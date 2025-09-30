L'encapsulation XML (XSW) est une catégorie de cyberattaques qui exploitent la manière dont les signatures XML sont validées dans les applications qui utilisent des protocoles de sécurité basés sur XML, en particulier dans Security Assertion Markup Language (SAML), Simple Object Access Protocol (SOAP) et Web Services Security (WS-Security ou WSS).
Les attaques par encapsulation d’éléments de signature visent à contourner l’authentification et à obtenir un accès non autorisé en manipulant la structure d’un document XML sans invalider sa signature numérique.
Une attaque par encapsulation de signature XML exploite la faille entre le processus de validation de la signature et le traitement des données . L’attaquant injecte un élément dupliqué ou manipulé (comme une assertion SAML falsifiée ou un corps SOAP) en dehors de la partie signée, et l’application finit par traiter les données malveillantes.
Le langage XML (Extensible Markup Language) est un format de données textuel utilisé pour structurer et magasin les données de manière à ce qu’elles soient lisibles par les humains et par machine. Il est utilisé dans les services Web, les systèmes d’identité et l’échange de données entre les applications.
Tout comme HTML, XML est structuré avec des balises conçues pour représenter des données. Il prend en charge les éléments et attributs imbriqués, ce qui permet de créer des hiérarchies complexes.
Le XML est souvent utilisé dans les protocoles SOAP, SAML et WS-Security.
Une signature XML est une signature numérique appliquée aux données XML, définie par la spécification de signature XML du W3C. L’élément XML Signature permet de garantir l’intégrité des données en affirment que les données sont fiables, vérifiables et n’ont pas été altérées.
Un hachage ou un condensé est calculé sur ces données.
Le hachage est chiffré avec la clé privée de l’expéditeur pour former la signature.
A
<!-- Autres détails comme DigestMethod, CanonicalizationMethod -->
Les attaques par encapsulation de signatures XML exploitent la flexibilité structurelle du XML pour inciter les applications à traiter des données non authentifiées lors de la validation des signatures. Les attaquants créent un décalage entre l'élément signé et l'élément effectivement traité (généralement en dupliquant ou en déplaçant des éléments). Le résultat est que l'application utilise un contenu non signé, même si la signature semble valide.
Voici comment fonctionnent généralement les attaques par encapsulation de signature XML (XSW) :
Les attaquants commencent par un message XML réel et fiable, comme une réponse de connexion valide signée numériquement (comme une réponse SAML légitime).
Il déplace la partie signée (celle référencée dans le
Ils placent les données falsifiées à l’emplacement d’origine. Ces données falsifiées ne sont pas signées mais ont été conçues pour paraître légitimes.
La plupart des applications recherchent les données par nom de balise ou par expression XPath, et non en vérifiant s'il s'agit de la version signée, de sorte qu'elles finissent par utiliser les données falsifiées.
La signature numérique est toujours vérifiée car elle Verify la partie signée d’origine (maintenant cachée), et non la partie falsifiée utilisée par l’application.
Donc, l’application croit qu’elle travaille avec un document signé sécurisé, mais elle agit en réalité sur des données non autorisées et manipulées.
Cet exemple montre comment un attaquant peut manipuler une assertion SAML signée pour obtenir un accès administrateur non autorisé en exploitant les faiblesses de l'analyse XML et de la logique de validation.
SAML est un protocole basé sur XML utilisé pour échanger en toute sécurité des informations d'authentification entre deux systèmes : le fournisseur d'identité (IdP) et le fournisseur de services (SP). Il permet l'authentification unique (SSO), permettant aux utilisateurs de s'authentifier une seule fois et d'accéder à plusieurs services sans avoir à se reconnecter à chaque fois.
Il s’agit d’une véritable requête SAML capturée par un outil comme SAML Raider dans Burp Suite. Elle comprend une section signée numériquement, appelée assertion SAML, qui contient les détails d’identité de l’utilisateur. Dans cette affirmation se trouve le
La demande contient également une signature numérique valide (
Dans la réponse de l’application, l’utilisateur est connecté avec l’identité de l’utilisateur d’origine
L'attaquant modifie secrètement la demande SAML en déplaçant l'assertion originale, signée numériquement, vers une autre partie du document XML, ce qui permet à la signature de rester valide et de passer la vérification.
Un faux
Cette activité illustre le concept de base d’une attaque XSW : la signature numérique semble valide, mais les données traitées par l’application sont fausses et non fiables.
En conséquence, l'application accorde un accès administrateur sur la base de l'assertion fausse injectée par l'attaquant. Il ne vérifie pas si l'assertion qu'il traite est bien celle qui a été signée numériquement. Cette défaillance permet à l'attaquant d'usurper l'identité d'un utilisateur administrateur. Le système permettant à l’utilisateur de se connecter en tant que admin@libcurl.so démontre clairement que l’attaque par encapsulation de signature XML a réussi.
