Détournement de session : Comment ça fonctionne
Que trouverez-vous ici ?
- 1. Points clés
- 2. Qu'est-ce que le détournement de session ?
- 3. Comment fonctionne le détournement de session de bout en bout ?
- 4. Types d'attaques de détournement de session les plus courants
- 5. Les signes d'une session détournée
- 6. Implications du détournement de session
- 7. Défenses pratiques contre le détournement de session
- 8. Prévention des attaques de détournement de session
- 9. Questions fréquentes
Le détournement de session se produit lorsqu’un attaquant prend le contrôle d’une session authentifiée existante en volant ou en manipulant des cookies de session ou des jetons d’accès, qui sont des jetons permettant d’accéder à ceux qui les détiennent. Cela permet à l’attaquant de contourner les contrôles de sécurité qui ne sont appliqués qu’à la connexion, tels que la limitation de débit ou l’authentification multi-facteurs (MFA).
Points clés
- De solides défenses de session combinent TLS partout, des cookies renforcés, des durées de vie de jetons courtes, la rotation et la révocation de jetons, ainsi qu’une authentification renforcée basée sur des anomalies. Dans les déploiements de style OAuth, les jetons contraints par l’expéditeur (par exemple, DPoP ou mTLS) peuvent réduire davantage la relecture de jetons lorsque cela est pris en charge.
- Les jetons de session volés peuvent contourner la MFA si la MFA n’est appliquée qu’à la connexion initiale.
- Les chemins courants incluent l’interception MitM, le vol de jetons XSS, le vol de données par des logiciels malveillants ou des navigateurs, et la fixation de session.
- De solides défenses de session combinent TLS partout, des cookies renforcés, des durées de vie de jetons courtes, le liaisonnement ou la rotation de jetons, ainsi qu’une ré-authentification basée sur des anomalies.
- Les signaux de risque liés aux appareils et aux utilisateurs peuvent aider à décider quand renforcer l’authentification ou mettre fin à une session.
Qu’est-ce que le détournement de session ?
Dans une attaque de détournement de session (également connue sous le nom de prise de contrôle de session ou d’attaque de relecture de jeton), l’attaquant vole le jeton de session (cookie, jeton d’accès, etc.) utilisé pour authentifier un utilisateur connecté. Cela permet à l’attaquant d’usurper l’identité de l’utilisateur tout en évitant le besoin de voler des identifiants de connexion et de contourner la MFA et des défenses similaires. Les cibles courantes de ces attaques incluent les applications web grand public, les sessions SaaS, les portails VPN, les sessions d’accès à distance et les consoles administratives privilégiées.
Comment fonctionne le détournement de session de bout en bout ?
Les attaques de détournement de session se concentrent sur le vol d’un jeton pour se faire passer pour un utilisateur légitime. Un flux d’attaque peut ressembler à ce qui suit :
- Attendre que l’utilisateur crée une session valide ou l’inciter à le faire.
- Voler un cookie de session ou un jeton d’accès via des logiciels malveillants, des scripts malveillants, des extensions de navigateur ou d’autres moyens.
- Détourner la session en envoyant une requête au serveur avec le cookie volé.
- Effectuer des actions malveillantes sur le compte de l’utilisateur avec le jeton volé avant qu’il n’expire ou ne soit révoqué.
Les attaques de détournement de session reposent sur l’accès au jeton, qui peut être trouvé à divers endroits, y compris le stockage du navigateur, les cookies, les en-têtes d’autorisation, la mémoire de l’application et les magasins de l’appareil. Les attaquants peuvent également avoir besoin de moyens pour éviter de déclencher une réauthentification ou des vérifications de risque, comme faire correspondre les empreintes digitales des appareils, la réputation des adresses IP ou les modèles de comportement normaux.
Types d’attaques de détournement de session les plus courants
Le détournement de session peut être effectué de plusieurs manières. Certaines méthodes bien connues incluent :
- Détournement de session par fixation : Dans une attaque par fixation de session, l’utilisateur est contraint de s’authentifier en utilisant un identifiant de session connu de l’attaquant, tel qu’un identifiant intégré dans un lien de phishing. Cela peut se produire en raison de l’absence de régénération des identifiants de session après la connexion, de jetons prévisibles ou d’une invalidation de session faible.
- Vol de jeton via XSS : Le cross-site scripting (XSS) intègre des scripts malveillants dans une page web. Lorsque les utilisateurs visitent le site, ces scripts peuvent voler des jetons de session. Les drapeaux Secure, HttpOnly et SameSite peuvent aider à prévenir cela en bloquant les scripts d’accès aux cookies de session.
