Les pirates informatiques représentent une énorme menace pour les entreprises et les particuliers. L’authentification est censée les empêcher d’accéder aux zones sécurisées, mais cela ne fonctionne pas toujours.
Les cybercriminels disposent d’une série d’astuces leur permettant de se faire passer pour des utilisateurs légitimes. Cela leur permet d’accéder à des informations privées qu’ils ne sont pas censés connaître. Ces informations peuvent ensuite être utilisées ou vendues.
Les pirates sont souvent en mesure d’accéder à des zones sécurisées en raison de vulnérabilités d’authentification brisées. Quelles sont donc ces vulnérabilités et comment les prévenir ?
Quelles sont les vulnérabilités d’authentification brisée ?
Une vulnérabilité d’authentification brisée est toute vulnérabilité qui permet à un attaquant de se faire passer pour un utilisateur légitime.
Un utilisateur légitime se connecte généralement à l’aide d’un mot de passe ou d’un identifiant de session. L’ID de session est un élément de l’ordinateur de l’utilisateur qui indique qu’il s’est déjà connecté. Lorsque vous naviguez sur Internet et que vous n’êtes pas invité à vous connecter à l’un de vos comptes, c’est parce que le fournisseur du compte a trouvé votre ID de session.
La plupart des vulnérabilités d’authentification brisée sont des problèmes de traitement des identifiants de session ou des mots de passe. Afin de prévenir les attaques, vous devez examiner comment un pirate pourrait utiliser l’un de ces éléments, puis modifier le système pour rendre cette opération aussi difficile que possible.
Comment les identifiants de session sont-ils obtenus ?
Selon la façon dont un système est conçu, les identifiants de session peuvent être obtenus de différentes manières. Une fois l’identifiant de session accepté, le pirate peut accéder à toutes les parties du système auxquelles un utilisateur légitime a accès.
Détournement de session
Le détournement de session est l’acte de voler un ID de session. Cela se produit souvent lorsque l’utilisateur fait une erreur et que son ID de session est facilement accessible à quelqu’un d’autre.
Si l’utilisateur utilise un réseau Wi-Fi non sécurisé, les données en provenance et à destination de son ordinateur ne seront pas cryptées. Un pirate peut alors être en mesure d’intercepter l’ID de session lorsqu’il est envoyé du système à l’utilisateur.
Une option beaucoup plus facile est que l’utilisateur utilise un ordinateur public et oublie de se déconnecter. Dans ce cas, l’ID de session reste sur l’ordinateur et peut être consulté par n’importe qui.
Réécriture de l’URL de l’ID de session
Certains systèmes sont conçus de telle sorte que les ID de session sont stockés dans une URL. Après s’être connecté à un tel système, l’utilisateur est dirigé vers une URL unique. L’utilisateur peut alors accéder à nouveau au système en visitant la même page.
Ceci est problématique car toute personne qui obtient l’accès à l’URL spécifique d’un utilisateur peut se faire passer pour cet utilisateur. Cela peut se produire si un utilisateur utilise un réseau Wi-Fi non sécurisé ou s’il partage son URL unique avec quelqu’un d’autre. Les URL sont souvent partagées en ligne et il n’est pas rare que les utilisateurs partagent des identifiants de session sans le savoir.
Comment les mots de passe sont-ils obtenus ?
Les mots de passe peuvent être volés ou devinés de différentes manières, avec ou sans l’aide de l’utilisateur. Nombre de ces techniques peuvent être automatisées, permettant aux pirates de tenter de craquer des milliers de mots de passe en une seule action.
Pulvérisation de mots de passe
La pulvérisation de mots de passe consiste à essayer des mots de passe faibles en masse. De nombreux systèmes sont conçus pour verrouiller les utilisateurs après plusieurs tentatives incorrectes.
La pulvérisation de mots de passe contourne ce problème en essayant des mots de passe faibles sur des centaines de comptes plutôt que d’essayer de cibler un compte individuel. Cela permet à l’attaquant de tenter des mots de passe en masse sans alerter le système.
Remplissage de justificatifs
Le « Credential Stuffing » consiste à utiliser des mots de passe volés pour tenter d’accéder à des comptes privés en masse. Les mots de passe volés sont largement disponibles en ligne. Chaque fois qu’un site web est piraté, les détails de l’utilisateur peuvent être volés, et sont souvent revendus par le pirate.
Le « Credential stuffing » consiste à acheter ces données d’utilisateur et à les essayer en masse sur des sites web. Les mots de passe étant souvent réutilisés, un seul couple nom d’utilisateur/mot de passe peut souvent être utilisé pour se connecter à plusieurs comptes.
Phishing
Un email de phishing est un email qui semble légitime mais qui est en fait conçu pour voler les mots de passe et autres détails privés des gens. Dans un e-mail de phishing, l’utilisateur est invité à visiter une page Web et à se connecter à un compte qu’il possède. La page Web proposée est toutefois malveillante et toute information saisie est immédiatement volée.
Comment améliorer la gestion des sessions
La possibilité pour un pirate de se faire passer pour un utilisateur en utilisant des identifiants de session dépend de la façon dont le système est conçu.
Ne pas stocker les identifiants de session dans les URLs
Les identifiants de session ne doivent jamais être stockés dans les URL. Les cookies sont idéaux pour les ID de session et sont beaucoup plus difficiles d’accès pour un attaquant.
Implémentation de la déconnexion automatique
Les utilisateurs devraient être déconnectés de leur compte après un certain temps d’inactivité. Une fois mis en place, un identifiant de session volé ne pourra plus être utilisé.
Rotation des identifiants de session
Les identifiants de session devraient être remplacés régulièrement, même sans que l’utilisateur ait à se déconnecter. Cela constitue une alternative aux déconnexions automatiques et empêche un scénario dans lequel un attaquant peut utiliser un identifiant de session volé aussi longtemps que l’utilisateur.
Comment améliorer les politiques de mot de passe
Toutes les zones privées devraient exiger des mots de passe forts et les utilisateurs devraient être invités à fournir une authentification supplémentaire.
Mettre en place des règles de mot de passe
Tout système qui accepte des mots de passe doit inclure des règles concernant les mots de passe acceptés. Les utilisateurs doivent être tenus de fournir un mot de passe d’une longueur minimale et composé d’une combinaison de caractères.
Rendre l’authentification à deux facteurs obligatoire
Les mots de passe sont facilement volés et la meilleure façon d’empêcher les pirates de les utiliser est de mettre en place une authentification à deux facteurs. Celle-ci oblige l’utilisateur à saisir son mot de passe, mais aussi à fournir une autre information, généralement stockée uniquement sur son appareil.
Une fois mise en œuvre, un pirate ne pourra pas accéder au compte, même s’il connaît le mot de passe.
Les vulnérabilités d’authentification brisée constituent une menace importante
Les vulnérabilités d’authentification brisées constituent un problème important pour tout système qui stocke des informations privées. Elles permettent aux pirates de se faire passer pour des utilisateurs légitimes et d’accéder à toutes les zones qui leur sont accessibles.
L’authentification cassée fait généralement référence à des problèmes liés à la gestion des sessions ou à l’utilisation des mots de passe. En comprenant comment les pirates peuvent tenter d’accéder à un système, il est possible de rendre cet accès aussi difficile que possible.
Les systèmes doivent être conçus de manière à ce que les identifiants de session ne soient pas facilement accessibles et ne fonctionnent pas plus longtemps que nécessaire. Les mots de passe ne devraient pas non plus être considérés comme le seul moyen d’authentification des utilisateurs.
