Le vol de cookies, une nouvelle technique (redoutablement efficace) des pirates pour s'accaparer vos données

Il y a quelques mois, et plus précisément dans le courant du mois de mai 2022, l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Informations) a identifié une nouvelle menace liées aux vols de cookies et contre-mesures. Loin d'être anodine, elle est d'une efficacité bien plus que redoutable, et pour cause, cette technique permet aux pirates de déjouer l'authentification à double facteur afin d'accéder à vos comptes en ligne et ce, sans même avoir besoin de vos mots de passe. Autant dire qu'il s'agit d'une alerte ô combien critique, et à ne pas négliger. Mais rassurez-vous, le pirate doit disposer d'un accès (distant ou physique) à votre ordinateur. Avant toute chose il est nécessaire de comprendre que sont les cookies, à quoi servent-ils et comment se protéger d'une telle attaque ?

Il s'agit de petits fichiers de quelques ko (kilo-octet), mais si sensible. Le cookie est déposé sur votre ordinateur lorsque vous visitez un site web, c'est une requête envoyée par votre navigateur vers le serveur web distant dudit site qui répond ensuite en déposant le cookie nécessaire. Ce cookie peut avoir plusieurs rôles, le plus basique d'entre eux étant de sauvegarder vos préférences sur un site lors de votre visite, les choses se compliquent désormais lorsque vous vous identifiez sur ledit site web pour accéder à un espace personnel dédié. Dans ce cas, un autre cookie est installé afin de maintenir la connexion active entre votre ordinateur et le site, et ne pas avoir à vous ré-authentifier dans les heures ou jours qui suivent selon la configuration du serveur. Ainsi lors de votre prochaine visite vous demeurez connecté à votre espace personnel grâce à ces cookies.

La majorité des sites web nécessite le dépôt de cookie, bien qu'il soit possible de les refuser auquel cas votre expérience de navigation pourrait être altérée, voire même refusée en cas de refus total de dépôt de cookie. Sachez que tous les navigateurs web offre la possibilité de s'opposer au dépôt de ces petits fichiers, il suffit tout simplement de configurer votre navigateur web (Firefox, Chrome Brave, Opera, Safari, Vivaldi, etc) en ce sens :

Refuser les cookies sur:

Firefox
Chrome
Brave (en anglais)
Opera
Safari
Vivaldi

Dans le cas où vous choisiriez de vous y opposer totalement, vous vous exposez à une navigation web altérée : impossible de se connecter à votre compte, impossible de choisir vos préférences comme la langue, etc. Je vous recommande de ne pas bloquer totalement les cookies (dans l'hypothèse où vous avez une bonne hygiène informatique), et limiter le blocage aux cookies de suivi inter-sites lorsque le choix est dispo. Et vous pouvez également configurer vos navigateurs afin qu'ils suppriment les cookies lorsque vous fermez votre navigateur web, dans ce cas, vous devrez à chaque fois vous ré-authentifier, re-sélectionnez vos préférences de navigation, etc.

Comment se protéger d'une telle attaque ?

Comme la majorité des attaques informatiques, cela nécessite un accès distant (le plus courant) ou physique à l'ordinateur, autrement dit le champs d'action est plus ou moins restreint selon les utilisateurs visés. Voici quelques éléments afin de vous prémunir contre une telle attaque :

  • Réduire la durée de vie des cookies (dans les paramètres du navigateur) ou sur le serveur pour les administrateurs systèmes.
  • Configurer votre navigateur (dans les paramètres) afin de supprimer automatiquement tous vos cookies à sa fermeture.
  • Ne JAMAIS cliquez aveuglément sur un lien reçu par e-mail, y-compris lorsque le nom d'expéditeur est connu, et toujours vérifier l'adresse e-mail utilisée.
  • Ne JAMAIS ouvrir une pièce jointe d'un expéditeur inconnu, et lorsque ce dernier est connu, assurez-vous de la légitimité du mail avant toute action.
  • Ne JAMAIS surfer sur des sites web douteux qui peuvent contenir des éléments graphiques vérolés.
  • Installer l'extention Cookie Auto delete.
  • Suivre mes recommandations dans cet article.
  • Plus globalement, assurez-vous de la légitimité d'une quelconque sollicitation.

Ressources :

Une erreur à signaler ou une suggestion ? Contact.