Vulnérabilité IDOR — Insecure Direct Object Reference Expliquée
Comprendre la vulnérabilité IDOR : comment elle fonctionne, comment la détecter en pentest et comment s'en protéger efficacement.
Qu'est-ce qu'une vulnérabilité IDOR ?
IDOR (Insecure Direct Object Reference) est une faille de contrôle d'accès classée dans l'OWASP Top 10 (A01:2021 — Broken Access Control). Elle survient lorsqu'une application utilise des identifiants contrôlables par l'utilisateur pour accéder à des objets internes sans vérifier les autorisations.
Exemple : vous consultez votre facture via /facture/1234. Si l'application ne vérifie pas que la facture 1234 vous appartient, un attaquant peut accéder à toutes les factures en modifiant l'identifiant.
Types d'IDOR
Escalade horizontale : accès aux ressources d'un autre utilisateur de même niveau. Escalade verticale : accès à des ressources d'un niveau de privilège supérieur (admin).
Impact
Violation massive de données personnelles, espionnage économique, sanctions RGPD (jusqu'à 4% du CA mondial), atteinte à la réputation.
Détection en pentest
Cartographie des endpoints, tests manuels avec deux comptes distincts (A et B), énumération des identifiants, test sur UUID, analyse des paramètres cachés (Burp Suite Pro).
Remédiation
Contrôles d'autorisation systématiques côté serveur, références indirectes aux objets, validation à chaque couche applicative, tests unitaires dédiés.
Autres articles
Besoin d'un pentest ?
Nos experts certifiés analysent la sécurité de vos applications. Devis gratuit sous 48h.
Demandez votre devis gratuit