{"id":476115,"date":"2023-08-09T07:25:33","date_gmt":"2023-08-09T07:25:33","guid":{"rendered":""},"modified":"2023-09-05T11:12:01","modified_gmt":"2023-09-05T11:12:01","slug":"broken-access-control","status":"publish","type":"wiki","link":"https:\/\/oneproxy.pro\/fr\/wiki\/broken-access-control\/","title":{"rendered":"Contr\u00f4le d'acc\u00e8s cass\u00e9"},"content":{"rendered":"

Le contr\u00f4le d'acc\u00e8s bris\u00e9 est une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 critique qui se produit lorsqu'une application ou un syst\u00e8me ne parvient pas \u00e0 appliquer les restrictions appropri\u00e9es sur ce \u00e0 quoi les utilisateurs peuvent acc\u00e9der. Cette vuln\u00e9rabilit\u00e9 permet \u00e0 des utilisateurs non autoris\u00e9s d'acc\u00e9der \u00e0 des informations sensibles, d'effectuer des actions auxquelles ils ne devraient pas \u00eatre autoris\u00e9s ou d'\u00e9lever leurs privil\u00e8ges au sein du syst\u00e8me. Il s\u2019agit d\u2019une faille de s\u00e9curit\u00e9 r\u00e9pandue qui peut avoir de graves cons\u00e9quences, ce qui rend essentiel pour les organisations de r\u00e9soudre et d\u2019att\u00e9nuer rapidement ces probl\u00e8mes.<\/p>\n

L'histoire du contr\u00f4le d'acc\u00e8s bris\u00e9 et sa premi\u00e8re mention<\/h2>\n

Le concept de contr\u00f4le d'acc\u00e8s bris\u00e9 est une pr\u00e9occupation depuis les d\u00e9buts des syst\u00e8mes informatiques. \u00c0 mesure que de plus en plus d\u2019applications et de sites Web \u00e9taient d\u00e9velopp\u00e9s, le probl\u00e8me des contr\u00f4les d\u2019acc\u00e8s mal appliqu\u00e9s est devenu plus \u00e9vident. Il a \u00e9t\u00e9 formellement identifi\u00e9 pour la premi\u00e8re fois comme un risque de s\u00e9curit\u00e9 dans le Top Ten Project de l\u2019Open Web Application Security Project (OWASP), qui vise \u00e0 mettre en \u00e9vidence les risques de s\u00e9curit\u00e9 des applications Web les plus critiques. Dans la liste OWASP Top Ten, les contr\u00f4les d'acc\u00e8s d\u00e9faillants occupent r\u00e9guli\u00e8rement une place \u00e9lev\u00e9e en raison de leur impact important sur la s\u00e9curit\u00e9 des applications.<\/p>\n

Informations d\u00e9taill\u00e9es sur le contr\u00f4le d'acc\u00e8s bris\u00e9<\/h2>\n

Un contr\u00f4le d'acc\u00e8s bris\u00e9 se produit lorsqu'il y a un manque de contr\u00f4les et de validations appropri\u00e9s pour garantir que les utilisateurs ne peuvent acc\u00e9der qu'aux ressources qu'ils sont autoris\u00e9s \u00e0 utiliser. Cette vuln\u00e9rabilit\u00e9 peut provenir de diverses sources, telles que des m\u00e9canismes de contr\u00f4le d'acc\u00e8s mal con\u00e7us, des configurations incorrectes ou encore des erreurs de codage. Certaines manifestations courantes d\u2019un contr\u00f4le d\u2019acc\u00e8s bris\u00e9 comprennent\u00a0:<\/p>\n

    \n
  1. \n

    Escalade des privil\u00e8ges verticaux<\/strong>: Les utilisateurs non autoris\u00e9s ont acc\u00e8s \u00e0 des niveaux de privil\u00e8ges plus \u00e9lev\u00e9s que ceux qu'ils devraient avoir, leur permettant d'effectuer des actions r\u00e9serv\u00e9es aux administrateurs ou aux utilisateurs privil\u00e9gi\u00e9s.<\/p>\n<\/li>\n

  2. \n

    Escalade horizontale des privil\u00e8ges<\/strong>: les utilisateurs non autoris\u00e9s ont acc\u00e8s \u00e0 des ressources qui ne devraient \u00eatre accessibles qu'\u00e0 d'autres utilisateurs sp\u00e9cifiques disposant de privil\u00e8ges similaires.<\/p>\n<\/li>\n