Cet exemple montre comment une vérification de signature XML faible peut être amenée à faire confiance à de fausses données. L’attaquant ne casse pas la signature numérique. Au lieu de cela, les données signées sont déplacées ailleurs, et de fausses informations sont placées où l'application attend les données réelles. L’application traite ensuite par erreur les fausses données, convaincues qu’elles sont sécurisées.
Les attaques XSW se répartissent généralement en quelques sous-ensembles ou types principaux, chacun exploitant la manière dont la vérification et l'analyse des signatures XML sont mises en œuvre.
Voici un aperçu des plus courants :
Méthode : l'attaquant déplace l'élément signé dans une autre partie du document XML et insère un élément malveillant à sa place initiale.
Objectif : la signature est toujours vérifiée (car les données signées restent inchangées), mais l’application traite les données injectées par l’attaquant à la place.
Exemple : signé
Méthode : le pirate exploite l’utilisation d’attributs XML ID pour faire référence aux données signées.
Objectif : l'attaquant crée un élément dupliqué avec le même identifiant mais le place à un endroit que l'application traite en premier.
Exemple : la signature fait référence à #ID-1234, mais l'analyseur utilise le faux élément de l'attaquant avec cet ID au lieu de l'élément signé.
Méthode : l'attaquant manipule des espaces de noms XML pour perturber la validation des signatures.
Objectif : modifier l’interprétation des éléments ou contourner les vérifications de schéma strictes tout en conservant la validité de la signature.
Exemple : injection d'un élément malveillant <Assertion> dans un nouvel espace de noms pour que la validation soit réussie mais que la logique de traitement l'accepte.
Méthode : modifie le placement des
Objectif : faire en sorte que le validateur pense que tout est signé, mais exclure les parties contrôlées par l'attaquant de la couverture de la signature.
Exemple : déplacer l'original
Méthode : manipulation des requêtes XPath utilisées lors de la validation de la signature pour pointer vers des nœuds contrôlés par l'attaquant au lieu du nœud signé.
Objectif : tromper le vérificateur de signatures afin qu'il vérifie des données inoffensives pendant que l'application traite des données malveillantes.
Exemple : modifier le code XML pour qu'il soit le XPath du vérificateur (par exemple,
Les attaques XSW peuvent avoir de graves conséquences dans le monde réel, en particulier lorsque des données sensibles ou des opérations critiques sont en jeu. Ces scénarios hypothétiques mettent en évidence l'impact potentiel de telles attaques.
Scénario : une application d'entreprise utilise l'authentification unique basée sur SAML pour authentifier les utilisateurs. Chaque réponse de connexion comprend une assertion SAML signée numériquement identifiant l'utilisateur.
Attaque XSW : un attaquant capture une réponse SAML légitime, déplace l'assertion signée vers une autre partie du document XML et y insère une fausse assertion prétendant être un administrateur.
Impact : le système valide la signature de l'assertion originale mais traite l'assertion non signée, injectée par l'acteur de la menace, ce qui donne à l'acteur de la menace un accès en tant qu'utilisateur privilégié.
Scénario : une interface de programmation d’application (API) de service web utilise SOAP et WS-Security pour traiter les requêtes. Le corps du message SOAP est signé numériquement pour garantir la fiabilité de la commande.
Attaque XSW : l'attaquant enveloppe le corps SOAP original et signé dans un élément d'emballage inoffensif et le remplace par un nouveau corps non signé contenant des privilèges élevés ou des actions non autorisées.
Impact : si le service traite le corps non signé, l’attaquant peut élever les privilèges ou effectuer des actions restreintes telles que l’affichage ou la modification de données sensibles.
Scénario : une interface administrative permet aux utilisateurs d'envoyer des commandes XML, comme la suppression de comptes ou la réinitialisation de mots de passe, en les protégeant par des signatures numériques.
Attaque XSW : l'attaquant déplace la commande signée vers un emplacement secondaire et injecte à sa place une commande non signée (comme la suppression du compte d'un autre utilisateur ou la réinitialisation du mot de passe d'un administrateur).
Impact : si l'application traite la commande non signée, elle peut exécuter des opérations critiques pour le compte d'un utilisateur non autorisé.
Scénario : une banque sécurise ses opérations de transfert de fonds à l'aide de signatures XML. Chaque demande contient les détails de la transaction, comme le montant du transfert et les numéros de compte de l'expéditeur et du destinataire. Les demandes sont signées numériquement pour en garantir l'authenticité.
Attaque XSW : un attaquant capture une demande de transfert valide, déplace les données signées dans une section non critique du document et insère une transaction falsifiée avec un montant plus élevé et un compte destinataire différent.
Impact : si l'application ne parvient pas à vérifier que la transaction traitée est bien celle qui a été signée, elle risque d'exécuter la fausse transaction de l'attaquant, entraînant des transferts non autorisés et des pertes financières.
Scénario : une plateforme en ligne sécurise ses tokens d'authentification en utilisant des signatures numériques XML. Chaque token contient des informations d'identité et des droits d'accès et est signé cryptographiquement pour empêcher toute manipulation.
