Sécurité : le vol de session

30.9.2009 par christophe.croisant.

Lorsque vous vous connectez à un site Internet pour y saisir votre nom d’utilisateur et votre mot de passe, celui-ci ouvre une session qui va rester ouverte jusqu’au moment où vous cliquez sur “déconnexion” ou fermez le navigateur. La gestion des sessions se fait suivant plusieurs techniques, la plus utilisée utilise les cookies, petites variables nommées, associées à des URLs et possédant une limite de validité dans le temps. Le serveur produit le cookie et le navigateur le transmet à chaque requête HTTP. Ainsi, si votre connexion n’est pas chiffrée, un attaquant qui vous dérobe ces fameux cookies accède simplement à votre session.

Pour obtenir cette information, l’attaquant capture (par différentes méthodes) tout ou partie du trafic entre le serveur HTTP et le client pour ensuite faire apparaître les transactions qui comportent une transmission de cookie et enfin déterminer quel est le cookie de session. Le service Google Mail, comme iGoogle utilise par exemple un seul cookie appelé GX pour identifier la session.

Sous Firefox 3, les cookies sont désormais stockés dans un fichier SQLite 3 sur lequel il est très facile de procéder à tous types de requête SQL. Un script permet ensuite la transposition d’un hôte cible à un autre en insérant un enregistrement adéquat dans la table et hop, le tour est joué ! l’attaquant est désormais identifié comme étant l’utilisateur de la session ouverte.

La solution pour éviter un tel vol est d’imposer systématiquement le chiffrement des communications (HTTPS pour le web, VPN pour les autres applications nomades,…). Il est également important de penser à “effacer ses traces” de navigation.

Posté dans Sécurité | 1 commentaire »