Cookies : le petit plaisir des pirates informatiques.

Nous expliquons les méthodes utilisées par les cybercriminels pour intercepter les cookies, le rôle de l’identifiant de session et les mesures à prendre pour empêcher vos cookies de passer du côté obscur.

Comment protéger vos cookies et votre identifiant de session

Ouvrez n’importe quel site Internet, et la première chose que vous verrez probablement est une fenêtre contextuelle vous informant de l’utilisation de cookies. Vous avez généralement la possibilité d’accepter tous les cookies, d’accepter uniquement ceux qui sont nécessaires ou de les refuser catégoriquement. Quel que soit votre choix, vous ne constaterez probablement aucune différence, et la notification disparaîtra de l’écran dans tous les cas.

Aujourd’hui, nous allons approfondir la question des cookies : leur utilité, les types existants, comment les pirates peuvent les intercepter, les risques encourus et comment se protéger.

Qu’est-ce qu’un cookie ?

Lorsque vous visitez un site Internet, celui-ci envoie un cookie à votre navigateur. Il s’agit d’un petit fichier texte qui contient des données à propos de vous, de votre système et des actions que vous avez effectuées sur le site. Votre navigateur stocke ces données sur votre appareil et les renvoie au serveur chaque fois que vous revenez sur ce site. Ce système simplifie votre interaction avec le site : vous n’avez pas besoin de vous connecter à chaque page, les sites mémorisent vos paramètres d’affichage, les boutiques en ligne conservent les articles dans votre panier, les services de streaming savent à quel épisode vous vous êtes arrêté… les avantages sont infinis.

Les cookies peuvent stocker votre identifiant, votre mot de passe, vos jetons de sécurité, votre numéro de téléphone, votre adresse postale, vos coordonnées bancaires et votre identifiant de session. Examinons de plus près l’identifiant de session.

Un identifiant de session est un code unique attribué à chaque utilisateur lorsqu’il se connecte à un site Internet. Si un tiers parvient à intercepter ce code, le serveur Internet le considérera comme un utilisateur légitime. Voici une analogie simple : imaginez que vous pouvez entrer dans votre bureau à l’aide d’un badge électronique doté d’un code unique. Si votre badge est volé, le voleur, qu’il vous ressemble ou non, peut ouvrir sans difficulté toutes les portes auxquelles vous avez accès. Pendant ce temps, le système de sécurité pensera que c’est vous qui entrez. On dirait une scène tirée d’une série policière, n’est-ce pas ? La même chose se produit en ligne : si un pirate informatique vole un cookie contenant votre identifiant de session, il peut se connecter à un site Internet auquel vous étiez déjà connecté, sous votre nom, sans avoir à saisir de nom d’utilisateur ni de mot de passe. Parfois, il peut même contourner l’authentification à deux facteurs. En 2023, des pirates informatiques ont piraté les trois chaînes YouTube du célèbre blogueur spécialisé dans les technologies Linus Sebastian : « Linus Tech Tips » et deux autres chaînes YouTube du Linus Media Group comptant des dizaines de millions d’abonnés. Voici comment ils s’y sont pris. Nous avons déjà traité cette affaire en détail.

Quels types de cookies existe-t-il ?

Passons maintenant en revue les différentes catégories de cookies. Tous les cookies peuvent être classés selon un certain nombre de caractéristiques.

Par durée de conservation

  • Cookies temporaires ou de session. Ils ne sont utilisés que lorsque vous vous trouvez sur le site Internet. Ils sont supprimés dès que vous le quittez. Ils sont nécessaires pour vous permettre de rester connecté lorsque vous naviguez d’une page à l’autre, ou pour mémoriser la langue et la région que vous avez sélectionnées.
  • Cookies persistants. Ils sont conservés sur votre appareil une fois que vous avez quitté le site. Ils vous évitent d’avoir à accepter ou refuser les politiques relatives aux cookies à chaque visite. Ils ont une durée de vie d’environ un an.

Il est possible que des cookies de session deviennent persistants. Par exemple, si vous cochez une case du type « Se souvenir de moi », « Enregistrer les paramètres » ou équivalent sur un site Internet, les données seront enregistrées dans un cookie persistant.

Par provenance

  • Cookies propriétaires. Ces cookies sont générés par le site Internet lui-même. Ils permettent au site de fonctionner correctement et aux visiteurs de profiter d’une expérience optimale. Ils peuvent également être utilisés à des fins d’analyse et de marketing.
  • Cookies tiers. Ces cookies sont collectés par des services externes. Ils sont notamment utilisés pour afficher des annonces et collecter des statistiques publicitaires. Cette catégorie comprend également les cookies provenant de services d’analyse, tels que Google Analytics et les plateformes de réseaux sociaux. Ces cookies enregistrent vos identifiants de connexion, vous permettant ainsi d’ajouter une mention J’aime à une page ou de partager du contenu sur les réseaux sociaux en un seul clic.

