Qu’est-ce que l’empoisonnement aux biscuits ?

L'empoisonnement des cookies, également connu sous le nom de détournement de session, est une stratégie d'attaque dans laquelle l'attaquant modifie, falsifie, détourne ou « empoisonne » d'une autre manière un cookie par ailleurs valide renvoyé à un serveur pour voler des données, contourner la sécurité ou les deux.

En informatique, un cookie est une donnée spécifique à un site Web et à une session utilisateur, y compris des informations sur les intérêts ou l’identité de l’utilisateur, qui est créée et stockée dans le navigateur de l’utilisateur. Les sites Web et les serveurs peuvent utiliser des cookies pour suivre les tendances d'utilisation, telles que les pages du site qui génèrent le plus de trafic, ainsi que pour personnaliser et rationaliser l'expérience utilisateur, qu'il s'agisse de donner la priorité au contenu aligné sur les visites précédentes de l'utilisateur, de suivre les articles dans un panier d'achat en ligne ou de remplir automatiquement des informations personnelles.

Les attaquants peuvent intercepter les cookies avant qu’ils ne reviennent au serveur pour en extraire des informations ou les modifier. Des cookies falsifiés peuvent également être créés à partir de zéro afin d'usurper l'identité d'un utilisateur pour accéder à des données utilisateur supplémentaires.  L’empoisonnement des cookies est donc un terme impropre dans la mesure où il est souvent utilisé pour désigner non seulement les cookies modifiés (« empoisonnés ») mais également diverses méthodes de vol de données à partir de cookies valides ou d’autres utilisations malveillantes de ceux-ci.

Les cookies sont souvent utilisés pour l'authentification et pour savoir si un utilisateur est connecté à un compte, ce qui signifie qu'ils contiennent des informations qui peuvent être utilisées pour un accès non autorisé. Ils peuvent également contenir d’autres données sensibles, notamment des informations financières, saisies par un utilisateur. L'empoisonnement des cookies est relativement facile pour les attaquants, qui peuvent utiliser un cookie empoisonné pour voler l'identité des utilisateurs à des fins frauduleuses ou pour obtenir un accès non autorisé au serveur Web pour d'autres exploits.

Les cookies (ou autres jetons de session) non générés ou transmis de manière sécurisée sont vulnérables au piratage ou à l'empoisonnement. Les scripts intersites (XSS) sont un moyen courant de voler des cookies, mais un certain nombre de méthodes, notamment l'analyse de paquets et la force brute, peuvent être utilisées pour obtenir un accès non autorisé aux cookies. Et parce que l'empoisonnement des cookies est un terme générique pour de nombreuses activités malveillantes impliquant des cookies, un exploit d'empoisonnement des cookies pourrait également être décrit avec précision comme une attaque de l'homme du milieu ou un détournement de session, une fixation ou une falsification, entre autres termes. 

Bien qu'un développement d'applications réfléchi puisse limiter les données sensibles stockées dans les cookies ou rendre leur extraction plus difficile pour les attaquants, le but d'un cookie est d'identifier les utilisateurs, les comportements ou les deux. Cela signifie que les applications continueront à les utiliser. Une sécurité appropriée des applications Web et une gestion des sessions, qui peuvent être fournies par un pare-feu d'application Web (WAF) , peuvent aider à protéger les données d'identification et à se défendre contre l'empoisonnement des cookies.

Le WAF F5 Advanced utilise l'inspection complète des données proxy, l'analyse du comportement et l'apprentissage automatique pour fournir une sécurité d'application de haut niveau, y compris une gestion de session sophistiquée et un cryptage des cookies SSL/TLS . En interceptant tout le trafic vers et depuis le serveur Web, il peut décrypter ce trafic et le comparer aux informations envoyées par le serveur pour empêcher les cookies modifiés d'atteindre le serveur ou une application.