- Vol de données par malware/navigateur : Le malware installé sur le système d’un utilisateur ou dans des extensions de navigateur malveillantes peut voler des cookies du système de fichiers, du navigateur et d’autres caches.
- Sidejacking : Les attaques de sidejacking impliquent d’écouter les jetons de session à partir du trafic réseau. Cela est largement obsolète en raison de l’utilisation de TLS pour chiffrer le trafic réseau.
- Interception MitM : Dans une attaque de type homme du milieu (MitM) ou sur le chemin, un attaquant s’insère dans le chemin de communication entre l’utilisateur et le serveur. Cela leur permet d’intercepter les cookies de session du trafic de navigation web de l’utilisateur. Cependant, l’utilisation de TLS rend également cela plus difficile à réaliser.
Tous ces méthodes peuvent fournir un accès au jeton de session ou au cookie. Ensuite, il est utilisé dans une attaque de répétition de cookie ou « pass-the-cookie », où le navigateur ou le client API de l’attaquant l’utilise pour prendre le contrôle de la session de l’utilisateur légitime.
Les signes d’une session détournée
Les sessions détournées impliquent un attaquant utilisant une session de son appareil/navigateur qu’il a prise d’un utilisateur légitime. Certains indicateurs de cela incluent :
- Voyage impossible
- Nouvelle empreinte de dispositif
- ASN ou géolocalisation inhabituels
- Sessions concurrentes
- Modèles de requêtes anormaux
- Tentatives d’escalade de privilèges
- Actions administratives atypiques
- Réutilisation de jeton depuis deux emplacements
- Répétition de cookie de session sans en-têtes de navigateur normaux
- Changement soudain dans les caractéristiques du client
Bien que tous ces éléments puissent indiquer une attaque de détournement de session, ils ne sont pas tous parfaits. Par exemple, le changement d’IP mobile, les modifications de sortie VPN ou un NAT partagé peuvent provoquer des détections faussement positives. Pour cette raison, la corrélation de plusieurs indicateurs fournit une détection de confiance plus élevée.
La télémétrie qui aide à confirmer le détournement de session
Divers journaux et sources de télémétrie peuvent aider à confirmer une attaque de détournement de session suspectée, y compris :
- Journaux Web/App : Événements d’authentification, modèles de rafraîchissement de jetons, et émission et révocation de sessions.
- Journaux d’identité : Connexions du fournisseur d’identité (IdP), déclencheurs d’accès conditionnel, et défis de montée en puissance.
- Signaux réseau et de point de terminaison : Destinations risquées, alertes de logiciels malveillants, signaux d’intégrité du navigateur, et changements de posture des appareils.
Implications du détournement de session
Les attaques de détournement de session peuvent avoir des impacts commerciaux significatifs, tels que la prise de contrôle de compte sans vol de mot de passe, l’accès aux données, des transactions frauduleuses, et la compromission de la console d’administration. Souvent, les sessions web sont une cible privilégiée car les navigateurs conservent des jetons, les utilisateurs réutilisent des appareils, et de nombreuses applications supposent que « la session équivaut à la confiance ».
Le détournement de session est si dangereux car il contournent les principales défenses d’identité, y compris :
- Contournement de MFA : Le détournement de session peut contourner la MFA si la MFA n’est appliquée qu’à la connexion. Les jetons de session restent valides après la connexion, permettant à un attaquant de prendre le contrôle d’une session et de contourner la MFA. Les meilleures pratiques pour prévenir cela incluent l’authentification par montée en puissance, la validation continue, des durées de vie de jetons courtes, et la révocation de jetons pour les sessions à haut risque.
- ZTNA inefficace : Par défaut, l’accès réseau de confiance zéro (ZTNA) est conçu pour restreindre les privilèges accordés aux utilisateurs légitimes. Avec le détournement de session, un attaquant est considéré comme un utilisateur légitime, donc le ZTNA n’offre aucune protection. La vérification continue gère ce risque en vérifiant régulièrement l’identité, la posture de l’appareil, et les signaux de risque tout au long de la session, pas seulement à la connexion.
Défenses pratiques contre le détournement de session
Les organisations peuvent mettre en œuvre des défenses contre le détournement de session à plusieurs niveaux. Cela inclut le travail explicite pour prévenir le détournement de session et protéger les jetons de session contre une exposition potentielle.
Contrôles de gestion de session qui réduisent la valeur de répétition
Les attaques de détournement de session impliquent l’utilisation d’un jeton volé pour prendre le contrôle d’une session légitime. Certaines façons d’atténuer ce risque incluent :
- Des durées de vie courtes et une ré-authentification pour les actions sensibles.