Par importance

  • Cookies obligatoires ou indispensables. Ces cookies prennent en charge les fonctionnalités essentielles d’un site, comme dans le cas de la vente de produits sur une plateforme d’e-commerce. Dans ce cas, chaque utilisateur dispose d’un compte personnel, et les cookies essentiels stockent son identifiant, son mot de passe et son identifiant de session.
  • Cookies facultatifs. Ces cookies sont utilisés pour suivre le comportement des utilisateurs et personnaliser les publicités de façon plus précise. La plupart des cookies facultatifs appartiennent à des tiers et ne vous empêchent pas d’utiliser toutes les fonctionnalités du site.

Par technologie de stockage

  • Cookies standard. Ces cookies sont stockés dans des fichiers texte dans le stockage standard du navigateur. Lorsque vous effacez les données de votre navigateur, ces cookies sont supprimés, et les sites qui les ont envoyés ne vous reconnaîtront plus.
  • Cookies spéciaux. Il existe deux sous-types particuliers : supercookies et evercookies, qui stockent les données d’une manière atypique. Les supercookies sont intégrés dans les en-têtes des sites Internet et stockés à des endroits atypiques, ce qui leur permet d’éviter d’être supprimés par la fonction de nettoyage du navigateur. Les evercookies peuvent être restaurés à l’aide de JavaScript même après avoir été supprimés. Cela signifie qu’ils peuvent être utilisés à des fins de suivi persistant et peu contrôlable des utilisateurs.

Un même cookie peut appartenir à plusieurs catégories : par exemple, la plupart des cookies facultatifs sont des cookies tiers, tandis que les cookies obligatoires incluent les cookies temporaires responsables de la sécurité d’une session de navigation spécifique. Pour en savoir plus sur la façon dont ces différents types de cookies sont utilisés et à quel moment, consultez le rapport complet sur Securelist.

Comment les identifiants de session sont volés par le détournement de session

Les cookies contenant un identifiant de session sont les cibles les plus attrayantes pour les pirates informatiques. Le vol d’un identifiant de session est également appelé détournement de session. Examinons quelques-unes des méthodes les plus intéressantes et les plus répandues.

Reniflage de session

Le détournement de session est possible en surveillant ou en « reniflant » le trafic Internet entre l’utilisateur et le site Internet. Ce type d’attaque se produit sur les sites qui utilisent le protocole HTTP, moins sécurisé, au lieu du protocole HTTPS. Dans le cas du protocole HTTP, les fichiers cookies sont transmis en texte clair dans les en-têtes des requêtes HTTP, ce qui signifie qu’ils ne sont pas chiffrés. Un acteur malveillant peut alors facilement intercepter le trafic entre vous et le site Internet sur lequel vous vous trouvez, et en extraire les cookies.

Ces attaques se produisent souvent sur les réseaux Wi-Fi publics, surtout s’ils ne sont pas protégés par les protocoles WPA2 ou WPA3. C’est pourquoi il est recommandé d’agir avec la plus grande prudence lorsque vous utilisez des points d’accès publics. Il est beaucoup plus sûr d’utiliser les données mobiles. Si vous voyagez à l’étranger, il est conseillé d’utiliser une eSIM.

Attaques XSS (cross-site scripting)

Les scripts intersites figurent systématiquement parmi les principales vulnérabilités dans la sécurité Internet, et pour cause. Ce type d'attaque permet à des acteurs malveillants d'accéder aux données d'un site, y compris aux fichiers cookies qui contiennent les identifiants de session convoités.

Voici ce qui se passe : le pirate trouve une faille dans le code source du site et y injecte un script malveillant. Il ne vous reste alors plus qu'à visiter la page infectée pour dire adieu à vos cookies. Le script obtient un accès complet à vos cookies et les envoie au cybercriminel.

Falsification de requête intersite (CSRF/XSRF)

Contrairement à d'autres types d'attaques, la falsification de requête intersite exploite la relation de confiance entre un site Internet et votre navigateur. Un pirate informatique trompe le navigateur d'un utilisateur authentifié afin qu'il effectue une action non souhaitée à son insu, par exemple modifier un mot de passe ou supprimer des données, comme des vidéos mises en ligne.

