Internet pour tromper le service que la session de l’acteur est une session légitime, fournissant à l’acteur un contrôle d’accès à toutes les informations d’identification que l’utilisateur mettait en œuvre. L’usurpation de session est rarement utilisée par les acteurs modernes, car les fournisseurs de systèmes d’exploitation ont développé des défenses contre ces attaques ; cependant, certaines estimations évaluent le nombre à 35 % de systèmes modernes encore vulnérables à l’usurpation de session.

Effrayant, non ? Comme les méchants Cosplayers, les Session Spoofers extraient les informations utiles de vos flux de données non cryptées et les utilisent pour assembler un You-Suit numérique !

L’usurpation de cookies est une forme spécialisée d’usurpation de session. Également connue sous le nom de « Session Hijacking » ou « Cookie Side-Jacking », l’attaque Cookie Spoof utilise le cookie défini par le service pour prendre frauduleusement le contrôle de la session d’un utilisateur, s’appliquant le plus souvent aux sessions de navigateur ou aux applications Web.

comment font-ils ça?

Dans la plupart des cas, lorsqu’un utilisateur se connecte à une application Web, le serveur définit un cookie de session temporaire dans le navigateur de l’utilisateur pour se rappeler que l’utilisateur est actuellement connecté et authentifié. L’acteur n’a qu’à obtenir l’identifiant de session de la victime, qui est stocké dans le cookie. Ces informations peuvent être obtenues par deux moyens principaux : le « reniflage de paquets » (la saisie de données réseau non cryptées via l’utilisation d’une carte réseau en mode moniteur) ou l’utilisation d’une usurpation de notification. Le Spoof de notification, qui relève du Cross-Side Scripting (XSS), est la méthode la plus courante d’exécution de l’attaque Cookie Spoof. Un acteur injecte des scripts côté client dans une page Web pour exécuter du code arbitraire lors du chargement de la page compromise. Ce code arbitraire produit une fausse notification (VOTRE ORDINATEUR EST INFECTÉ PAR 23 VIRUS !!!!!) pour inciter l’utilisateur à cliquer sur un lien malveillant avec un identifiant de session prédéfini. L’acteur peut alors utiliser l’ID de session volé pour sa session de navigateur, ce qui incitera le serveur à croire que la session de l’acteur est légitime, permettant à l’acteur d’exécuter toutes les fonctions que l’utilisateur aurait été autorisé à exécuter (telles que l’accès à des documents sécurisés, l’envoi e-mails, ou même transférer de l’argent ou effectuer des achats par carte de crédit !).

Comment vous défendez-vous contre ces attaques ?

Pour le reniflage de paquets, la solution est aussi simple que d’utiliser un VPN chaque fois que vous vous connectez à un réseau. Cela garantit que votre trafic est crypté, ce qui le rendra largement inutile à un mauvais acteur.

Cependant, pour vous défendre contre le Cross-Side Scripting, il vous suffit de vous méfier. Votre système d’exploitation vous avertira généralement des sites Web non sécurisés. Tenez compte de cet avertissement et marchez dans l’autre sens. Si un site Web vous demande « d’activer ceci » ou « d’installer cela » pour afficher son contenu, faites preuve de prudence et concluez que vous n’aviez pas VRAIMENT besoin de voir cette 5 000e photo de chat de la journée, même SI la vignette semble super adorable.

Éviter l’attaque Cookie Spoof est aussi simple que de savoir où vous êtes, à quoi vous êtes connecté et où vont vos données !

C’est ça!