Le CERT-FR alerte sur les menaces liées aux cookies de session, des pistes de contre-mesures proposées
Extra-pépites
Le 23 juin 2022 à 14h44
9 min
Logiciel
Logiciel
Le CERT-FR a publié il y a quelque temps un document pour alerter les entreprises et organisations du risque planant autour des cookies de session. Ces derniers peuvent en effet être autant de points d’entrée dans les réseaux, permettant alors aux assaillants de dérober des données sensibles.
Le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques est un organisme de l’ANSSI dont la mission est clairement indiquée par son nom. En première ligne face aux incidents de cybersécurité, il a été créé pour soutenir les institutions de l’État, Opérateurs d’Importance Vitale (OIV), juridictions, autorités indépendantes ou encore collectivités territoriales. Il est également un important point de repère pour les entreprises.
Il communique régulièrement sur certains aspects. Le 25 mai, une alerte spécifique a été émise sur les cookies de session. Le CERT-FR publie régulièrement ce genre de document pour attirer l’attention du public (au sens large) sur un aspect technique spécifique.
Pourquoi les cookies de session ? Parce qu’en dépit de leur taille insignifiante, ils agissent comme des clés dans certains scénarios d’attaque. Le Centre préfère prévenir et inviter à se pencher sérieusement sur leur gestion. Même si, comme on va le voir, c’est déjà trop tard pour un certain nombre de structures.
Qu’est-ce qu’un cookie de session ?
Un cookie de session n’est pas très différent d’un cookie classique. Il s’agit d’un minuscule fichier de quelques kilo-octets à peine contenant une information qui ne sert qu’une finalité : maintenir un lien entre un site et un navigateur. La maintenance de cet état est très utile pour se rappeler que le butineur est déjà passé par là, par exemple pour retenir les préférences d’une personne sans passer par un compte dédié.
Plus spécifiquement, le cookie de session est là pour marquer qu’une authentification a déjà eu lieu. Plutôt que de redemander à l’internaute l’identifiant et le mot de passe, le navigateur se repère au cookie et voit qu’un compte a déjà été renseigné. Il se réfère à l’information présente pour sauter une étape dont la répétition serait rapidement rébarbative.
Mais comme souvent quand il s’agit de simplifier un processus, la sécurité peut en prendre un coup. Puisque les cookies de session peuvent servir à authentifier une personne sur un site, ils peuvent devenir eux-mêmes des cibles pour les pirates en tous genres.
Bien utilisé, un cookie de session peut donner accès à de précieuses ressources sur un réseau. Et pour cause : « ils permettent de contourner la plupart des solutions d’authentification multifacteurs, puisque les sessions dérobées sont déjà authentifiées ». Ils peuvent également être utilisés pour une latéralisation – exécution de code sur une machine distante – dans un environnement mixte, comprenant une partie de l’infrastructure dans le cloud.
Avec le temps, des logiciels malveillants ont été développés dans le but exprès de voler ces cookies de session. Nommés « stealers », ils automatisent le processus. En outre, ce type d’opération est devenu si courant que l’on peut acheter ces cookies à faible prix sur des boutiques spécialisées comme Genesis, Russian Market, ou encore Black Hat Forum. Cette forte disponibilité a invité le CERT-FR à faire le point.
Les cookies très utilisés dans les attaques de ces dernières années
Le groupe LAPSUS$ a copieusement fait parler de lui au cours de l’année écoulée par plusieurs opérations de piratage d’envergure sur des entreprises aussi connues que EA et NVIDIA.
Dans le cas d’EA, le piratage aurait été rendu possible par l’achat d’un cookie de session pour la très modique somme de 10 dollars, fournissant un premier vecteur d’intrusion. De là, le ou les pirates ont pu se connecter au Slack de l’entreprise et déclencher des demandes au support. Ils ont ainsi pu obtenir des jetons d’authentification et contourner l’authentification à facteurs multiples, leur ouvrant grandes les portes du réseau. Ils ont alors dérobé le code source de FIFA 2021 et du moteur de jeu Frostbite, ainsi qu’un nombre indéterminé d’autres outils internes et lots de données pour un total de 780 Go.
