CSRF (Cross-Site Request Forgery)
Définition
Attaque qui force un utilisateur authentifié à exécuter des actions non désirées sur une application web à laquelle il est connecté, en exploitant la confiance que le site accorde au navigateur de l'utilisateur.
Pourquoi c'est important
Le CSRF illustre un concept fondamental : la différence entre authentification et autorisation. Comprendre cette attaque amène naturellement à enseigner les tokens anti-CSRF et les politiques SameSite.
Comment l'enseigner
Créez un scénario concret : un étudiant connecté à une application de gestion de notes visite un site piégé qui modifie ses données à son insu. L'effet « wow » garantit la rétention.
Idée d'exercice
Les étudiants construisent une page HTML qui exécute un CSRF contre une app de démo, puis implémentent le token anti-CSRF et la politique SameSite pour se protéger.
Erreur courante en formation
Confondre CSRF et XSS en cours : ce sont deux vulnérabilités distinctes avec des protections différentes, même si elles peuvent se combiner.
Questions fréquentes
Qu'est-ce que le CSRF (Cross-Site Request Forgery) en cybersécurité ?
Attaque qui force un utilisateur authentifié à exécuter des actions non désirées sur une application web à laquelle il est connecté, en exploitant la confiance que le site accorde au navigateur de l'utilisateur.
Comment enseigner le CSRF (Cross-Site Request Forgery) à des étudiants ?
Créez un scénario concret : un étudiant connecté à une application de gestion de notes visite un site piégé qui modifie ses données à son insu. L'effet « wow » garantit la rétention. Les étudiants construisent une page HTML qui exécute un CSRF contre une app de démo, puis implémentent le token anti-CSRF et la politique SameSite pour se protéger.
Pourquoi CSRF (Cross-Site Request Forgery) est-il important en formation cybersécurité ?
Le CSRF illustre un concept fondamental : la différence entre authentification et autorisation. Comprendre cette attaque amène naturellement à enseigner les tokens anti-CSRF et les politiques SameSite.