CyberGlossary

Attaques et menaces

Détournement de session

Aussi appelé: Hijacking de session

Définition

Attaque qui prend le contrôle de la session authentifiée d'une victime en volant ou en forgeant son identifiant de session, pour agir comme l'utilisateur sans ses identifiants.

Le détournement de session cible le jeton utilisé pour maintenir une session authentifiée — généralement un cookie ou un bearer token — et le rejoue depuis un client contrôlé par l'attaquant. Les jetons peuvent être capturés par sniffing sur des liens non chiffrés, exfiltrés via XSS, volés par un malware client, devinés en cas de génération prévisible, imposés via session fixation ou compromis chez un tiers. Une fois la session rejouée, l'attaquant contourne l'authentification, y compris une MFA déjà passée. Les défenses comprennent HTTPS partout avec HSTS, des cookies sécurisés (Secure, HttpOnly, SameSite), une CSP forte contre le XSS, des jetons à durée de vie courte et tournants, des jetons liés à l'appareil (DPoP, Token Binding, passkeys), une réauthentification basée sur le risque et la détection d'anomalies (IP, empreinte d'appareil, ASN).

Exemples

  • Un payload XSS exfiltre le cookie de session d'un utilisateur connecté vers l'attaquant, qui le colle dans son navigateur pour usurper son identité.
  • Un malware sur un poste vole un refresh token OAuth, accordant un accès persistant à une application SaaS.

Termes liés