- Rotation des jetons, listes de révocation, invalidation basée sur des anomalies.
- Détection de l’utilisation simultanée de jetons provenant de différents contextes clients.
Essentiels pour le durcissement des navigateurs et des cookies
Les attaques de détournement de session nécessitent la capacité de voler un jeton. Certaines façons de prévenir cela incluent :
- Utilisation des drapeaux HTTP Secure, HttpOnly et SameSite pour prévenir le vol de cookies via des scripts (XSS) et le cross-site scripting (CSF).
- Imposer l’utilisation de HTTPS pour toutes les pages.
- Protection des jetons stockés localement (les jetons localStorage sont accessibles par les scripts).
Prévention des attaques de détournement de session
Le détournement de session est une menace courante puisque les jetons d’authentification sont précieux et permettent à un attaquant d’éviter les défenses axées sur la connexion. Les organisations ont besoin de défenses en couches et d’une évaluation continue des risques pour identifier les sessions compromises après la connexion initiale.
Lors de la recherche d’attaques de détournement de session, recherchez :
- Anomalies de session détectées
- Temps de révocation
- Taux d’authentification renforcée pour les événements à risque
- Réduction des incidents de relecture de jetons.
Questions fréquentes
Le détournement de session peut-il se produire même si l’authentification multifactorielle est activée ?
Oui, car l’authentification multifactorielle ne protège que l’événement de connexion, pas le jeton de session utilisé après la connexion. Si un attaquant vole le cookie de session ou le jeton, il peut l’utiliser pour accéder à une session authentifiée. Des contrôles tels que l’authentification renforcée pour les actions sensibles, des durées de session courtes, la rotation des jetons et la révocation en cas d’activité suspecte réduisent le risque de cela, de plus, les organisations peuvent surveiller des signaux tels qu’un nouvel appareil, un emplacement inhabituel ou un comportement anormal pour une session authentifiée.
Le détournement de session est-il identique au bourrage d’identifiants ?
Non, le bourrage d’identifiants utilise des paires de noms d’utilisateur/mots de passe compromis pour se connecter en tant qu’utilisateur, et l’authentification multifactorielle ainsi que la limitation de taux peuvent aider à prévenir cela. Le détournement de session prend le contrôle d’une session existante, ce qui peut être atténué par une gestion de session solide et des protections de jetons.
Qu’est-ce que la fixation de session et comment est-elle prévenue ?
La fixation de session est lorsque l’attaquant force la victime à s’authentifier en utilisant un identifiant de session connu de l’attaquant. Ceci est problématique si une application ne crée pas un nouvel identifiant de session après l’authentification ou les changements de privilèges. Les meilleures pratiques pour prévenir cela incluent la régénération des identifiants de session lors de la connexion et de l’élévation des privilèges, l’invalidation des anciennes sessions, le rejet des identifiants de session dans les URL, et l’assurance d’une gestion sécurisée des cookies.
Quels journaux ou signaux aident à confirmer une session détournée ?
Les sessions détournées peuvent être identifiées à l’aide des journaux des applications web et des fournisseurs d’identité, y compris les données sur l’émission de session, les modèles de rafraîchissement, les événements de connexion, les déclencheurs d’accès conditionnel, et les événements de déconnexion ou de révocation. Des indicateurs de haute confiance d’une session compromise incluent le même jeton de session utilisé depuis deux emplacements éloignés, des sessions simultanées qui ne correspondent pas aux modèles normaux des utilisateurs, ou des changements soudains des caractéristiques du client. La détection peut être renforcée en utilisant des signaux tels que des changements de posture de l’appareil, des détections de points de terminaison, un comportement de navigateur suspect, et des séquences d’actions anormales à l’intérieur de l’application.
Les cookies Secure, HttpOnly et SameSite empêchent-ils complètement le détournement de session ?
Ces indicateurs sont conçus pour réduire le risque que les cookies de session soient volés par des scripts, des attaques de rétrogradation, et certains modèles d’abus intersites, mais ils ne préviennent pas ces attaques. Par exemple, un attaquant peut voler un cookie de session avec un logiciel malveillant installé sur l’appareil de l’utilisateur. L’utilisation de TLS partout, CSP, prévention des XSS, sessions de courte durée, rotation des jetons et authentification par étapes basée sur des anomalies peut aider à réduire le risque de détournement de session.
This page was machine-translated. If you notice any inaccuracies or have feedback, please feel free to send it to us here.