Vous êtes ici :
Piratage de session
Le piratage de session est une attaque qui cible un client, où l'assaillant tente de voler des informations en utilisant l'accès du client à une application Web. Dans notre cas, cette application est Salesforce. Lorsqu'un client s'authentifie avec succès à Salesforce, ils reçoit un jeton de session. L'assaillant tente de pirater la session du client en récupérant son jeton de session.
Éditions requises
| Disponible avec Salesforce Classic (pas disponible dans toutes les organisations) et avec Lightning Experience |
Disponible avec : Enterprise Edition, Unlimited Edition et Developer Edition Nécessite des abonnements complémentaires Salesforce Shield ou Salesforce Event Monitoring. |
L'objet SessionHijackingEvent de la Surveillance des événements en temps réel en temps réel désigne l'attaque « Man In The Browser » (MiTB), un type d'attaque en piratage de session. Dans un attaque MiTB, l'assaillant compromet l'application Web du client en installant un virus par exemple un proxy Cheval de Troie. Le virus se loge ensuite dans le navigateur du client. Lorsque le client accède à une application Web telle que Salesforce, le virus manipule les pages, recueille les informations confidentielles partagées entre le client et Salesforce, et vole les informations. Ces types d'attaque sont difficiles à détecter pour le client.
Heureusement, Salesforce a une longueur d'avance sur les pirates et a mis en place des dispositifs de détection des attaques MiTB. Lorsqu'une attaque est détectée, Salesforce arrête la session et toutes les sessions enfants, déconnecte l'utilisateur et demande l'authentification à deux facteurs. En réagissant ainsi, Salesforce empêche l'assaillant de développer des activités malveillantes dans la session de l'utilisateur. Cette réaction autonome rend le piratage de sessions difficile pour les assaillants et protège les sessions des clients de Salesforce.
Tous les clients de Salesforce reçoivent cette atténuation des menaces. Les clients de Surveillance des événements peuvent examiner ces attaques en détail. Ils ne peuvent recueillir des informations utiles et en temps réel sur les attaques et envoyer des notifications à d'autres utilisateurs dans Salesforce.
Détection du piratage de session par Salesforce
Pour détecter les tentatives de piratage de session, Salesforce utilise l'empreinte du navigateur afin d'identifier l'appareil avec lequel un utilisateur se connecte. Si pendant une session Salesforce identifie un écart important dans l'empreinte du navigateur, il s'agit probablement d'une activité non autorisée à partir d'un appareil différent qui utilise un ID de session légitime volé. Salesforce calcule un score de risque de piratage de session pour chaque paire d'empreintes de navigateur dans la session. Il compare ensuite le score à un seuil déterminé de façon empirique afin de détecter en temps réel les sessions utilisateur anormales. Si Salesforce détecte une anomalie, il génère un SessionHijackingEvent.
- Caractéristiques de l'empreinte de navigateur
Une empreinte de navigateur est un ensemble de caractéristiques qui, réunies, identifient un appareil. Salesforce utilise ces caractéristiques pour élaborer un modèle d'empreinte de navigateur d'origine de l'utilisateur lorsqu'il est connecté. Salesforce utilise ce modèle pour déterminer si la session de l'utilisateur est piratée. - Examen du piratage de session
Voici quelques conseils pour examiner une attaque de piratage session.