Pour ce type d'attaque, l'auteur de la menace crée une page Internet ou un email contenant un lien malveillant, du code HTML ou un script avec une requête vers le site Internet vulnérable. Il suffit d'ouvrir la page ou l'email, ou de cliquer sur le lien, pour que les navigateurs envoient automatiquement la demande malveillante au site cible. Tous vos cookies pour ce site seront joints à la demande. Considérant que c'est vous qui avez demandé, par exemple, la modification du mot de passe ou la suppression du canal, le site exécutera la demande des pirates en votre nom.

C'est pourquoi nous vous recommandons de ne pas ouvrir les liens reçus de la part d'inconnus et d'installer une solution de sécurité fiable capable de vous avertir de la présence de liens ou de scripts malveillants.

Identifiants de session prévisibles

Parfois, les pirates n'ont pas besoin d'utiliser des stratagèmes complexes : ils peuvent simplement deviner l'identifiant de session. Sur certains sites Internet, les identifiants de session sont générés par des algorithmes prévisibles et peuvent contenir des informations telles que votre adresse IP ainsi qu'une séquence de caractères facilement reproductible.

Pour mener à bien ce type d'attaque, les pirates informatiques doivent collecter suffisamment d'échantillons d'identifiants, les analyser, puis déterminer l'algorithme de génération afin de prédire eux-mêmes les identifiants de session.

Il existe d'autres moyens de voler un identifiant de session, comme les attaques de fixation de session, d'injection de cookie et de l'homme du milieu (MitM). Ces méthodes sont décrites dans notre article dédié sur Securelist.

Comment se protéger contre les voleurs de cookies

Une grande partie de la responsabilité en matière de sécurité des cookies incombe aux développeurs de sites Internet. Nous leur fournissons des conseils dans notre rapport complet sur Securelist.

Toutefois, il existe certaines mesures que nous pouvons tous prendre pour assurer notre sécurité en ligne.

  • Saisissez vos données personnelles uniquement sur les sites Internet qui utilisent le protocole HTTPS. Si vous remarquez la mention "HTTP" dans la barre d'adresse, n'acceptez pas les cookies et n'envoyez aucune information confidentielle, comme vos identifiants, mots de passe ou coordonnées bancaires.
  • Prêtez attention aux alertes des navigateurs. Si vous recevez un avertissement concernant un certificat de sécurité incorrect ou suspect lorsque vous visitez un site, fermez immédiatement la page.
  • Mettez régulièrement à jour votre navigateur ou activez les mises à jour automatiques. Vous bénéficierez ainsi d'une meilleure protection contre les vulnérabilités connues.
  • Effacez régulièrement les cookies et le cache de vos navigateurs. Cette mesure empêche l'exploitation d'anciens fichiers cookies et identifiants de session susceptibles d'avoir fait l'objet d'une fuite. La plupart des navigateurs disposent d'un paramètre permettant de supprimer automatiquement ces données lorsque vous les fermez.
  • Ne cliquez pas sur les liens suspects. Cette remarque s'applique tout particulièrement aux liens reçus de la part d'inconnus via une application de messagerie ou par email. Si vous ne parvenez pas à faire la différence entre un lien authentique et un lien de phishing, installez une solution de sécurité capable de vous alerter avant la visite d'un site malveillant.
  • Activez l'authentification à deux facteurs (2FA) dans la mesure du possible. Kaspersky Password Manager est une solution pratique pour stocker vos jetons 2FA et générer des codes à usage unique. Elle les synchronise sur l'ensemble de vos appareils, ce qui complique considérablement la tâche d'un pirate informatique qui souhaiterait accéder à votre compte après la fin d'une session, même s'il venait à voler votre identifiant de session.
  • Refusez tous les cookies sur tous les sites Internet. Accepter tous les cookies de tous les sites n'est pas la meilleure stratégie. De nombreux sites Internet offrent désormais le choix entre accepter tous les cookies ou accepter uniquement les cookies essentiels. Dans la mesure du possible, choisissez l'option " cookies obligatoires/essentiels uniquement ", car ce sont ceux dont le site a besoin pour fonctionner correctement.
  • Connectez-vous aux réseaux Wi-Fi publics uniquement en dernier recours. Ils sont souvent mal sécurisés, et les pirates informatiques en profitent. Si vous devez vous y connecter, évitez de vous identifier sur les réseaux sociaux ou vos comptes de messagerie, d'utiliser les services bancaires en ligne ou d'accéder à tout autre service nécessitant une authentification.

Vous souhaitez en savoir plus à propos des cookies ? Lisez ces articles :

Conseils
  • For all other countries