Cette analyse de Kaspersky (securelist) examine en profondeur le rôle des cookies de navigateur comme composants de sécurité et montre comment les cookies de session contenant des Session IDs deviennent des cibles majeures. Le contenu couvre les types de cookies, les exigences de conformité (GDPR, CCPA, LGPD), et comment une mauvaise gestion peut exposer des identifiants d’authentification et des données personnelles.
L’étude détaille plusieurs vecteurs d’attaque : session hijacking, XSS, CSRF, et man-in-the-middle. Sur le plan technique, elle décrit la capture de session via HTTP non chiffré, le vol de cookies par injection JavaScript malveillante (XSS), la session fixation avec des Session IDs prédéfinis, ainsi que le cookie tossing exploitant des vulnérabilités de sous-domaine.
Côté mécanismes de défense, le document explique l’usage des attributs HttpOnly et Secure, de SameSite, et des jetons CSRF. Il recommande l’application d’HTTPS avec HSTS, la génération cryptographiquement sûre des Session IDs, les cookies préfixés __Host-, la Content Security Policy (CSP), et des approches serveur pour la gestion de session.
🔗 Source originale : https://securelist.com/cookies-and-session-hijacking/117390/
🖴 Archive : https://web.archive.org/web/20250902104859/https://securelist.com/cookies-and-session-hijacking/117390/