  3. \n

    R\u00e9f\u00e9rences d'objet directes<\/strong>: Lorsqu'une application utilise des r\u00e9f\u00e9rences directes \u00e0 des objets internes, les attaquants peuvent manipuler des param\u00e8tres pour acc\u00e9der \u00e0 des ressources auxquelles ils ne devraient pas avoir acc\u00e8s.<\/p>\n<\/li>\n

  4. \n

    R\u00e9f\u00e9rences d'objets directs non s\u00e9curis\u00e9s<\/strong>: L'application expose des r\u00e9f\u00e9rences d'objets internes, telles que des URL ou des cl\u00e9s, qui peuvent \u00eatre directement manipul\u00e9es par des attaquants pour acc\u00e9der \u00e0 des ressources non autoris\u00e9es.<\/p>\n<\/li>\n<\/ol>\n

    La structure interne du contr\u00f4le d'acc\u00e8s bris\u00e9 et son fonctionnement<\/h2>\n

    Le contr\u00f4le d'acc\u00e8s bris\u00e9 r\u00e9sulte de d\u00e9fauts dans la conception et la mise en \u0153uvre des m\u00e9canismes de contr\u00f4le d'acc\u00e8s. Ces syst\u00e8mes s'appuient g\u00e9n\u00e9ralement sur un ensemble de r\u00e8gles et d'autorisations qui d\u00e9terminent les actions que chaque utilisateur ou groupe peut effectuer. Lorsque ces r\u00e8gles ne sont pas appliqu\u00e9es correctement ou lorsqu\u2019elles pr\u00e9sentent des lacunes, les attaquants peuvent exploiter ces faiblesses pour contourner les contr\u00f4les d\u2019acc\u00e8s.<\/p>\n

    Par exemple, un m\u00e9canisme de contr\u00f4le d'acc\u00e8s mal con\u00e7u peut utiliser des mod\u00e8les pr\u00e9visibles ou des param\u00e8tres faciles \u00e0 deviner, permettant aux attaquants d'acc\u00e9der \u00e0 des ressources restreintes en modifiant les param\u00e8tres d'URL ou les donn\u00e9es de session. De plus, l\u2019absence de contr\u00f4les d\u2019authentification et d\u2019autorisation appropri\u00e9s peut conduire \u00e0 un acc\u00e8s non autoris\u00e9 \u00e0 des donn\u00e9es sensibles ou \u00e0 des fonctionnalit\u00e9s administratives.<\/p>\n

    Analyse des principales caract\u00e9ristiques du contr\u00f4le d'acc\u00e8s bris\u00e9<\/h2>\n

    Les principales caract\u00e9ristiques d\u2019un contr\u00f4le d\u2019acc\u00e8s bris\u00e9 comprennent\u00a0:<\/p>\n

      \n
    1. \n

      Augmentation des privil\u00e8ges<\/strong>: Les attaquants peuvent \u00e9tendre leurs privil\u00e8ges au-del\u00e0 du niveau pr\u00e9vu, obtenant ainsi un acc\u00e8s non autoris\u00e9 aux donn\u00e9es et fonctionnalit\u00e9s sensibles.<\/p>\n<\/li>\n

    2. \n

      R\u00e9f\u00e9rences d'objets directs non s\u00e9curis\u00e9s<\/strong>: les attaquants manipulent les r\u00e9f\u00e9rences d\u2019objets pour acc\u00e9der directement \u00e0 des ressources non autoris\u00e9es.<\/p>\n<\/li>\n

    3. \n

      Validation inad\u00e9quate<\/strong>: Le manque de validation appropri\u00e9e des entr\u00e9es peut conduire \u00e0 un acc\u00e8s non autoris\u00e9 aux ressources.<\/p>\n<\/li>\n

    4. \n

      Contourner les contr\u00f4les d'acc\u00e8s<\/strong>: Les attaquants peuvent trouver des moyens de contourner les contr\u00f4les d'authentification et d'autorisation, leur permettant ainsi d'acc\u00e9der \u00e0 des zones restreintes.<\/p>\n<\/li>\n<\/ol>\n

