Élévation horizontale de privilèges
Qu'est-ce que Élévation horizontale de privilèges ?
Élévation horizontale de privilègesFaille permettant à un utilisateur d'accéder à des ressources ou actions d'un autre utilisateur de même niveau de privilège, sans obtenir de droits supérieurs.
Dans l'élévation horizontale, l'attaquant reste au même niveau de confiance mais brise l'isolation entre comptes ou locataires : le compte A lit, modifie ou usurpe le compte B. La cause la plus fréquente est un contrôle d'accès défaillant : des API qui font confiance à des identifiants fournis par le client (IDs utilisateur, numéros de compte, GUID de document) sans vérifier la propriété côté serveur. IDOR, identifiants prévisibles, absence de scoping locataire et fixation de session en sont les racines typiques. L'impact va de la fuite de données à la fraude financière, particulièrement critique en SaaS multi-locataire. Les mitigations : autoriser chaque référence d'objet, restreindre les requêtes au tenant/utilisateur courant, utiliser des identifiants non devinables, automatiser les tests d'accès croisé.
● Exemples
- 01
Modifier userId dans /api/users/123/profile pour consulter le profil d'un autre utilisateur.
- 02
Bug multi-locataire SaaS permettant au tenant A de lire les commandes du tenant B.
● Questions fréquentes
Qu'est-ce que Élévation horizontale de privilèges ?
Faille permettant à un utilisateur d'accéder à des ressources ou actions d'un autre utilisateur de même niveau de privilège, sans obtenir de droits supérieurs. Cette notion relève de la catégorie Vulnérabilités en cybersécurité.
Que signifie Élévation horizontale de privilèges ?
Faille permettant à un utilisateur d'accéder à des ressources ou actions d'un autre utilisateur de même niveau de privilège, sans obtenir de droits supérieurs.
Comment se défendre contre Élévation horizontale de privilèges ?
Les défenses contre Élévation horizontale de privilèges combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Élévation horizontale de privilèges ?
Noms alternatifs courants : EoP horizontale, Accès inter-comptes.