Table des matières:
Qu’est-ce que l’attaque par inclusion de fichier local (LFI) ?
L’attaque par inclusion de fichier local, ou Local File Inclusion (LFI), est une vulnérabilité de sécurité web qui permet à un attaquant d’inclure des fichiers présents sur le serveur cible. En exploitant cette faille, un pirate peut lire des fichiers sensibles (comme des mots de passe, des configurations, ou des logs), exécuter du code arbitraire, et parfois prendre le contrôle total du serveur. En 2026, malgré les progrès en sécurité, les attaques LFI restent une menace sérieuse, notamment sur les applications web mal configurées ou utilisant des fonctions d’inclusion sans validation adéquate.
Comment fonctionne une attaque LFI ?
Le mécanisme de base d’une attaque LFI repose sur l’exploitation de paramètres d’URL ou de formulaires qui spécifient le chemin d’un fichier à inclure. Par exemple, une application PHP peut inclure un fichier via include($_GET['page']);. Si l’attaquant modifie le paramètre page pour pointer vers un fichier système comme /etc/passwd, le serveur inclut et affiche son contenu.
Exemples courants d’attaque LFI
- Lecture de fichiers système :
?page=../../../etc/passwd - Inclusion de logs pour exécution de code :
?page=/var/log/apache/access.log(avec injection de code PHP dans les logs) - Utilisation de wrappers PHP :
?page=php://filter/convert.base64-encode/resource=config.php
Pourquoi les attaques LFI sont-elles dangereuses en 2026 ?
En 2026, les applications web sont plus complexes et interconnectées. Les attaques LFI peuvent servir de porte d’entrée à des attaques plus graves :
- Exfiltration de données : accès à des bases de données, fichiers de configuration contenant des clés API.
- Exécution de code à distance (RCE) : en combinant LFI avec l’upload de fichiers ou l’injection dans les logs.
- Prise de contrôle du serveur : via l’inclusion de fichiers système critiques.
Comment détecter une vulnérabilité LFI ?
La détection précoce est cruciale. Voici quelques méthodes :
- Analyse manuelle : testez les paramètres d’URL avec des chemins comme
../../../etc/passwd. - Outils automatisés : utilisez des scanners de vulnérabilités comme OWASP ZAP, Burp Suite ou des scripts personnalisés.
- Revue de code : recherchez les fonctions d’inclusion de fichiers (include, require, include_once, file_get_contents) sans validation.
Comment se protéger des attaques LFI en 2026 ?
La protection contre les attaques LFI repose sur plusieurs couches de sécurité. Voici les meilleures pratiques à adopter dès maintenant.
1. Valider et filtrer les entrées utilisateur
Ne faites jamais confiance aux entrées utilisateur. Utilisez une liste blanche des fichiers autorisés plutôt qu’une liste noire. Par exemple :
$allowed_pages = ['home', 'about', 'contact'];
if (in_array($_GET['page'], $allowed_pages)) {
include('pages/' . $_GET['page'] . '.php');
} else {
include('pages/error.php');
}2. Désactiver les wrappers PHP dangereux
Dans le fichier php.ini, désactivez les wrappers comme php://, file://, expect:// si non nécessaires. Configurez allow_url_include = Off et allow_url_fopen = Off.
3. Utiliser des chemins absolus et restreindre l’accès
Évitez d’utiliser des chemins relatifs. Préférez des chemins absolus et limitez l’inclusion à un répertoire spécifique avec open_basedir.
4. Mettre à jour régulièrement
Maintenez votre serveur, frameworks et CMS à jour. En 2026, les correctifs de sécurité sont fréquents. Utilisez un gestionnaire de dépendances pour suivre les mises à jour.
5. Implémenter un pare-feu applicatif (WAF)
Un WAF peut bloquer les tentatives d’inclusion de fichiers malveillants. Configurez des règles pour détecter les patterns comme ../, etc/passwd, etc.