      Types de contr\u00f4le d'acc\u00e8s bris\u00e9<\/h2>\n

      Le contr\u00f4le d\u2019acc\u00e8s bris\u00e9 peut \u00eatre class\u00e9 en diff\u00e9rents types en fonction des vuln\u00e9rabilit\u00e9s sp\u00e9cifiques et de leur impact. Le tableau suivant r\u00e9sume certains types courants de contr\u00f4le d\u2019acc\u00e8s interrompu\u00a0:<\/p>\n\n\n\n\n\n\n\n\n\n\n
      Taper<\/th>\nDescription<\/th>\n<\/tr>\n<\/thead>\n
      Escalade des privil\u00e8ges verticaux<\/td>\nLes utilisateurs non autoris\u00e9s obtiennent des privil\u00e8ges plus \u00e9lev\u00e9s, ce qui peut conduire \u00e0 une compromission potentielle du syst\u00e8me.<\/td>\n<\/tr>\n
      Escalade horizontale des privil\u00e8ges<\/td>\nLes utilisateurs non autoris\u00e9s acc\u00e8dent aux ressources d'autres utilisateurs avec le m\u00eame niveau de privil\u00e8ge.<\/td>\n<\/tr>\n
      R\u00e9f\u00e9rences d'objets directs non s\u00e9curis\u00e9s<\/td>\nLes attaquants acc\u00e8dent directement aux ressources en modifiant les URL ou d'autres param\u00e8tres.<\/td>\n<\/tr>\n
      Contr\u00f4le d'acc\u00e8s au niveau des fonctions manquant<\/td>\nDes contr\u00f4les inappropri\u00e9s dans l'application permettent l'acc\u00e8s \u00e0 des fonctions ou des points de terminaison qui devraient \u00eatre restreints.<\/td>\n<\/tr>\n
      Navigation forc\u00e9e<\/td>\nLes attaquants \u00e9num\u00e8rent et acc\u00e8dent aux ressources en cr\u00e9ant manuellement des URL.<\/td>\n<\/tr>\n
      Configuration non s\u00e9curis\u00e9e<\/td>\nDes param\u00e8tres de configuration faibles ou incorrects entra\u00eenent un acc\u00e8s non autoris\u00e9.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

      Fa\u00e7ons d'utiliser le contr\u00f4le d'acc\u00e8s bris\u00e9, les probl\u00e8mes et les solutions<\/h2>\n

      Fa\u00e7ons d\u2019utiliser le contr\u00f4le d\u2019acc\u00e8s bris\u00e9<\/h3>\n

      Les attaquants peuvent exploiter un contr\u00f4le d\u2019acc\u00e8s bris\u00e9 de diff\u00e9rentes mani\u00e8res\u00a0:<\/p>\n

        \n
      1. \n

        Acc\u00e8s aux donn\u00e9es non autoris\u00e9<\/strong>: Les attaquants peuvent acc\u00e9der aux donn\u00e9es sensibles des utilisateurs, aux informations financi\u00e8res ou aux dossiers personnels qui doivent \u00eatre prot\u00e9g\u00e9s.<\/p>\n<\/li>\n

      2. \n

        Reprise de compte<\/strong>: En exploitant des contr\u00f4les d'acc\u00e8s bris\u00e9s, les attaquants peuvent s'emparer des comptes d'utilisateurs et usurper l'identit\u00e9 d'utilisateurs l\u00e9gitimes.<\/p>\n<\/li>\n

      3. \n

        Augmentation des privil\u00e8ges<\/strong>: Les attaquants \u00e9l\u00e8vent leurs privil\u00e8ges pour effectuer des actions r\u00e9serv\u00e9es aux administrateurs ou aux utilisateurs privil\u00e9gi\u00e9s.<\/p>\n<\/li>\n<\/ol>\n

        Probl\u00e8mes li\u00e9s au contr\u00f4le d'acc\u00e8s bris\u00e9<\/h3>\n
          \n
        1. \n

          Violations de donn\u00e9es<\/strong>: Un contr\u00f4le d'acc\u00e8s bris\u00e9 peut entra\u00eener des violations de donn\u00e9es, entra\u00eenant des dommages \u00e0 la r\u00e9putation et des cons\u00e9quences juridiques potentielles.<\/p>\n<\/li>\n

