Accueil High-Tech Au moins 35 des 75 sites Web populaires testés se sont révélés...

Au moins 35 des 75 sites Web populaires testés se sont révélés vulnérables au détournement de compte

160
0

The Register rapporte que deux chercheurs en sécurité ont découvert cinq techniques apparentées de détournement préventif de comptes Internet.

Le ransomware Conti frappe à nouveau - Le Costa Rica déclare l'urgence nationale pour les cyberattaques

(Photo : Jack Guez/ Getty Images)

Dans un article intitulé « Pre-hijacked accounts : An Empirical Study of Security Failures in User Account Creation on the Web », Avinash Sudhodanan, chercheur indépendant en sécurité, et Andrew Paverd, chercheur principal chez Microsoft, présentent leurs conclusions.

Étant donné que les services en ligne ne vérifient généralement pas que la personne qui se connecte possède l’identification fournie avant d’autoriser l’utilisation du compte, l’article étudie comment exploiter l’interaction entre les services d’identité fédérés et la création traditionnelle de comptes par mot de passe.

5 types d’attaques de pré-détournement

Les deux chercheurs ont également rédigé un billet de blog sur leurs découvertes, décrivant cinq types différents d’attaques avant piratage.

Au moins 35 des 75 sites Web populaires testés se sont révélés vulnérables au détournement de compte.

(Photo : Microsoft Security Response Center / Capture d’écran prise sur le site officiel du Microsoft Security Response Center)

1. Attaque de fusion classique et fédérée: Cette attaque profite d’une faille dans l’interaction entre les processus de création de compte classique et fédéré.

2. Attaque par identifiant de session non expiré: Cette attaque exploite une faiblesse dans laquelle les utilisateurs authentifiés ne sont pas automatiquement déconnectés d’un compte lorsqu’ils réinitialisent leur mot de passe.

3. Attaque de l’identifiant du cheval de Troie: Cette attaque exploite la capacité de l’attaquant à lier un identifiant supplémentaire à un compte créé par la méthode standard du nom d’utilisateur et du mot de passe.

Lire aussi :  Voici le prix à payer pour les téléviseurs QD-OLED de Sony et d'autres téléviseurs

4. Attaque de changement d’email non expiré: Cette attaque utilise une faille potentielle dans laquelle le service ne parvient pas à invalider les URL de capacité de changement d’email après qu’un utilisateur ait changé son mot de passe.

5. Attaque par un IdP non vérifié: Il s’agit de l’image miroir de l’attaque classique de fusion fédérée. Lors de la création d’une identité fédérée, l’attaquant utilise un IdP qui ne valide pas la propriété d’une adresse électronique.

Le blog a noté que toutes ces méthodes exigent que l’attaquant identifie les services où la victime n’a pas actuellement de compte mais est susceptible d’en créer un à l’avenir.

Lire la suite : Les cybercriminels utilisent les ransomwares comme armes – Quelle est leur létalité ?

Près de la moitié des 75 services populaires testés pourraient être exploités via des attaques de pré-détournement

Selon The Register, comme aucune de ces solutions n’est garantie, elles peuvent sembler spéculatives. Cependant, elles se sont avérées suffisamment fonctionnelles pour être testées sur une série de services Internet populaires.

Lorsque les chercheurs ont évalué 75 services populaires parmi les 150 premiers sites web d’Alexa pour voir s’ils pouvaient être exploités par des attaques de type « pre-hijacking », ils ont découvert qu’au moins 35 d’entre eux pouvaient être exploités en utilisant une ou plusieurs de ces méthodes.

Lire aussi :  Un nouveau logiciel malveillant de traçage sur Android pourrait être d'origine russe

L’attaque par changement d’adresse électronique non expirée, par exemple, a été découverte comme étant vulnérable à Dropbox. L’attaque par identifiant de cheval de Troie a été découverte comme étant vulnérable sur Instagram. L’Unexpired Session Attack, ainsi qu’une variante de la Trojan Identifier Attack, étaient toutes deux des cibles possibles pour LinkedIn de Microsoft. Deux de ces attaques ont été découvertes comme étant vulnérables à la fois sur WordPress et Zoom.

Sudhodanan et Paverd affirment avoir exposé de manière responsable les 56 vulnérabilités qu’ils ont découvertes pour 35 services, dont 19 ont été signalées par des services de bogues tiers tels que HackerOne, Bugcrowd et Federacy. Ils ont également affirmé avoir contacté 11 autres entreprises en utilisant leurs adresses électroniques de signalement de sécurité. Les entreprises qui ont reçu ces rapports devraient, en théorie, les avoir déjà traités.

Au moins 35 des 75 sites Web populaires testés se sont révélés vulnérables au piratage de comptes.

(Photo : Microsoft Security Response Center / Capture d’écran prise sur le site officiel du Microsoft Security Response Center)

Article connexe : Un collège américain doit fermer définitivement ses portes suite à une attaque de ransomware

Article précédentLes Sims 4 ont ajouté des pronoms personnalisés : voici ce que vous devez savoir.
Article suivantDino Crisis pourrait revenir sur la PlayStation via le PS Plus remanié de Sony
Tras una licenciatura en economía, un máster en gestión estratégica y 18 meses de viaje por todo el mundo, empecé a trabajar como redactor de páginas web.