Qu'est-ce que le CSRF ?

Le CSRF (Cross-Site Request Forgery) est une attaque qui force un utilisateur à exécuter des actions malveillantes à son insu sur un site web où il est authentifié.

Auteur :

Alexandre Scheck

Dernière modification le :

2/1/2026

IT & Tech

Sommaire

Example H2

Example H3

Qu’est-ce que CSRF ?

CSRF signifie "Cross-Site Request Forgery", en français "falsification de requête inter-site".

Il s'agit d'une attaque informatique visant à tromper un utilisateur pour exécuter une action non autorisée sur un site web.

Lorsqu’un utilisateur est connecté à un site légitime, un pirate peut exploiter cette session active pour envoyer à son insu des requêtes malveillantes.

Ce type d’attaque vise à prendre appui sur la confiance accordée par le site à l’utilisateur authentifié.

À quoi sert CSRF ?

CSRF n'est pas une fonctionnalité utile, mais une faille de sécurité critique à éviter.

Comprendre le CSRF permet de protéger les applications web contre des actions indésirables comme le changement de mot de passe ou un virement bancaire initié sans le consentement de l'utilisateur.

Pour les entreprises, cela concerne tous les systèmes où des utilisateurs interagissent via des sessions authentifiées : outils RH, ERP, CRM, etc.

Un site vulnérable au CSRF met en danger non seulement les utilisateurs, mais aussi les données internes et les actifs stratégiques.

Comment fonctionne CSRF ?

Le principe repose sur l’exploitation de la session active de l’utilisateur sur un site de confiance.

L’attaquant incite cet utilisateur à visiter ou interagir avec un autre site malveillant. Ce dernier lui fait déclencher à son insu une action vers le site légitime.

Par exemple, en cliquant sur un lien sur un site tiers, l’utilisateur envoie involontairement une commande à son interface bancaire encore ouverte.

Comme la session est toujours valide, le site cible considère la requête comme authentique.

Différences avec des notions proches

CSRF est souvent confondu avec une autre attaque : le XSS (Cross-Site Scripting).

Le XSS consiste à injecter du code malveillant dans une page web, que d'autres utilisateurs vont exécuter via leur navigateur.

CSRF, lui, ne repose pas sur une injection de code, mais sur une action indésirable déclenchée par l'utilisateur à son insu.

Le XSS attaque l'utilisateur d’un site. Le CSRF utilise l’utilisateur pour attaquer le site.

Exemples ou cas d’usage concrets

Un salarié est connecté à une plateforme RH pour gérer ses congés. Il visite ensuite un site externe contenant une image malveillante intégrée avec un lien déguisé.

En affichant cette image, une requête POST est automatiquement envoyée pour modifier ses données personnelles ou accorder une autorisation anormale.

Dans un outil de gestion bancaire en ligne, l'utilisateur connecté clique sur un faux lien reçu par email. Celui-ci exécute une commande de virement sans alerte ni confirmation.

Dans un tableau de bord d'administration d’un site e-commerce, un clic peut déclencher à l’insu du manager la suppression d’un produit ou la modification d’un prix.

Ces actions ne peuvent pas être interceptées si aucune protection côté serveur, comme des jetons (tokens) anti-CSRF, n’est mise en place.

La prévention passe par des bonnes pratiques de sécurité, comme vérifier systématiquement l’origine des requêtes ou utiliser des jetons uniques par session.

Vous recrutez en IT & Tech ?

Prenez rendez-vous avec Alexandre, notre recruteur spécialisé IT & Tech

Prendre rendez-vous

Vous cherchez un emploi en IT & Tech ?

Prenez rendez-vous avec Léna, notre coach carrière

Prendre rendez-vous

FAQ

Vous avez une question ? Obtenez une réponse !

Qu’est-ce qu’une attaque CSRF exactement ?

Une attaque CSRF pousse un utilisateur connecté à effectuer une action non souhaitée sur un site web, sans qu’il s’en rende compte. Cela repose sur la confiance établie entre le navigateur de l’utilisateur et le site ciblé.

Comment fonctionne une attaque CSRF ?

Le pirate incite l’utilisateur à cliquer sur un lien ou charger une image conçue pour envoyer une requête HTTP au nom de l’utilisateur vers un site où il est identifié. Le site exécute alors la requête en pensant qu’elle provient de l’utilisateur légitime.

Quelle est la différence entre CSRF et XSS ?

Le CSRF exploite la confiance qu’un site a envers l’utilisateur, alors que le XSS exploite la confiance qu’un utilisateur a envers le site. Le CSRF agit via l’utilisateur, le XSS injecte du script malveillant dans une page.

Comment se protéger d’une attaque CSRF ?

Les protections courantes incluent les jetons CSRF (tokens), la vérification de l’origine des requêtes et la limitation des actions sensibles aux requêtes sécurisées. Les navigateurs et frameworks modernes intègrent souvent ces mesures.

CSRF