CyberGlossary

Attaques et menaces

Cross-Site Request Forgery (CSRF)

Aussi appelé: CSRF, Session riding

Définition

Attaque web qui force le navigateur d'un utilisateur authentifié à envoyer des requêtes non désirées vers un site vulnérable, déclenchant des actions sans son consentement.

Le Cross-Site Request Forgery (CSRF) exploite le fait que les navigateurs attachent automatiquement cookies et autres identifiants aux requêtes sortantes. Une victime déjà connectée à un site cible est amenée à charger une page malveillante qui soumet en arrière-plan des formulaires ou appelle des API, provoquant des actions telles que changement de mot de passe, virement ou modification du compte — au nom de l'utilisateur légitime. Les défenses incluent les tokens anti-CSRF (synchronizer token), les cookies SameSite (Lax ou Strict), le pattern double-submit, l'exigence d'une réauthentification pour les actions sensibles, la validation des en-têtes Origin/Referer et l'usage d'identifiants hors cookie comme des bearer tokens en mémoire.

Exemples

  • Un utilisateur connecté ouvre une page contrôlée par l'attaquant qui envoie silencieusement un POST sur /transfer pour vider son compte bancaire.
  • Un administrateur clique sur un lien qui soumet un formulaire caché sur /users/promote, accordant les privilèges admin à l'attaquant.

Termes liés