Qu'est-ce qu'une attaque de type Cross-Site Request Forgery ?
Un cross-site request forgery (CSRF) est une injection de requête(s) illégitime(s) par rebond. Concrètement, pour un attaquant, cela consiste à effectuer des opérations sur un site sans le consentement d’un utilisateur.
L’attaque consiste à provoquer l’envoi de requêtes (par exemple, GET ou POST) par une victime vers un site vulnérable, à son insu et en son nom.
L’envoi des requêtes se fait lorsque la victime visite un site malveillant ou compromis, ou clique sur un lien. L’attaque cible toujours un ou plusieurs sites en particulier qui sont vulnérables.
Le CSRF se fait toujours en aveugle, car l’attaquant provoque l’envoi d’une ou plusieurs requêtes sans obtenir de réponse.
-> Centre Gouvernemental de Veille, d'alerte et de réponse aux attaques informatiques.
-> Vaadata, services de cybersécurité pour les entreprises digitales.
La raison de ce post est que j'ai de nouveau reçu un mail de Framasphère (deux, en fait, à la même heure), m'informant que :
diaspora* a détecté une tentative d’accès à votre session qui pourrait ne pas être autorisée. Pour éviter tout risque que vos données soient compromises, vous avez été déconnecté(e). Pas de panique : vous pouvez vous connecter à nouveau et en toute sécurité.
Pas de panique ? Mais si, justement, je panique. D'abord parce que je suis une utilisatrice lambda, je connais quelques bases mais c'est tout, je ne suis ni geek ni dégourdie en informatique, donc je suis facilement paniquable dès qu'on parle d'attaque.
-- Parce qu'il y a déjà eu trois précédents, en janvier et en mars dernier. J'avais posté à ce sujet.
-- Parce qu'hier soir, à l'heure où le mail est arrivé dans ma boîte, 21:40, j'étais ici en train de publier, et je ne me souviens pas avoir été déconnectée, aurais-je pu ne pas m'en apercevoir ?
Ceci peut être dû à une extension manipulant la requête ou créant des requêtes sans le jeton – un ancien onglet resté ouvert – un autre site web faisant des requêtes avec ou sans votre permission – divers autres outils externes – du code malveillant essayant d’accéder à vos données.
Reprenons. J'ai quoi, comme extensions... Cookie AutoDelete, mais il est désactivé. Grammalecte. Invidition. Lilo le moteur de recherche. Privacy Badger. Ublock Origin. Est-ce le récent bug de Firefox avec les plugins aurait pu laisser des traces ?...
-- Un onglet ouvert, ça c'est évident ; "ancien onglet resté ouvert", ça l'est moins, je les ferme systématiquement une fois utilisés. Si je prends une fourchette entre 21:00 et 21:40, hier soir j'ai visité dix sites. Onze avec Frama.
Mais quel outil ai-je à ma disposition pour savoir si l'un de ces sites a fait des requêtes, et lesquelles ?... :/
-- divers autres outils externes. (comprends pas). (est-ce que ça pourrait être cette fenêtre flottante intempestive qui m'enjoint de télécharger Adobe Flash Player ?...).
-- du code malveillant. 'o.o' ...et vous voudriez que je paniquasse point ?...
-- questions subsidiaires, est-ce que les errors 404 et 500 que subit le site en ce moment pourraient offrir une vulnérabilité, et est-ce que d'autres membres de Framasphère ont rencontré ce type d'attaque ?
Comprenons-nous, je ne suis pas en train de faire une critique, il n'y a absolument aucune raison.
Mais j'ai besoin d'aide, ça oui : cette mésaventure de CSRF ne m'arrive que sur Framasphère, et nulle part ailleurs.
J'appelle donc à l'aide les podmins et les collaborateurs de Framasphère pour m'aider à comprendre ce qui se passe, et si possible trouver comment m'en protéger. J'aime Diaspora et Frama, c'est facile à constater, je suis là tout le temps. (trop, peut-être...).
C'est un espace de liberté, et je m'y sens en sécurité ; j'aimerais pouvoir continuer à m'y sentir en sécurité... Un grand merci de votre attention, et un encore plus grand merci si vous répondez... <3
Bon dimanche. :)
#diaspora #framasphère #attaque #requêtes #code #session #Cross-Site-Request-Forgery #aide #podmin