Le CERT-FR attire également l’attention sur le cas d’Okta, dont le piratage en mars a une nouvelle fois attiré l’attention sur les cookies de session. OKTA est spécialisée dans la gestion d’identités et d’accès. Le modus operandi avait été peu ou prou le même, à ceci près que l’intrusion avait commencé chez Sitel, sous-traitant d’Okta. Finalement, le piratage avait eu peu d’effet, mais les retombées potentielles d’une telle attaque auraient pu être, on l’imagine, très sérieuses.
D’autres exemples sont cités. La désormais célèbre compromission de SolarWinds en 2020 aurait démarré avec l’utilisation d’un cookie de session. Ces derniers se retrouvent fréquemment associés au mode opératoire NOBELIUM ou d’autres modes proches, comme DARK HALO.
Pour ce dernier, la société Volexity a enquêté sur plusieurs incidents ayant visé un think tank (non nommé). L’un des moyens employé a consisté à voler une clé privée associée à l’outil Duo, permettant la génération de cookies de session reconnus valides par Outlook, dont l’authentification à deux facteurs était justement déléguée à Duo MFA.
La société de cybersécurité Mandiant – qui avait notamment été engagée par Viasat pour enquêter sur son intrusion – a de son côté analysé le mode opératoire UNC2452, utilisé notamment lors de l’attaque d’une structure. Là encore, un cookie de session volé a permis de s’infiltrer dans l’environnement Microsoft 365. Comment ? Parce que certains postes avaient été infectés avec CryptBot. Selon Mandiant, les auteurs de l’attaque se seraient procuré le fameux cookie auprès des concepteurs du malware.
Les exemples fournis par le Centre mettent en évidence une menace accrue avec la généralisation du SSO (Single Sign-On) des solutions de type Microsoft 365 et du cloud.
Réduire les risques
L’avertissement du CERT-FR invite à la méfiance et à resserrer la vis. Il ne s’agit pas de pointer une défaillance inhérente aux cookies de session, à moins de vouloir déplacer radicalement le curseur vers la sécurité maximale, auquel cas de tels cookies devraient être totalement interdits dans certains cas spécifiques.
De manière générale, le Centre de veille recommande d’évaluer la situation pour chaque type d’accès. Dans le cas d’une session d’authentification permettant d’accéder à des informations sensibles, la durée de conservation du cookie ne devrait pas dépasser « quelques minutes tout au plus ». Et oui, pour les opérations considérées comme les plus sensibles, ne pas hésiter à exiger une réauthentification.
Parmi les autres conseils, on trouve également la journalisation des actions associées à une session ou, dans le cas d’une authentification mutuelle (les deux partis doivent se prouver leur identité), vérifier pour chaque requête qu’un identifiant de session est toujours associé au même certificat client. En fonction de la situation et de la structure, le CERT-FR évoque la possibilité d’installer des mesures de détection d’usurpation de session. L’une des plus simples consiste à comparer l’adresse IP et les horaires de connexion. Dans le cas d’un résultat incohérent, une réauthentification peut être exigée.
Ces mesures doivent s’accompagner de toutes celles recommandées dans d’autres pans de la sécurité informatique, notamment pour la gestion des droits utilisateurs : comptes nominatifs, vérification systématique des autorisations lors d’un accès à une ressource protégée, respect du principe du moindre privilège, gestion formalisée du cycle de vie des comptes, journalisation des accès et ainsi de suite.
Le CERT-FR note que les opérations de piratage deviennent particulièrement « dévastatrices » quand elles réussissent à remonter jusqu’à la couche d’administration, les assaillants récupérant alors d’importants privilèges. Le Centre recommande de dédier des postes spécifiques à l’administration, sans exposition aux usages bureautiques, à la navigation web ou aux messageries, avec toujours ce leitmotiv : plus un système a de privilèges, plus ses usages doivent être restreints.