Attaque XSW : un attaquant capture un token d'authentification valide, déplace la partie signée à un autre emplacement dans le XML et injecte un nouveau segment non signé qui comprend des privilèges élevés ou non autorisés.
Impact : si le serveur traite la section manipulée au lieu de la section signée, l'attaquant peut obtenir un accès non autorisé ou effectuer des opérations privilégiées, ce qui compromet la sécurité de l'application.
Pour analyser si une application est vulnérable aux attaques par encapsulation de signature XML, il est important de comprendre comment elle analyse et traite les données XML. Il est particulièrement important de comprendre l'analyse et le traitement XML dans des contextes sensibles sur le plan de la sécurité, comme l'authentification SAML ou la messagerie SOAP.
Voici quelques techniques et stratégies de test pour identifier de telles vulnérabilités dans des environnements réels :
Vérifiez si l’application extrait des éléments tels que
Utilisez Burp Suite avec SAML Raider pour injecter un faux élément non signé et encapsuler le signé. Si l'application traite les fausses données alors que la signature est encore validée, elle est vulnérable à XSW.
Insérez une assertion signée dans une section cachée et une fausse dans un endroit visible. Si l’application traite les fausses données, elle est vulnérable à XSW.
Déplacer l’élément signé (celui référencé dans
Si l'application traite la version non signée au lieu de celle signée, elle est vulnérable à une attaque XSW. L'application valide correctement la signature mais ne s'assure pas qu'elle utilise le contenu signé, ce qui permet aux attaquants d'injecter des données non autorisées.
Envoyez des assertions mal formées et observez les erreurs verbeuses ou les réponses incohérentes. Ces réponses peuvent révéler des faiblesses dans la logique de sécurité et de validation XML de l'application.
Utilisez des outils comme SAML Raider, SoapUI ou des harnais de test XML personnalisés pour appliquer les schémas d'attaque XSW. Si l’application accepte et traite l’une des charges utiles, cela indique une vulnérabilité XSW.
Si l'application lit des données XML en sélectionnant des éléments sur la base du nom de la balise sans s'assurer qu'elle utilise l'élément signé et fiable, elle peut être amenée à traiter de fausses données.
Pour protéger une application contre les attaques XSW, les développeurs peuvent mettre en œuvre un traitement XML strict, valider correctement les signatures et s'assurer que seules des données fiables et signées sont utilisées.
Voici quelques contre-mesures spécifiques qui peuvent vous aider à vous défendre contre les attaques XSW :
Assurez-vous que l'élément XML utilisé pour l'authentification ou l'autorisation est exactement le même que celui qui a été signé numériquement. Cela empêche les attaquants d’injecter une deuxième assertion non signée selon laquelle l’application pourrait être traitée par erreur au lieu de la déclaration légitime et signée.
Une signature enveloppée est une signature placée à l'intérieur de l'élément sur lequel elle signe. L’encapsulation rend plus difficile l’insertion d’éléments malveillants en dehors du contenu signé sans casser la structure, ce qui permet d’empêcher l’encapsulation ou la substitution.
Utilisez un analyseur XML sécurisé configuré pour rejeter les documents avec des ID dupliqués, des références d’entités externes ou une structure inattendue. XSW repose sur la manipulation de la structure XML, par exemple en insérant des balises en double ou plusieurs assertions. Une analyse stricte réduit cette surface d’attaque en assurant une entrée bien formée et conforme à la conformité du schéma.
Lier la logique de traitement de l'application directement à l'élément XML référencé dans la signature (en utilisant l'attribut ID ou la signature
Rejetez les réponses SAML qui contiennent plus d’un <Assertion>, sauf si cela est explicitement requis. Les attaques XSW injectent souvent une deuxième assertion. Veiller à ce qu’un seul soit traité permet d’éliminer toute ambiguïté et de réduire les risques.
Utilisez des bibliothèques bien gérées et soucieuses de la sécurité pour la validation des signatures numériques XML (comme Apache Santuario ou OpenSAML) avec des configurations par défaut sécurisées. Ces bibliothèques incluent souvent une protection intégrée contre l’encapsulation des signatures lorsqu’elles sont correctement configurées.
Validez les assertions SAML entrantes par rapport à la définition de schéma XML SAML (XSD) officielle. La validation empêche les pirates d’injecter des éléments ou des attributs inattendus qui contournent la logique métier ou confondent l’analyseur XML.
Veillez à ce que chaque attribut ID utilisé dans le XML signé (comme les assertions) soit unique et que les références ne correspondent qu'à un seul élément. Les exploitations XSW peuvent réussir en référençant un élément dans la signature tout en injectant un autre avec le même ID ou nom de balise. Favoriser l’unicité permet d’éviter cette confusion.
Ces pratiques peuvent réduire le risque que des attaquants exploitent les structures XML et la logique de traitement des signatures, fermant ainsi la porte à de nombreuses attaques XSW.
