Vous êtes ici :
Contrôle de protection contre la falsification de requête inter-site (CSRF)
Activez Protection CSRF dans les paramètres de session de Salesforce pour sécuriser votre environnement.
Nom du contrôle
Protection CSRF
Configuration recommandée
- Activer la protection CSRF dans les requêtes GET des pages hors configuration
- Activer la protection CSRF dans les requêtes POST des pages hors configuration
Configuration>Paramètres de session>Protection contre la falsification de requête inter-site (CSRF)>Activez toutes les options.
Vue d'ensemble du contrôle
L'activation de la Protection CSRF dans les paramètres de session Salesforce sécurise votre environnement en injectant un jeton aléatoire unique et cryptographique dans chaque requête de changement d'état (telle que POST) dans les pages de non-configuration.
La plate-forme valide ensuite ce jeton par rapport à la session active de l'utilisateur afin de s'assurer que la requête provient d'une interaction utilisateur légitime, empêchant ainsi les sites Web malveillants de tromper un navigateur en exécutant des commandes non autorisées au nom de l'utilisateur.
Risque de sécurité s'il n'est pas configuré
La désactivation de la protection CSRF rend votre environnement Salesforce vulnérable aux attaques CSRF (cross-site request forgery), dans lesquelles un site Web malveillant peut tromper le navigateur d'un utilisateur en exécutant à son Knowledge des commandes non autorisées qui changent d'état, telles que la suppression d'enregistrements ou la modification des paramètres de sécurité. Ces requêtes héritent des autorisations de l'utilisateur authentifié. Par conséquent, une attaque contre un compte administratif peut entraîner une compromission totale des données et de la configuration de l'organisation.
Scénarios de menace
Dans un scénario de menace typique, un assaillant incite un utilisateur Salesforce authentifié à visiter un site Web malveillant ou à cliquer sur un lien qui déclenche une requête inter-site masquée vers votre instance Salesforce.
Puisque le navigateur inclut automatiquement les cookies de session actifs de l'utilisateur, Salesforce (à défaut d'un jeton anti-CSRF valide pour vérifier l'origine de la requête) exécute légitimement la commande, permettant potentiellement à l'assaillant de supprimer des enregistrements, de modifier les configurations de sécurité ou d'escalader ses propres privilèges à l'insu de l'utilisateur.
Plage de score CVSS estimée
Critique (9,0 à 10,0).
Considérations relatives à l'impact sur le risque
L'impact sur le risque englobe une atteinte totale à la confidentialité et à l'intégrité des données, dans laquelle des acteurs non autorisés peuvent exécuter des actions administratives ou collecter des informations confidentielles, entraînant des dommages catastrophiques sur les plans financier, juridique et de la réputation.
Risque plus élevé quand
Au-delà des paramètres déjà discutés, des configurations incorrectes telles que la désactivation de « Verrouiller les sessions sur l'adresse IP d'où elles proviennent » et « Activer la protection contre le détournement de clic » amplifient considérablement votre profil de risque.
Sans verrouillage d'adresse IP, un ID de session piraté ou des données récupérées dans le cache permanent d'un navigateur peuvent être utilisés par un assaillant à partir de n'importe quel emplacement, tandis que la protection contre le détournement de clic désactivée permet aux sites malveillants de superposer des trames invisibles dans votre organisation Salesforce, incitant les utilisateurs à exécuter des actions qui contournent les mesures de protection CSRF. De plus, le maintien de longues expirations de session ou l'échec de l'option « Forcer la déconnexion à l'expiration de la session » allonge la période d'opportunité pour un assaillant d'exploiter ces vulnérabilités sur des postes de travail non surveillés ou partagés.
Risque faible ou nul
Pour minimiser ces risques lorsque les contrôles de session principale ou de cache sont manquants, implémentez l'authentification multifacteur (MFA) et les restrictions de plage IP pour vous assurer que même si une session est piratée ou si des données mises en cache sont exposées, elles ne peuvent pas être facilement utilisées à partir d'un appareil ou d'un emplacement non fiable.
De plus, l'utilisation de la Surveillance des événements Salesforce Shield et de la Sécurité au niveau de l'objet/du champ stricte permet de détecter en temps réel les exportations de données anormales tout en s'assurant que les autorisations côté serveur empêchent les actions non autorisées même en cas de tentative d'attaque frontale CSRF ou basée sur le cache.
Considérations relatives à l'entreprise et à l'intégration
L'implémentation de ces contrôles nécessite d'équilibrer la sécurité renforcée avec l'interopérabilité du système, car une application stricte de la CSRF et des sessions peut perturber les intégrations héritées, les iFrames tiers ou les workflows d'API personnalisés qui ne gèrent pas nativement les jetons de sécurité automatisés.
Remédiation recommandée
Activez la protection CSRF dans les paramètres de session.
Guide d'examen sanitaire de sécurité
Security Health Review inspecte les paramètres de session pour vérifier que la protection contre la falsification de requête inter-site est activée conformément aux meilleures pratiques de sécurité.
