ClearDesk

La vulnérabilité IDOR (Insecure Direct Object Reference) est une faille critique de contrôle d'accès qui survient lorsqu'une application web expose des références internes à des objets - tels que des identifiants de base de données, des noms de fichiers ou des identifiants de ressources - sans vérifier que l'utilisateur demandeur est autorisé à y accéder. L'IDOR est l'une des vulnérabilités les plus fréquemment découvertes dans les applications web et les API, apparaissant régulièrement dans les programmes de bug bounty et les engagements de tests d'intrusion.

Comment fonctionnent les vulnérabilités IDOR

Les applications qui utilisent des identifiants prévisibles (comme des entiers séquentiels) dans leurs URL ou endpoints d'API sont particulièrement susceptibles aux attaques IDOR. Par exemple, si l'accès à /api/tickets/15 retourne votre ticket de support, changer l'identifiant en /api/tickets/16 pourrait retourner le ticket d'un autre utilisateur si le serveur ne vérifie pas la propriété. La distinction clé est entre l'authentification (vérifier qui vous êtes) et l'autorisation (vérifier à quoi vous avez accès). De nombreuses applications implémentent correctement l'authentification mais échouent au niveau de l'autorisation, créant des vulnérabilités IDOR qui permettent l'escalade horizontale de privilèges.

L'IDOR dans les API REST

Les API REST sont particulièrement sujettes à l'IDOR car elles exposent couramment les identifiants de ressources directement dans les chemins d'URL. Les endpoints d'API pour les opérations CRUD sur les données utilisateur, les documents, les commandes ou les tickets utilisent souvent des identifiants séquentiels ou prévisibles. Combiné avec des outils d'énumération automatisés, un attaquant peut systématiquement accéder à chaque ressource du système, extrayant les données sensibles de tous les utilisateurs. Dans les cas les plus graves, l'IDOR peut être enchaîné avec d'autres vulnérabilités - comme le vol d'identifiants ou la traversée de répertoire - pour passer de la divulgation de données à la compromission complète du système.

Prévenir les vulnérabilités IDOR

Une prévention efficace nécessite d'implémenter des vérifications d'autorisation appropriées sur chaque requête pour confirmer que l'utilisateur authentifié a la permission d'accéder à la ressource demandée. L'utilisation d'identifiants non prévisibles (comme les UUID au lieu d'entiers séquentiels) ajoute une défense en profondeur mais ne doit pas être considérée comme la seule protection. La logique de contrôle d'accès côté serveur, combinée à des tests de sécurité approfondis incluant la manipulation de paramètres et l'énumération de ressources, est essentielle pour identifier et prévenir les failles IDOR dans les applications web.