Le piratage de compte est le fait de prendre le contrôle du compte de quelqu'un d'autre. Il est généralement effectué dans l'espoir de voler des informations personnelles, de se faire passer pour la victime ou de la faire chanter. Le piratage de compte est un problème courant, mais il n'est pas facile à réaliser. Pour réussir, l'attaquant doit évidemment trouver le mot de passe de la victime.
Les chercheurs ont découvert un nouveau type d'attaque connu sous le nom de pré-piratage de compte. Il implique des comptes qui n'ont pas encore été créés et permet aux attaquants d'atteindre le même objectif sans avoir accès à un mot de passe.
Alors, qu'est-ce que le pré-piratage de compte et comment pouvez-vous vous en protéger ?
Qu'est-ce que le pré-détournement de compte ?
Le pré-piratage de compte est un nouveau type de cyberattaque. L'attaquant crée un compte sur un service populaire en utilisant l'adresse e-mail de quelqu'un d'autre.
Lorsque la victime tente de créer un compte en utilisant la même adresse e-mail, l'attaquant conserve le contrôle du compte. Toute information fournie par la victime est alors accessible à l'attaquant, qui pourra alors prendre le contrôle exclusif du compte ultérieurement.
Comment fonctionne le pré-piratage de compte ?
Afin de procéder au pré-piratage, l'attaquant doit d'abord avoir accès à une adresse e-mail. Ceux-ci sont largement disponibles sur le dark web. Lorsqu'un une violation de données se produit, de gros lots d'adresses e-mail sont généralement publiés sous forme de vidages de données.
L'attaquant crée alors un compte sur un service populaire que le propriétaire de l'adresse e-mail n'a pas encore utilisé. Cette attaque est possible sur de nombreux grands fournisseurs de services, il n'est donc pas nécessairement difficile de prédire que les victimes voudront un tel compte à un moment donné.
Tout cela est effectué en masse, dans l'espoir qu'un certain nombre d'attaques aboutiront finalement.
Lorsque la victime tentera de créer un compte sur le service ciblé, on lui indiquera qu'elle a déjà un compte et on lui demandera de réinitialiser son mot de passe. De nombreuses victimes réinitialiseront leur mot de passe en supposant qu'il s'agit d'une erreur.
L'attaquant sera alors informé du nouveau compte et pourra peut-être en conserver l'accès.
Le mécanisme spécifique par lequel cette attaque se produit varie, mais il existe cinq types distincts.
Attaque de fusion fédérée classique
De nombreuses plateformes en ligne vous permettent de vous connecter en utilisant une identité fédérée telle que votre compte Gmail ou de créer un nouveau compte en utilisant votre adresse Gmail. Si l'attaquant s'inscrit en utilisant votre adresse Gmail et que vous vous connectez en utilisant votre compte Gmail, il est possible que vous ayez tous les deux accès au même compte.
Attaque d'identifiant de session non expirée
L'attaquant crée un compte en utilisant l'adresse e-mail de la victime et ils gardent une session active. Lorsque la victime crée un compte et réinitialise son mot de passe, l'attaquant conserve le contrôle du compte car la plateforme ne l'a pas déconnecté de sa session active.
Attaque d'identifiant de cheval de Troie
L'attaquant crée un compte et ajoute une autre option de récupération de compte. Il peut s'agir d'une autre adresse e-mail ou d'un numéro de téléphone. La victime peut réinitialiser le mot de passe du compte mais l'attaquant peut toujours utiliser l'option de récupération de compte pour en prendre le contrôle.
Attaque de changement d'e-mail non expiré
L'attaquant crée un compte et initie un changement d'adresse e-mail. Ils reçoivent un lien pour modifier l'adresse e-mail du compte, mais ils ne terminent pas le processus. La victime peut réinitialiser le mot de passe du compte mais cela ne désactive pas nécessairement le lien que l'attaquant a reçu. L'attaquant peut alors utiliser le lien pour prendre le contrôle du compte.
Attaque de fournisseur d'identité sans vérification
L'attaquant crée un compte à l'aide d'un fournisseur d'identité qui ne vérifie pas les adresses e-mail. Lorsque la victime s'inscrit avec la même adresse e-mail, il est possible qu'elles aient toutes les deux accès au même compte.
Comment le pré-détournement de compte est-il possible ?
Si un attaquant crée un compte en utilisant votre adresse e-mail, il lui sera généralement demandé de vérifier l'adresse e-mail. En supposant qu'ils n'ont pas piraté votre compte de messagerie, cela ne sera pas possible.
Le problème est que de nombreux fournisseurs de services permettent aux utilisateurs de garder le compte ouvert avec des fonctionnalités limitées avant que cet e-mail ne soit vérifié. Cela permet aux attaquants de préparer un compte pour cette attaque sans vérification.
Quelles plateformes sont vulnérables ?
Des chercheurs testés 75 plateformes différentes sur le top 150 selon Alexa. Ils ont découvert que 35 de ces plateformes étaient potentiellement vulnérables. Cela inclut de grands noms tels que LinkedIn, Instagram, WordPress et Dropbox.
Toutes les entreprises découvertes vulnérables ont été informées par les chercheurs. Mais on ne sait pas si des mesures suffisantes ont été prises pour empêcher ces attaques.
Que devient la victime ?
Si vous tombez dans le piège de cette attaque, toutes les informations que vous fournissez seront accessibles à l'attaquant. Selon le type de compte, cela peut inclure des informations personnelles. Si cette attaque est menée contre un fournisseur de messagerie, l'attaquant pourrait tenter de se faire passer pour vous. Si le compte a de la valeur, il pourrait également être volé et une rançon pourrait vous être demandée pour sa restitution.
Comment se protéger contre le pré-piratage de compte
La principale protection contre cette menace est de savoir qu'elle existe.
Si vous créez un compte et qu'on vous dit qu'un compte existe déjà, vous devez vous inscrire avec une adresse e-mail différente. Cette attaque est impossible si vous utilisez des adresses e-mail différentes pour tous vos comptes les plus importants.
Cette attaque repose également sur le fait que l'utilisateur n'utilise pas Authentification à deux facteurs (2FA). Si vous configurez un compte et activez 2FA, toute autre personne ayant accès au compte ne pourra pas se connecter. 2FA est également recommandé pour se protéger contre d'autres menaces en ligne comme l'hameçonnage et les violations de données.
Le pré-détournement de compte est facile à éviter
Le piratage de compte est un problème courant. Mais le pré-piratage de compte est une nouvelle menace et, jusqu'à présent, largement théorique. C'est une possibilité lors de l'inscription à de nombreux services en ligne, mais on ne pense pas encore que cela se produise régulièrement.
Bien que les victimes de cette attaque puissent perdre l'accès à leur compte et se faire voler leurs informations personnelles, il est également facile de l'éviter. Si vous vous inscrivez pour un nouveau compte et qu'on vous dit que vous en avez déjà un, vous devez utiliser une adresse e-mail différente.