Retour

Vol de session, XSS et CSRF

De façon commune, ces attaques ciblent d'abord chaque appareil individuellement pour voler les informations liées à l'utilisateur, puis le serveur avec les informations obtenues. Elles consistent à injecter un script dans le langage Javascript utilisé par l'application cliente.

Elles ciblent donc particulièrement les applications basés sur le langage Javascript, comme les applications web ou les applis hybrides.

Vol de session (ou de cookie)

Vols de session

Dans les vols de session, l'attaquant utilise un exploit sur l'appareil pour prendre le contrôle de la session entre l'appareil et le serveur. Il déconnecte ensuite l'appareil des échanges. Le serveur croit communiquer avec l'appareil initial et envoie des informations confidentielles à l'attaquant.

Attaque "XSS" (Cross-Site Scripting)

Les sociétés comme Twitter, Facebook, MySpace ou YouTube ont été victimes de l'une des différentes formes de l'attaque XSS, qui représente l'une des principales menaces sur le réseau.

Attaques XSS (Cross-Site Scripting)

Le principe de l'attaque XSS repose sur la confiance que le client manifeste à l'égard du serveur, et la possibilité de mélanger des scripts Javascript avec la description HTML d'informations dans une page web. L'attaquant utilise les failles XSS de l'application pour injecter un script dans la page web utilisée par l'appareil. Le script malveillant peut soit rediriger l'utilisateur de façon transparente vers un serveur malveillant, soit permettre l'attaquant à voler la session de l'utilisateur et injecter des commandes dangereuses.

Attaque "CSRF" (Cross-site request forgery)

Les attaques de type CSRF réussies sont peu documentées. Néanmoins, une banque européenne a autorisé des transferts financiers illicites à cause d'une attaque CSRF, et des pirates se sont introduits dans dans le sytème d'un opérateur télécom asiatique pour voler les coordonnées de 8 millions de clients grâce à une attaque du même type.

Attaques CSRF (Cross-site request forgery)

A l'inverse de l'attaque XSS qui exploite la confiance que manisfeste un appareil pour un serveur particulier, l'attaque CSRF exploite la confiance que manifeste un serveur à l'égard du navigateur d'un utilisateur ou d'une appli hybride. Dans une première phase, l'utilisateur se connecte à un serveur connu et s'authentifie. Puis il est re-dirigé vers un serveur malveillant, qui injecte un script dans le navigateur de l'utilisateur ou dans l'appli hybride. Ce script déclenche l'envoi par l'appareil d'une action à destination du premier serveur. Si le serveur ciblé enregistre la connexion avec l'appareil dans un cookie et le cookie n'est pas expiré, l'action peut aboutir.


Avec le progiciel de mobilité Motilia, les données métier ne sont pas transmises dans un contexte technique basé sur HTML et Javascript. Par ailleurs, un mécanisme de sécurité intégré protège l'authenticité et l'intégrité de la communication entre les appareils mobiles et le serveur.


En déployant votre solution mobile avec Motilia, vous bénéficiez des mécanismes de sécurité intégrés