Les pirates informatiques représentent une menace énorme pour les entreprises et les particuliers. L'authentification est censée les garder hors des zones sécurisées, mais cela ne fonctionne pas toujours.
Les cybercriminels disposent d'une gamme d'astuces qui peuvent être utilisées pour se faire passer pour des utilisateurs légitimes. Cela leur permet d'accéder à des informations privées auxquelles ils ne sont pas censés accéder. Cela peut ensuite être utilisé ou vendu.
Les pirates sont souvent en mesure d'accéder à des zones sécurisées en raison de vulnérabilités d'authentification cassées. Quelles sont donc ces vulnérabilités et comment pouvez-vous les prévenir ?
Que sont les vulnérabilités d'authentification interrompue?
Une vulnérabilité d'authentification interrompue est une vulnérabilité qui permet à un attaquant de se faire passer pour un utilisateur légitime.
Un utilisateur légitime se connecte généralement à l'aide d'un mot de passe ou d'un ID de session. Un ID de session est quelque chose sur l'ordinateur de l'utilisateur qui indique qu'il s'est déjà connecté. Chaque fois que vous naviguez sur Internet et que vous n'êtes pas invité à vous connecter à l'un de vos comptes, c'est parce que le fournisseur de compte a trouvé votre identifiant de session.
La plupart des vulnérabilités d'authentification cassées sont des problèmes de gestion des identifiants de session ou des mots de passe. Afin de prévenir les attaques, vous devez examiner comment un pirate pourrait utiliser l'un de ces éléments, puis modifier le système pour rendre cela aussi difficile que possible.
Comment les identifiants de session sont-ils obtenus?
Selon la conception d'un système, les identifiants de session peuvent être obtenus de différentes manières. Une fois l'ID de session accepté, le pirate peut accéder à n'importe quelle partie du système accessible à un utilisateur légitime.
Détournement de session
Détournement de session est l'acte de voler un ID de session. Cela est souvent dû au fait que l'utilisateur fait une erreur et rend son identifiant de session facilement accessible à quelqu'un d'autre.
Si l'utilisateur utilise un Wi-Fi non sécurisé, les données entrant et sortant de son ordinateur ne seront pas cryptées. Un pirate peut alors être en mesure d'intercepter l'ID de session lorsqu'il est envoyé du système à l'utilisateur.
Une option beaucoup plus simple est si l'utilisateur utilise un ordinateur public et oublie de se déconnecter. Dans ce scénario, l'ID de session reste sur l'ordinateur et est accessible à tous.
Réécriture d'URL d'ID de session
Certains systèmes sont conçus de manière à ce que les identifiants de session soient stockés dans une URL. Après s'être connecté à un tel système, l'utilisateur est dirigé vers une URL unique. L'utilisateur peut alors accéder à nouveau au système en visitant la même page.
Ceci est problématique car quiconque accède à l'URL spécifique d'un utilisateur peut se faire passer pour cet utilisateur. Cela peut se produire si un utilisateur utilise un réseau Wi-Fi non sécurisé ou s'il partage son URL unique avec quelqu'un d'autre. Les URL sont souvent partagées en ligne et il n'est pas rare que les utilisateurs partagent des identifiants de session sans le savoir.
Comment les mots de passe sont-ils obtenus?
Les mots de passe peuvent être volés ou devinés de différentes manières, avec ou sans l'aide de l'utilisateur. Bon nombre de ces techniques peuvent être automatisées, permettant aux pirates de tenter de déchiffrer des milliers de mots de passe en une seule action.
Pulvérisation de mot de passe
La pulvérisation de mots de passe consiste à essayer des mots de passe faibles en masse. De nombreux systèmes sont conçus pour verrouiller les utilisateurs après plusieurs tentatives incorrectes.
La pulvérisation de mots de passe contourne ce problème en essayant des mots de passe faibles sur des centaines de comptes plutôt que d'essayer de cibler un compte individuel. Cela permet à l'attaquant de tenter des mots de passe en masse sans alerter le système.
Bourrage d'informations d'identification
Le credential stuffing consiste à utiliser des mots de passe volés pour tenter d'accéder en masse à des comptes privés. Les mots de passe volés sont largement disponibles en ligne. Chaque fois qu'un site Web est piraté, les détails de l'utilisateur peuvent être volés et sont souvent revendus par le pirate.
Le credential stuffing consiste à acheter ces détails d'utilisateur, puis à les essayer en masse sur des sites Web. Étant donné que les mots de passe sont souvent réutilisés, une seule paire de nom d'utilisateur et de mot de passe peut souvent être utilisée pour se connecter à plusieurs comptes.
Hameçonnage
Un e-mail de phishing est un e-mail qui semble être légitime mais qui est en fait conçu pour voler les mots de passe des personnes et d'autres informations privées. Dans un e-mail de phishing, l'utilisateur est invité à visiter une page Web et à se connecter à un compte qu'il possède. Cependant, la page Web fournie est malveillante et toute information saisie est immédiatement volée.
Comment améliorer la gestion des sessions
La possibilité pour un pirate de se faire passer pour un utilisateur à l'aide d'identifiants de session dépend de la conception du système.
Ne stockez pas les identifiants de session dans les URL
Les identifiants de session ne doivent jamais être stockés dans des URL. Les cookies sont idéaux pour les identifiants de session et sont beaucoup plus difficiles d'accès pour un attaquant.
Mettre en œuvre les déconnexions automatiques
Les utilisateurs doivent être déconnectés de leurs comptes après un certain temps d'inactivité. Une fois mis en œuvre, un identifiant de session volé ne peut plus être utilisé.
Rotation des identifiants de session
Les identifiants de session doivent être remplacés régulièrement, même sans que l'utilisateur ne doive se déconnecter. Cela agit comme une alternative aux déconnexions automatiques et empêche un scénario dans lequel un attaquant peut utiliser un ID de session volé aussi longtemps que l'utilisateur le fait.
Comment améliorer les politiques de mot de passe
Tous les espaces privés doivent exiger des mots de passe forts et les utilisateurs doivent être invités à fournir une authentification supplémentaire.
Mettre en œuvre des règles de mot de passe
Tout système qui accepte les mots de passe doit inclure des règles concernant les mots de passe acceptés. Les utilisateurs devraient être tenus de fournir un mot de passe d'une longueur minimale et d'un mélange de caractères.
Rendre l'authentification à deux facteurs obligatoire
Les mots de passe sont facilement volés et la meilleure façon d'empêcher les pirates de les utiliser est de mettre en œuvre une authentification à deux facteurs. Cela oblige l'utilisateur non seulement à saisir son mot de passe, mais également à fournir une autre information, généralement stockée uniquement sur son appareil.
Une fois implémenté, un pirate ne pourra pas accéder au compte, même s'il connaît le mot de passe.
Les vulnérabilités d'authentification interrompues constituent une menace importante
Les vulnérabilités d'authentification brisée sont un problème important sur tout système qui stocke des informations privées. Ils permettent aux pirates de se faire passer pour des utilisateurs légitimes et d'accéder à toute zone qui leur est accessible.
L'authentification brisée fait généralement référence à des problèmes de gestion des sessions ou d'utilisation des mots de passe. En comprenant comment les pirates peuvent tenter d'accéder à un système, il est possible de rendre cela aussi difficile que possible.
Les systèmes doivent être conçus de manière à ce que les identifiants de session ne soient pas facilement accessibles et ne fonctionnent pas plus longtemps que nécessaire. Les mots de passe ne doivent pas non plus être considérés comme le seul moyen d'authentification de l'utilisateur.