        2. \n

          Perte financi\u00e8re<\/strong>: Les attaques exploitant un contr\u00f4le d'acc\u00e8s bris\u00e9 peuvent entra\u00eener des pertes financi\u00e8res dues \u00e0 des transactions frauduleuses ou \u00e0 un acc\u00e8s non autoris\u00e9 \u00e0 des services payants.<\/p>\n<\/li>\n

        3. \n

          Conformit\u00e9 r\u00e9glementaire<\/strong>: Les organisations qui ne parviennent pas \u00e0 rem\u00e9dier aux probl\u00e8mes de contr\u00f4le d'acc\u00e8s peuvent \u00eatre confront\u00e9es \u00e0 des probl\u00e8mes de conformit\u00e9, en particulier dans les secteurs soumis \u00e0 des r\u00e9glementations strictes en mati\u00e8re de protection des donn\u00e9es.<\/p>\n<\/li>\n<\/ol>\n

          Solutions pour le contr\u00f4le d'acc\u00e8s cass\u00e9<\/h3>\n

          Rem\u00e9dier aux probl\u00e8mes de contr\u00f4le d'acc\u00e8s n\u00e9cessite une approche globale pour s\u00e9curiser le d\u00e9veloppement d'applications Web\u00a0:<\/p>\n

            \n
          1. \n

            Mettre en \u0153uvre une authentification et une autorisation fortes<\/strong>: Utilisez des m\u00e9thodes d'authentification s\u00e9curis\u00e9es, telles que l'authentification multifacteur, et mettez en \u0153uvre des contr\u00f4les d'autorisation appropri\u00e9s pour limiter l'acc\u00e8s des utilisateurs aux ressources n\u00e9cessaires.<\/p>\n<\/li>\n

          2. \n

            Appliquer le principe du moindre privil\u00e8ge<\/strong>: Accordez aux utilisateurs le niveau minimum de privil\u00e8ges requis pour effectuer leurs t\u00e2ches, r\u00e9duisant ainsi l\u2019impact des violations potentielles.<\/p>\n<\/li>\n

          3. \n

            Utiliser le contr\u00f4le d'acc\u00e8s bas\u00e9 sur les r\u00f4les (RBAC)<\/strong>: Utilisez RBAC pour attribuer des autorisations en fonction de r\u00f4les pr\u00e9d\u00e9finis, simplifiant ainsi la gestion des acc\u00e8s et r\u00e9duisant le risque d'erreurs.<\/p>\n<\/li>\n

          4. \n

            R\u00e9f\u00e9rences d'objets directs s\u00e9curis\u00e9s<\/strong>: \u00e9vitez d'exposer les r\u00e9f\u00e9rences d'objet internes et utilisez des r\u00e9f\u00e9rences indirectes ou des techniques cryptographiques pour emp\u00eacher toute manipulation.<\/p>\n<\/li>\n<\/ol>\n

            Principales caract\u00e9ristiques et comparaisons avec des termes similaires<\/h2>\n\n\n\n\n\n\n\n\n\n\n
            Terme<\/th>\nDescription<\/th>\n<\/tr>\n<\/thead>\n
            Contr\u00f4le d'acc\u00e8s cass\u00e9<\/td>\nUne vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 o\u00f9 les utilisateurs peuvent acc\u00e9der \u00e0 des ressources au-del\u00e0 de leurs autorisations autoris\u00e9es.<\/td>\n<\/tr>\n
            R\u00e9f\u00e9rences d'objets directs non s\u00e9curis\u00e9s<\/td>\nUn type sp\u00e9cifique de contr\u00f4le d'acc\u00e8s bris\u00e9 dans lequel les attaquants manipulent des r\u00e9f\u00e9rences d'objet pour acc\u00e9der \u00e0 des ressources restreintes.<\/td>\n<\/tr>\n
            Augmentation des privil\u00e8ges<\/td>\nAction d'obtenir des privil\u00e8ges plus \u00e9lev\u00e9s que pr\u00e9vu, r\u00e9sultant souvent d'un contr\u00f4le d'acc\u00e8s bris\u00e9.<\/td>\n<\/tr>\n
            Contr\u00f4le d'acc\u00e8s<\/td>\nProcessus d'octroi ou de refus d'autorisations sp\u00e9cifiques \u00e0 des utilisateurs ou \u00e0 des groupes pour acc\u00e9der aux ressources.<\/td>\n<\/tr>\n
            Authentification<\/td>\nV\u00e9rifier l'identit\u00e9 des utilisateurs pour accorder l'acc\u00e8s en fonction des informations d'identification.<\/td>\n<\/tr>\n
            Autorisation<\/td>\nAccorder des privil\u00e8ges ou des autorisations sp\u00e9cifiques aux utilisateurs authentifi\u00e9s en fonction de leurs r\u00f4les ou attributs.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

