Sécurité web : quand une seule clé ouvre tout

Jean Langlois-Berthelot

Quand des clés d'application et des états signés sont mal gérés, sites, portails et API deviennent des portes d'entrée.

Un cookie valide. Une console d’admin restée accessible. Une clé copiée de la préprod vers la prod. Il n’en faut pas plus pour qu’un intrus prenne l’identité d’un client ou d’un compte de service. Le phénomène gagne l’ensemble des piles web. Il ne relève pas d’un éditeur ni d’un langage. Il tient à une hygiène défaillante autour des secrets qui signent ou chiffrent l’état applicatif.

Un risque systémique

Cookies, JWT, SAML, ViewState, tokens CSRF : ces mécanismes reposent sur des clés. Quand elles sont réutilisées, héritées d’un modèle, stockées en clair ou copiées entre environnements, la confiance s’inverse. Un attaquant peut forger un état accepté, usurper une session, contourner des contrôles ou déclencher une désérialisation côté serveur.
Le spectre est large : CMS, portails B2B, extranets RH, API internes, intégrations SaaS. Les migrations transportent de vieux secrets. Les sauvegardes traînent. La rotation est repoussée car jugée perturbante. Des clés temporaires deviennent permanentes. Le passe-partout naît d’une faiblesse locale.

La méthode des attaquants

Leur avantage tient à la discrétion. Ils évitent le bruit. Ils cherchent des consoles exposées. Ils repèrent des endpoints qui renvoient des états volumineux. Ils fouillent dépôts publics, images de conteneurs, scripts de déploiement. Ils testent dev et préprod, souvent plus bavards, pour récupérer des clés réutilisées en production.
Une fois un secret trouvé, la suite est mécanique : fabriquer un cookie ou un JWT accepté, lire une page de configuration, aspirer chaînes de connexion et clés API, créer un compte local discret, pivoter vers la base, l’Active Directory ou le cloud. Un état correctement signé ne déclenche pas d’alarme. Les signaux sont ténus : tailles d’états en hausse, accès à des heures atypiques, erreurs rares mais répétées, nouveaux comptes de service, trafic sortant anormal depuis les hôtes web.

Pourquoi ça coince

La pression produit. La crainte d’une coupure. Des environnements clonés. Des exemples laissés en place. Des rôles de service trop larges. Des back-offices encore sur Internet. La dette s’accumule et rend chaque rotation risquée, donc plus rare.

Comment le secteur s’organise

La réponse passe par l’industrialisation de la gestion des secrets. Clés uniques par instance et par environnement. Durée de vie courte. Rotation automatisée et testée en préproduction. Révocation rapide. Stockage sous KMS ou HSM. Distribution hors dépôts et hors images. Inventaire automatisé : quel service consomme quel secret, où, avec quelles permissions, et avec quel propriétaire.
Côté architecture, la séparation devient la règle. Publication d’un côté. Back-office de l’autre, derrière accès conditionnel ou VPN avec MFA. Environnements étanches. États compacts, signés avec des algorithmes actuels. Abandon des désérialisations côté serveur. Cookies paramétrés en SameSite, HttpOnly, Secure. Modules non essentiels retirés.
La chaîne de livraison sert de garde-fou. La CI détecte secrets et clés d’exemple. Des tests de configuration bloquent tout déploiement qui réutilise une clé ou expose une admin. Des proxies limitent taille et fréquence des paramètres à risque et tracent les écarts.

En exploitation, les équipes suivent la distribution des tailles d’états, les erreurs rares, la création de comptes, les connexions sortantes inhabituelles, les changements de configuration, les accès au coffre à secrets. Des playbooks de révocation couvrent sessions, JWT, cookies, webhooks, certificats, clés d’intégration. Un mode dégradé coupe les fonctions à risque sans arrêter le service.
Sur l’identité, le moindre privilège s’impose. Un front compromis ne doit pas ouvrir l’ensemble du système. Les tokens sont spécifiques par service. Les comptes de secours existent, restent minimaux, sont tracés et stockés hors bande. Une clé perdue devient un incident circonscrit, pas une crise de système.

Les signaux à surveiller

Taille médiane et dispersion des états côté client. Apparition de comptes de service. Erreurs peu fréquentes mais récurrentes. Nouveaux flux sortants depuis des hôtes web. Accès inhabituels au coffre à secrets. Toute dérive appelle une vérification de clés et de configurations.

L’essentiel

Ce n’est pas une chasse au bug. C’est de l’architecture. Savoir où vivent les clés, qui les change, ce que l’application signe, et comment elle réagit si l’état reçu n’est pas digne de confiance. La sécurité ne doit pas dépendre d’un secret immuable. Elle repose sur des clés uniques et éphémères, une séparation nette des plans, des garde-fous dans la CI, une observabilité utile et des procédures de révocation éprouvées. Objectif : qu’aucune clé ne puisse, seule, tout ouvrir.