Pour information, la première attaque consiste à injecter du code malicieux dans une page web en exploitant une faille de sécurité, par exemple par le biais d’un message posté dans un forum ou encore par une requête URL (Uniforme Resource Locator). La seconde attaque consiste quant à elle à faire exécuter involontairement des actions aux visiteurs enregistrés sur un site web, comme sa propre déconnexion ou la publication d’un message.

Selon les experts de la société Ernst and Young, ces deux attaques représenteraient un risque bien plus important lorsqu’elles sont utilisées conjointement. Pour appuyer leurs dires, les chercheurs ont effectué deux démonstrations. La première a montré qu’il était possible, en détournant une session utilisateur, de se servir d’un réseau communautaire infecté en tant que serveur proxy pour attaquer un établissement bancaire. La seconde a mis en évidence la possibilité d’utiliser à distance le navigateur web d’un internaute, pour extraire de manière conventionnelle les informations de la base de données d’une entreprise. Le plus gênant ici est que la chose est possible même si cette dernière avait interdit cette opération depuis l’extérieur de son réseau informatique. Dans les deux cas, l’attaque semble provenir de la machine infectée et non de la machine attaquante. CSRF est utilisé pour exécuter l’attaque de manière voilée et XSS pour obtenir le retour de la session.

Selon Billy Rios de Ernst and Young, la combinaison des deux attaques permet d’utiliser la force de l’une pour combler la faiblesse de l’autre.

Une chose est rassurante. Si les failles de type XSS sont très largement exploitées par les pirates, les failles de CSRF sont très peu documentées pour le moment. Il n’en reste pas moins qu’avec le temps les internautes devront faire preuve de plus en plus de vigilance.