Plusieurs guides de l’ANSSI sont mis en avant pour une documentation plus complète :
- Le guide d’hygiène numérique
- Les Recommandations pour la mise en œuvre d'un site web
- Les Recommandations relatives à l’authentification multifacteur et aux mots de passe
- Les Recommandations relatives à l'administration sécurisée des systèmes d’information
Et le grand public alors ?
La communication du CERT-FR s’adresse essentiellement aux entreprises et plus généralement aux structures assez grandes pour posséder un réseau informatique pouvant abriter des informations de valeur.
Toute la question est là, expliquant pourquoi, dans ce type de scénario, le grand public n’est presque jamais concerné. Une attaque informatique exige des compétences, des moyens et du temps, qui ne sont en général mis en mouvement que contre une cible qui aurait quelque donnée ou renseignement capable de faire l’objet d’une vente ou d’un chantage.
Comme on a pu le voir toutefois avec certaines opérations de spearphishing (ou harponnage), des groupes de pirates peuvent préparer méticuleusement une opération s’appuyant sur une personne clé de l’organisation et qui constituera le maillon faible, le fameux facteur humain. Pas besoin que cette personne soit au sommet de la hiérarchie ou occupe un poste clé. Comme avec le vol de cookie de session, les assaillants cherchent un point d’entrée.
Le CERT-FR alerte sur les menaces liées aux cookies de session, des pistes de contre-mesures proposées
-
Qu’est-ce qu’un cookie de session ?
-
Les cookies très utilisés dans les attaques de ces dernières années
-
Réduire les risques
-
Et le grand public alors ?
Commentaires (10)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 23/06/2022 à 18h27
De base, j’ai déployé les conteneurs d’onglets dans Firefox pour isoler les usages: Google, santé, banques…
sans cela, c’est flippant de voir que tous les cookies du compte, ou presque, sont marqués comme accédés juste après avoir fait juste une recherche sur internet et avoir consulté à peine une site. Tout y passe: les impôts, les banques la sécu, les mutuelles les sites de vente, tous est lu.
Heureusement que je me déconnecte systématiquement après avoir consulté l’un de ces sites. Je ne laisse pas de session ouverte.
Le 23/06/2022 à 20h41
Chapeau bas pour utiliser Firefox ! Mais tu ne penses pas que la ségrégation des cookies va te simplifier la vie ? (Firefox : la Total Cookie Protection chez tous les utilisateurs, quelles conséquences ?)
Le 24/06/2022 à 07h58
De quels cookies parles tu? Par défaut, un cookie n’est renvoyé qu’à son domaine d’origine. Il faut que le développeur ait explicitement désigné le cookie comme partageable pour que celui-ci soit envoyé dans un autre domaine. Et par défaut les cookies de session ne sont pas partageable.
L’intérêt des conteneurs d’onglets de Firefox est pour contrer les cookies de tracking. Si tu vas sur un site 1, la page va appeler une resource de goole-analytics qui deposera son propre cookie. Ensuite tu vas sur un site 2 qui appelle aussi goole-analytics, la ressource de google-analytics va retrouver le cookie précédent car cela reste le même domaine (google-analytics). Si dans Firefox, tu vas sur les sites 1 et 2 dans des conteneurs différents, la ressource google-analytics du site 2 ne retrouvera pas le cookie déposer avec le site1 et en posera un nouveau. Ce qui empêche à google de traquer ta navigation inter-sites.
Le 24/06/2022 à 08h55
J’allais répondre comme Wanou, je ne comprends pas à quoi tu fais référence.
Les cookies ne peuvent pas être partagé entre domaines, ça fait partie de la “same origin policy” des navigateurs, une des bases de la sécurité.
C’est un problème bien connu des développeurs qui travaillent sur une app multi domaine par exemple.
Les cookies ont un “Domain” paramétré et peuvent uniquement être partagé avec des sous-domaines.
Sinon, il y a des solutions de contournement pour partagé des données entre domaines. En général ça passe soit par des redirections, soit par le header “Access-Control-Allow-Origin”.
