La chronique sécurité de Paul : « Les cookies »

Paul Chronique Sécurité SiebmanB

Paul est de retour avec la suite de la chronique sécurité. Aujourd’hui, il s’attaque aux cookies… Je vous rappelle que cette chronique s’inscrit dans ma ligne éditoriale afin de fournir aux entrepreneurs débutants dans le web une base de connaissances. Paul décrit donc la base, mais il le fait avec beaucoup d’humour :D. Experts en informatique, passez votre chemin (aller sur « Je n’ai jamais » par exemple).

Son profil Linkedin.


Non, les cookies c’est pas bon !

Me regardez pas avec des gros yeux, je dis pas ça parce que j’ai faim !

Les cookies sont (en informatique bien entendu) des fichiers qui sont stockés sur votre machine pour conserver un certain état sur un ou plusieurs sites. Je m’explique : vous vous connectez sur un site, vous fermez votre navigateur et vous le rouvrez, vous êtes toujours connecté ! Wow ! Justement, cela est dû aux cookies. Bien entendu, les cookies facilitent la vie de l’internaute et ce dernier ne doit pas tout le temps se reconnecter, etc. Mais il ouvre aussi de nouveaux vecteurs d’attaques…

Imaginons une situation : vous vous connectez à votre messagerie électronique préférée, vous avez donc un cookie qui est créé sur votre machine. Et si quelqu’un venait à vous le voler ? Il serait alors connecté sous votre identité et pourrait faire n’importe quoi comme changer votre mot de passe, récupérer d’autres identifiants (pourquoi pas de banque ?) etc.

C’est donc pour ces raisons que je suis plutôt sceptique quant à l’utilisation des cookies sur un site web. A la place, j’utilise toujours des sessions, similaires au cookies mise à part que la majorité des informations sont stockées sur le serveur, plutôt que chez le client.

J’atténue mes propos en disant « la majorité des informations » car le client contient toujours un identifiant de session sur sa machine qui, s’il est volé, permet aussi de se connecter au site. Les sessions sont tout de même plus sécuritaires et permettent pratiquement les mêmes traitements que les cookies. Par contre, si vous fermez votre navigateur, vous perdez alors toutes vos sessions en cours. Bien entendu, cela peut être plutôt ennuyant, mais d’un autre côté, je trouve qu’il procure bien entendu plus de sécurité. Pour plus d’informations, vous pouvez voir comment utiliser les sessions en PHP, ce qui est un vrai jeu d’enfants.

Je suis sûr que vous vous demandez comment le pirate peut faire pour récupérer par exemple notre cookie ?

Ah ! On arrive justement au point qui en traite, ce sont les failles XSS (Cross Site Scripting). Elles permettent l’injection de code JavaScript / HTML etc. dans la page. Dès lors, il suffit de donner une url avec du code malveillant et la victime pourrait se faire voler son cookie, ou encore tomberait sur un site de phishing (site d’hammeçonnage, site de contrefaçon qui reprend l’esthétique d’un site en particulier pour faire croire à sa victime que c’est le bon).

Les failles XSS ce sera pour la prochaine fois !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *