Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Français
Entry № 604

Référence directe non sécurisée à un objet (IDOR)

Vérifié parCybersecurity entrepreneur & security researcher

Qu'est-ce que Référence directe non sécurisée à un objet (IDOR) ?

Référence directe non sécurisée à un objet (IDOR)Faille de contrôle d'accès où une application expose des références internes à des objets et permet à un utilisateur de les modifier pour accéder à des données qui ne lui appartiennent pas.

Une IDOR se produit lorsqu'un endpoint utilise un identifiant fourni par l'utilisateur (ID numérique, UUID, nom de fichier, numéro de compte) pour lire ou modifier un objet sans vérifier que l'appelant est autorisé sur ce même objet. Les IDs séquentiels et les références prévisibles rendent l'exploitation triviale, mais même des UUID restent dangereux s'ils peuvent être devinés ou fuités. IDOR figure parmi les findings les plus courants en bug bounty et cause de nombreuses fuites multi-locataires. Corrections : vérification d'appartenance côté serveur pour chaque requête, requêtes filtrées par utilisateur/tenant courant, références indirectes (mappages opaques par session) et tests automatisés d'accès horizontal.

Exemples

  1. 01

    Modifier /invoices/1042 en /invoices/1043 pour lire la facture d'un autre client.

  2. 02

    Modifier le paramètre d'URL d'une photo de profil pour écraser l'avatar d'un autre utilisateur.

Questions fréquentes

Qu'est-ce que Référence directe non sécurisée à un objet (IDOR) ?

Faille de contrôle d'accès où une application expose des références internes à des objets et permet à un utilisateur de les modifier pour accéder à des données qui ne lui appartiennent pas. Cette notion relève de la catégorie Vulnérabilités en cybersécurité.

Que signifie Référence directe non sécurisée à un objet (IDOR) ?

Faille de contrôle d'accès où une application expose des références internes à des objets et permet à un utilisateur de les modifier pour accéder à des données qui ne lui appartiennent pas.

Comment se défendre contre Référence directe non sécurisée à un objet (IDOR) ?

Les défenses contre Référence directe non sécurisée à un objet (IDOR) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Quels sont les autres noms de Référence directe non sécurisée à un objet (IDOR) ?

Noms alternatifs courants : IDOR, Vulnérabilité de référence directe à un objet.

Termes liés

Voir aussi