Détournement de session
Qu'est-ce que Détournement de session ?
Détournement de sessionAttaque qui prend le contrôle de la session authentifiée d'une victime en volant ou en forgeant son identifiant de session, pour agir comme l'utilisateur sans ses identifiants.
Le détournement de session cible le jeton utilisé pour maintenir une session authentifiée — généralement un cookie ou un bearer token — et le rejoue depuis un client contrôlé par l'attaquant. Les jetons peuvent être capturés par sniffing sur des liens non chiffrés, exfiltrés via XSS, volés par un malware client, devinés en cas de génération prévisible, imposés via session fixation ou compromis chez un tiers. Une fois la session rejouée, l'attaquant contourne l'authentification, y compris une MFA déjà passée. Les défenses comprennent HTTPS partout avec HSTS, des cookies sécurisés (Secure, HttpOnly, SameSite), une CSP forte contre le XSS, des jetons à durée de vie courte et tournants, des jetons liés à l'appareil (DPoP, Token Binding, passkeys), une réauthentification basée sur le risque et la détection d'anomalies (IP, empreinte d'appareil, ASN).
● Exemples
- 01
Un payload XSS exfiltre le cookie de session d'un utilisateur connecté vers l'attaquant, qui le colle dans son navigateur pour usurper son identité.
- 02
Un malware sur un poste vole un refresh token OAuth, accordant un accès persistant à une application SaaS.
● Questions fréquentes
Qu'est-ce que Détournement de session ?
Attaque qui prend le contrôle de la session authentifiée d'une victime en volant ou en forgeant son identifiant de session, pour agir comme l'utilisateur sans ses identifiants. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Détournement de session ?
Attaque qui prend le contrôle de la session authentifiée d'une victime en volant ou en forgeant son identifiant de session, pour agir comme l'utilisateur sans ses identifiants.
Comment se défendre contre Détournement de session ?
Les défenses contre Détournement de session combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Détournement de session ?
Noms alternatifs courants : Hijacking de session.