Selon une nouvelle étude soutenue par le Microsoft Security Response Center (MSRC), des acteurs malveillants peuvent s'approprier sans autorisation des comptes en ligne avant même que leurs victimes ne s'inscrivent à des services. Surnommée « prépiratage de compte », la classe d'attaque implique qu'un attaquant lance un exploit de prise de contrôle de compte avant même que la victime ne se soit inscrite à un service en ligne. Une fois que la victime s'est inscrite, l'attaquant profite des failles de sécurité dans les mécanismes d'authentification du service pour accéder ou s'approprier le compte nouvellement créé.L'étude a révélé que des dizaines de services à fort trafic étaient vulnérables à au moins un type d'attaque prépiratage. La recherche met en lumière les problèmes de sécurité entourant la création de comptes, une question rarement examinée.
Pour expliquer les motivations derrière leur recherche, les auteurs de l'étude indiquent :
« L'omniprésence des comptes d'utilisateurs dans les sites Web et les services en ligne fait du piratage de compte un grave problème de sécurité. Bien que des recherches antérieures aient étudié diverses techniques permettant à un attaquant d'accéder au compte d'une victime, relativement peu d'attention a été accordée au processus de création de comptes. La tendance actuelle vers l'authentification fédérée (par exemple, l'authentification unique) ajoute une couche supplémentaire de complexité, car de nombreux services prennent désormais en charge à la fois l'approche classique dans laquelle l'utilisateur définit directement un mot de passe et l'approche fédérée dans laquelle l'utilisateur s'authentifie via un fournisseur d'identité.
« Inspirés par des travaux antérieurs sur le piratage préventif de compte, nous montrons qu'il existe toute une classe d'attaques de prépiratage de compte. La particularité de ces attaques est que l'attaquant effectue une action avant que la victime ne crée un compte, ce qui rend trivial pour l'attaquant d'y accéder une fois que la victime a créé/récupéré le compte. En supposant un attaquant réaliste qui ne connaît que l'adresse e-mail de la victime, nous identifions et discutons de cinq types différents d'attaques de prépiratage de compte.
« Pour déterminer la prévalence de ces vulnérabilités dans la nature, nous avons analysé 75 services populaires et constaté qu'au moins 35 d'entre eux étaient vulnérables à une ou plusieurs attaques de prépiratage de compte. Alors que certains d'entre eux peuvent être remarqués par des utilisateurs attentifs, d'autres sont totalement indétectables du point de vue de la victime. Enfin, nous avons enquêté sur la cause profonde de ces vulnérabilités et présenté un ensemble d'exigences de sécurité pour éviter que de telles vulnérabilités ne se reproduisent à l'avenir ».
L'objectif de l'attaquant est de prendre le contrôle (c'est-à-dire de détourner) le compte d'utilisateur de la victime sur le service cible. Selon la nature du service, cela pourrait permettre à l'attaquant d'accéder aux informations confidentielles de la victime (par exemple, messages, documents, relevés de facturation, etc.) ou de se faire passer pour la victime (par exemple, envoyer des messages, s'abonner à des services, etc.) .
L'impact des attaques de prépiratage de compte est le même que celui du piratage de compte. Selon la nature du service cible, une attaque réussie pourrait permettre à l'attaquant de lire/modifier des informations sensibles associées au compte (par exemple, messages, relevés de facturation, historique d'utilisation, etc.) ou d'effectuer des actions en utilisant l'identité de la victime (par exemple, envoyer des messages falsifiés, effectuer des achats en utilisant des méthodes de paiement enregistrées, etc.).
Plusieurs façons de prépirater un compte
La recherche a été soutenue par l'une des subventions de recherche du projet d'identité accordées par le MSRC au début de 2020.
« Dans ce projet, nous avons exploré plusieurs sujets, mais nous avons rapidement remarqué une tendance émergeant autour du modèle de la menace de "prépiratage" », ont déclaré Andrew Paverd, chercheur principal au MSRC, et le chercheur indépendant Avinash Sudhodanan.
Le prépiratage de compte suppose que la victime n'a pas encore de compte sur le service cible et que l'attaquant connaît l'e-mail et d'autres informations de base sur la victime. Les chercheurs ont découvert cinq types de scénarios d'attaque prépiratage.
Certains profitent de plusieurs modes de création de comptes pris en charge par de nombreux services en ligne. Sur de nombreux sites Web, les utilisateurs peuvent directement fournir une adresse e-mail et un mot de passe pour créer leur compte ou utiliser l'authentification fédérée en utilisant un service d'authentification unique (SSO) axé sur le consommateur, tel que fourni...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