Voilà un lien qui évoque le sujet par exemple :
https://stackoverflow.com/questions/3342140/cross-domain-cookies
Le 24/06/2022 à 05h48
Pour l’instant, je ne constate pas de ségrégation particulière hormis via les conteneurs. Je reste étonné qu’en 2022, les navigateurs servent encore les cookies à tous ceux qui les demandent et pas exclusivement aux domaines d’origine de ces derniers.
Avec des sites dont la session ne veut pas se terminer malgré le clic sur quitter, on est pas rendu…
Le 24/06/2022 à 12h02
Fairefox me dit juste quand un cookie à été accédé mais ne précise pas par quel site et ne donne aucune information détaillée sur le cookie en question.
Quand je vois un cookie lié aux impôts ou un site marchand marqué comme accédé il y a trois minutes alors que je ne m’y suis pas rendu ce jour là et qu’aucun onglet ouvert ne les concerne, c’est juste flippant
Le 24/06/2022 à 22h32
Par curiosité, je suis aller inspecter les cookies des impôts français (je pars du principe que tu es citoyens de France), voir ce qui l’en retourne. J’ai aussi uBlockO qui coupe manifestement un traqueur sur ce site. Sur 35 cookies,
J’ai aussi regardé d’autres sites, mais comme uBlock coupe toutes les publicités et Firefox d’autres cookies tiers, globalement, pas de surprises. Clubic stock par exemple un cookie de chez reCaptcha, enfin il ne le stock pas vue que Firefox lui décline fermement. Voilà qui devrais te rassurer sur ces petites miettes.
Opinion très personnel, mais je ne suis pas contre la présence de cookies ou d’outils de télémétrie, au contraire, je trouve que ce sont des outils d’analyse pertinent pour mieux connaitre ses utilisateurs et essayer de développer le logiciel selon leur besoin. On peux ainsi savoir quel sont les fonctionnalités les moins utilisés, ou lorsqu’un utilisateur rencontre un bug. Cependant, l’usage des cookies pour pister les utilisateurs sur internet est, je trouve, un danger pour nos libertés.
Le 26/06/2022 à 10h02
Je pense comme toi que les cookies ne sont pas forcément néfastes. Ce qui m’importe, c’est l’étanchéité entre les sites.
Effectivement, j’utilise précisément les onglets pour limiter le traçage et isolant par thèmes et en isolant en particulier les différents domaines de google.
Merci pour la manip. Je vais enquêter avec cela.
Merci à tous pour vos réponses. Le problème au final semble être du côté de Firefox qui donne à la fois trop d’informations et pas assez. Sans explications, la durée depuis le dernier accès est inutile.
A quoi bon donner la durée depuis la dernière lecture sans plus d’explications sur ce qu’il faut en conclure?
Le 25/06/2022 à 08h58
Ce n’est pas possible, hors cookies de “traçage” explicitement utilisé comme tel, et même dans ce cas il faut que le site charge le composant traceur :
Site “A” charge un composant “tracage.com” ce composant pose un cookie de traçage.
Site “B” charge un composant “tracage.com” tracage.com peut retrouver son cookie mis depuis le site A.
Le cookie de traçage appartient à “tracage.com” et ne transite pas par site A ou site B uniquement vers tracage.com
tracage.com n’a pas du tout accès aux cookies de site A ou site B.
Pour voir les cookies d’un site [F12] > Stockage > Cookies.
Sur nextinpact les cookies sont tous en SameSite “Lax” “Lax” c’est-à-dire accessibles uniquement aux sous domaines de *.nextinpact.com.
Pour moi les cookies sont bien accédés par leur site d’origine : ça peut-être simplement ton navigateur qui recharge l’icône de tes favoris au démarrage, des sites pour lesquels tu as souscrit aux notifications push, ou alors une extension de type flux RSS ou de préchargement des pages courantes ?
Le 25/06/2022 à 08h02
Excellent article, merci.