par On a tous fini par activer la double authentification, ce fameux code reçu par SMS ou via une application, en se disant qu’on était enfin tranquilles. Mauvaise nouvelle : il existe une technique d’attaque qui passe allègrement au-dessus de cette protection. Elle s’appelle le vol de cookies, et elle est bien plus répandue qu’on ne l’imagine.
Pour comprendre, il faut savoir à quoi servent les cookies de session. Quand vous vous connectez à un site, votre navigateur stocke un petit fichier qui vous garde identifié, pour vous éviter de retaper votre mot de passe à chaque page. C’est pratique, mais c’est aussi un sésame. Si un pirate met la main sur ce cookie, il peut se faire passer pour vous sans connaître ni votre mot de passe ni votre code de validation.
C’est tout le problème. Le cookie de session représente une session déjà authentifiée. En l’injectant dans son propre navigateur, l’attaquant se retrouve connecté à votre compte comme si c’était lui, et la double authentification ne se redéclenche pas puisque, techniquement, vous êtes déjà passé par là. La sécurité que vous pensiez infaillible est purement et simplement court-circuitée.
Les méthodes pour dérober ces fameux cookies sont connues. Il y a les logiciels malveillants, les stealers, conçus pour aspirer les données sensibles d’un ordinateur infecté. Il y a le phishing avancé, qui utilise de faux sites relais pour capturer le cookie en temps réel pendant que vous vous connectez. Et il y a les attaques ciblées de groupes organisés qui s’en servent pour s’infiltrer dans des infrastructures critiques.
129 bonnes pratiques pour ne pas se faire piquer ses cookies ni ses comptes : un réflexe à adopter.
Cybersécurité et hygiène numérique au quotidien → voir sur Amazon
Lien affilié Amazon. En tant que Partenaire Amazon, je réalise un bénéfice sur les achats remplissant les conditions requises.
Ce ne sont pas des scénarios de laboratoire. Des affaires retentissantes comme le piratage d’Electronic Arts en 2021 ou l’attaque SolarWinds en 2020 ont impliqué le détournement de cookies de session pour contourner les contrôles de sécurité et siphonner d’énormes volumes de données. Les particuliers comme les entreprises sont concernés.
La bonne nouvelle, c’est qu’on n’est pas totalement démuni. Premier réflexe, se déconnecter réellement des services sensibles plutôt que de fermer simplement l’onglet, ce qui invalide la session et le cookie associé. Ensuite, maintenir un antivirus à jour pour bloquer les stealers, rester vigilant face aux liens douteux et aux pièces jointes inattendues, et privilégier les navigateurs qui forcent les connexions sécurisées en HTTPS.
Côté entreprises, les parades passent par des durées de session plus courtes, la détection des connexions anormales et le principe du moindre privilège. Rien de magique, mais une accumulation de bonnes pratiques qui complique sérieusement la tâche des attaquants. Parce qu’au final, le maillon faible reste souvent le clic de trop sur un lien qui n’aurait jamais dû être ouvert.
Crédit photo : DR
