Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Français
Entry № 855

Redirection ouverte

Vérifié parCybersecurity entrepreneur & security researcher

Qu'est-ce que Redirection ouverte ?

Redirection ouverteVulnérabilité où une application redirige l'utilisateur vers une URL fournie en paramètre sans la valider, facilitant les campagnes de phishing et de vol d'identifiants.

La redirection ouverte survient quand la cible d'une redirection serveur ou client est contrôlée par l'entrée utilisateur (?next=, ?returnUrl=, ?redirect=) sans restriction aux hôtes de confiance. Les attaquants créent des liens qui pointent vers le domaine légitime mais redirigent vers un site qu'ils contrôlent et qui imite des pages de connexion ou de paiement. Comme l'URL initiale appartient à un domaine réputé, victimes et filtres anti-spam ont tendance à lui faire confiance, ce qui augmente le taux de succès du phishing. Les redirections ouvertes sont aussi chaînées dans des flux OAuth pour voler des codes d'autorisation. Les défenses incluent l'allowlist d'hôtes et de chemins, l'usage de mappings côté serveur, l'affichage d'écrans d'avertissement et la signature des paramètres de redirection.

Exemples

  1. 01

    `https://banque.exemple/login?next=https://attaquant.tld/login` qui mène vers un clone collectant les identifiants.

  2. 02

    Un `redirect_uri` OAuth détourné pour exfiltrer des codes d'autorisation vers un endpoint malveillant.

Questions fréquentes

Qu'est-ce que Redirection ouverte ?

Vulnérabilité où une application redirige l'utilisateur vers une URL fournie en paramètre sans la valider, facilitant les campagnes de phishing et de vol d'identifiants. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.

Que signifie Redirection ouverte ?

Vulnérabilité où une application redirige l'utilisateur vers une URL fournie en paramètre sans la valider, facilitant les campagnes de phishing et de vol d'identifiants.

Comment se défendre contre Redirection ouverte ?

Les défenses contre Redirection ouverte combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Quels sont les autres noms de Redirection ouverte ?

Noms alternatifs courants : Redirection non validée.

Termes liés

Voir aussi