            Perspectives et technologies du futur li\u00e9es au contr\u00f4le d'acc\u00e8s bris\u00e9<\/h2>\n

            \u00c0 mesure que la technologie \u00e9volue, de nouvelles approches pour lutter contre les contr\u00f4les d\u2019acc\u00e8s bris\u00e9s appara\u00eetront. Les organisations sont susceptibles d\u2019adopter des m\u00e9canismes et des techniques de contr\u00f4le d\u2019acc\u00e8s plus avanc\u00e9s pour garantir une s\u00e9curit\u00e9 robuste\u00a0:<\/p>\n

              \n
            1. \n

              Architecture de confiance z\u00e9ro<\/strong>: Les mod\u00e8les de s\u00e9curit\u00e9 Zero Trust gagneront en popularit\u00e9, dans lesquels les d\u00e9cisions de contr\u00f4le d'acc\u00e8s sont bas\u00e9es sur des \u00e9valuations en temps r\u00e9el de divers facteurs de risque, plut\u00f4t que de s'appuyer uniquement sur l'authentification des utilisateurs.<\/p>\n<\/li>\n

            2. \n

              Authentification biom\u00e9trique<\/strong>: L'authentification biom\u00e9trique pourrait devenir plus r\u00e9pandue, offrant un niveau de s\u00e9curit\u00e9 plus \u00e9lev\u00e9 en v\u00e9rifiant les utilisateurs sur la base de caract\u00e9ristiques physiques uniques.<\/p>\n<\/li>\n

            3. \n

              Apprentissage automatique pour le contr\u00f4le d'acc\u00e8s<\/strong>: Des algorithmes d'apprentissage automatique peuvent \u00eatre int\u00e9gr\u00e9s aux syst\u00e8mes de contr\u00f4le d'acc\u00e8s pour identifier et pr\u00e9venir les comportements anormaux et les violations potentielles du contr\u00f4le d'acc\u00e8s.<\/p>\n<\/li>\n<\/ol>\n

              Comment les serveurs proxy peuvent \u00eatre utilis\u00e9s ou associ\u00e9s \u00e0 un contr\u00f4le d'acc\u00e8s bris\u00e9<\/h2>\n

              Les serveurs proxy peuvent jouer un r\u00f4le dans l'att\u00e9nuation des risques de violation du contr\u00f4le d'acc\u00e8s en agissant comme interm\u00e9diaire entre les clients et le backend du site Web. Les serveurs proxy peuvent appliquer des contr\u00f4les d'acc\u00e8s et filtrer les demandes entrantes, bloquant celles qui enfreignent les r\u00e8gles d\u00e9finies.<\/p>\n

              Cependant, si un serveur proxy lui-m\u00eame n'est pas configur\u00e9 ou s\u00e9curis\u00e9 de mani\u00e8re appropri\u00e9e, cela pourrait introduire des probl\u00e8mes de contr\u00f4le d'acc\u00e8s suppl\u00e9mentaires. Des erreurs de configuration ou des vuln\u00e9rabilit\u00e9s dans le serveur proxy peuvent permettre aux attaquants de contourner les contr\u00f4les d'acc\u00e8s et d'obtenir un acc\u00e8s non autoris\u00e9 aux ressources.<\/p>\n

              Les administrateurs de sites Web doivent s'assurer que le serveur proxy est correctement impl\u00e9ment\u00e9, correctement configur\u00e9 et r\u00e9guli\u00e8rement entretenu pour \u00e9viter toute vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 involontaire.<\/p>\n

              Liens connexes<\/h2>\n

              Pour plus d\u2019informations sur le contr\u00f4le d\u2019acc\u00e8s bris\u00e9 et la s\u00e9curit\u00e9 des applications Web, les ressources suivantes peuvent vous \u00eatre utiles\u00a0:<\/p>\n