6. Surveiller les logs et auditer
Analysez régulièrement les logs d’accès et d’erreur. Une augmentation des requêtes contenant ../ peut indiquer une tentative d’attaque LFI.
Les erreurs à éviter pour prévenir les attaques LFI
- Utiliser des fonctions d’inclusion sans validation.
- Permettre l’inclusion de fichiers distants (RFI) inutilement.
- Faire confiance aux extensions de fichiers (un fichier .txt peut contenir du PHP).
- Négliger la sécurité des logs (injection de code via User-Agent).
Étude de cas : Attaque LFI en 2026
Imaginez un site e-commerce utilisant un paramètre ?template= pour charger des pages. Un attaquant envoie : ?template=../../../var/log/apache/error.log. Si le serveur inclut ce fichier, l’attaquant peut y injecter du code PHP via un User-Agent malveillant, puis exécuter ce code en incluant le même log. Résultat : exécution de code à distance. Pour s’en prémunir, le site aurait dû utiliser une liste blanche de templates.
Outils pour tester et se protéger
- OWASP ZAP : scanner de vulnérabilités open source.
- Burp Suite : outil de test d’intrusion avec module de détection LFI.
- WAF mod_security : pare-feu applicatif avec règles anti-LFI.
- PHP Security Checker : vérifie la configuration PHP.
L’avenir de la sécurité face aux attaques LFI
En 2026, l’intelligence artificielle commence à être utilisée pour détecter les comportements anormaux. Cependant, les bonnes pratiques de codage restent la meilleure défense. La formation des développeurs à la sécurité est primordiale. Les attaques LFI évoluent, mais les principes de base (validation, moindre privilège, mises à jour) restent efficaces.
En résumé, l’attaque par inclusion de fichier local (LFI) est une vulnérabilité sérieuse mais évitable. En adoptant une approche de sécurité dès la conception et en suivant les recommandations ci-dessus, vous pouvez protéger efficacement votre site web en 2026 et au-delà.
Photo by Sora Shimazaki on Pexels
Merci pour cet article très complet. Une question : est-ce que l’utilisation de frameworks modernes comme Laravel ou Symfony protège automatiquement contre les LFI ?
Bonjour, merci pour votre question. Les frameworks comme Laravel et Symfony offrent des mécanismes de sécurité intégrés, mais ils ne protègent pas automatiquement contre les LFI. Tout dépend de la façon dont vous gérez les inclusions de fichiers. Il est crucial de valider et filtrer les entrées utilisateur, même avec un framework. Suivez les bonnes pratiques décrites dans l’article.
Article très intéressant. J’ai vu que vous mentionnez l’utilisation d’un WAF. Pouvez-vous recommander un WAF gratuit ou open source efficace contre les LFI ?
Bonjour, ravi que l’article vous plaise. Pour un WAF gratuit, je recommande ModSecurity avec le jeu de règles OWASP Core Rule Set. Il est très efficace pour bloquer les tentatives LFI et autres attaques web. Pensez à le configurer correctement pour éviter les faux positifs.
Existe-t-il des outils spécifiques pour tester les vulnérabilités LFI sur son propre site ? J’aimerais auditer mon application.
Bonjour, oui, plusieurs outils peuvent vous aider. OWASP ZAP et Burp Suite (version Community gratuite) sont excellents pour détecter les LFI. Vous pouvez également utiliser des scanners spécialisés comme Wfuzz ou des scripts personnalisés. N’oubliez pas de tester dans un environnement de staging pour éviter tout impact sur la production.
Je comprends le principe, mais comment protéger les logs Apache contre l’injection de code via User-Agent ? J’ai déjà vu des tentatives.
Bonjour, bonne question. Pour protéger les logs, vous pouvez désactiver l’affichage des logs dans les inclusions en configurant votre application pour ne jamais inclure de fichiers de logs. Si vous devez les inclure, filtrez les entrées comme le User-Agent pour supprimer les caractères dangereux (ex: