CSRF (Cross-Site Request Forgery)

Le CSRF (Cross-Site Request Forgery), aussi appelé XSRF ou "sea surf", est une attaque qui force un utilisateur authentifié à exécuter des actions non désirées sur une application web où il est connecté. L'attaquant exploite la confiance qu'une application accorde au navigateur de l'utilisateur (cookies de session envoyés automatiquement).

Scénario typique : Alice est connectée sur sa banque (banque.com). Elle visite un site malveillant qui contient un formulaire caché ou une image dont le src pointe vers https://banque.com/transfer?to=attaquant&amount=1000. Le navigateur d'Alice envoie automatiquement ses cookies de session, et la requête est exécutée comme si Alice l'avait initiée.

Les protections principales : (1) tokens anti-CSRF (synchronizer token pattern) — un token unique par session inclus dans chaque formulaire et vérifié côté serveur ; (2) double-submit cookie pattern ; (3) attribut SameSite des cookies (Lax par défaut dans Chrome depuis 2020, Strict pour les sessions sensibles) ; (4) vérification de l'en-tête Origin/Referer ; (5) ré-authentification pour les actions sensibles. OWASP classe le CSRF dans son Top 10. Frameworks modernes (Django, Rails, Laravel, Spring Security) incluent une protection CSRF par défaut.