Selon une nouvelle étude soutenue par le Microsoft Security Response Center (MSRC), des acteurs malveillants peuvent s’approprier des comptes en ligne sans autorisation avant même que leurs victimes ne s’inscrivent à des services.

Surnommée « pré-piratage de compte », la classe d’attaque implique qu’un attaquant lance un exploit de prise de contrôle de compte avant même que la victime ne se soit inscrite à un service en ligne. Une fois que la victime s’est inscrite, l’attaquant profite des failles de sécurité dans les mécanismes d’authentification du service pour accéder ou s’approprier le compte nouvellement créé.

La étude (PDF) a révélé que des dizaines de services à fort trafic étaient vulnérables à au moins un type d’attaque pré-piratage. La recherche met en lumière les problèmes de sécurité entourant la création de compte, une question rarement examinée.

Plusieurs façons de pré-pirater un compte

La recherche a été soutenue par l’une des subventions de recherche du projet d’identité accordées par le MSRC au début de 2020.

« Dans ce projet, nous avons exploré plusieurs sujets, mais nous avons rapidement remarqué une tendance émergeant autour du modèle de menace » pré-piratage «  », ont déclaré Andrew Paverd, chercheur principal au MSRC, et le chercheur indépendant Avinash Sudhodanan. La gorgée quotidienne.

Le pré-piratage de compte suppose que la victime n’a pas encore de compte sur le service cible et que l’attaquant connaît l’e-mail et d’autres informations de base sur la victime. Les chercheurs ont découvert cinq types de scénarios d’attaque pré-piratage.

Certains profitent de plusieurs modes de création de compte pris en charge par de nombreux services en ligne. Sur de nombreux sites Web, les utilisateurs peuvent directement fournir une adresse e-mail et un mot de passe pour créer leur compte ou utiliser l’authentification fédérée en utilisant un service d’authentification unique (SSO) axé sur le consommateur, tel que fourni par Facebook, Google et Microsoft.

N’OUBLIEZ PAS DE LIRE Un «chercheur» en sécurité réplique aux allégations de téléchargements de fichiers CTX malveillants

Par exemple, dans un type d’attaque, l’attaquant crée un compte avec l’adresse e-mail de la victime. La victime crée alors un compte en utilisant l’approche fédérée. Dans certains services, cela fusionne les comptes de l’attaquant et de la victime, leur donnant à tous deux un accès simultané au même compte.

Dans un autre type d’attaque, l’attaquant crée un compte avec l’email de la victime et associe sa propre identité fédérée au même compte. Lorsque la victime tentera de créer son compte, elle sera invitée à réinitialiser son mot de passe. La victime obtiendra l’accès au compte, mais l’attaquant pourra également accéder au compte via l’identité SSO.

Les chercheurs ont déclaré : « Il est très positif de voir combien de services en ligne évoluent vers l’authentification unique. [but] cela signifie qu’ils devront peut-être prendre en charge plusieurs mécanismes de connexion. Ce n’est pas nécessairement un problème en soi, et de nombreux services le font en toute sécurité.

« Notre recherche souligne simplement certains pièges subtils à prendre en compte lors de la prise en charge de plusieurs mécanismes de connexion », ont ajouté les chercheurs.

Changer de frappeur

Paverd et Sudhodanan ont souligné que trois des attaques qu’ils ont trouvées ne nécessitent pas que le service prenne en charge plusieurs mécanismes de connexion.

Par exemple, dans un schéma, la session de l’attaquant peut rester active même après que la victime a récupéré son compte et réinitialisé le mot de passe.

Dans un autre scénario encore, l’attaquant crée un compte avec l’e-mail de la victime et lance une demande de changement d’e-mail sur la propre adresse e-mail de l’attaquant. L’attaquant attend ensuite que la victime réclame le compte avant de compléter la demande de changement d’e-mail et de prendre possession du compte.

Principaux services concernés

Dans leur étude, les chercheurs ont examiné 75 services classés parmi la liste d’Alexa des 150 domaines à fort trafic. Au moins 35 ont été touchés par une ou plusieurs attaques de pré-piratage de compte, notamment Dropbox, Instagram, LinkedIn, WordPress.com et Zoom. Heureusement, tous les services concernés ont été informés des vulnérabilités et ont implémenté les correctifs nécessaires.

« Nous pensons qu’un manque de sensibilisation peut avoir été la principale cause de ces vulnérabilités potentielles. Nous publions donc cette recherche pour sensibiliser et aider les organisations à atténuer ces vulnérabilités », ont déclaré Paverd et Sudhodanan.

La conclusion la plus importante, concluent les chercheurs, est de « vérifier que l’utilisateur possède bien tous les identifiants fournis par l’utilisateur (par exemple, l’adresse e-mail ou le numéro de téléphone) avant de les utiliser pour créer un nouveau compte ou de les ajouter à un compte existant ». Cela atténuerait tous les types d’attaques de pré-détournement identifiées à ce jour.

L’article des chercheurs décrit également plusieurs autres stratégies de défense en profondeur possibles.

Ils ont recommandé aux utilisateurs d’activer l’authentification multifacteur (MFA) dans la mesure du possible, car elle arrête la plupart des attaques de pré-piratage qu’ils ont découvertes.

Un autre signe de pré-piratage de compte est la réception d’un e-mail concernant un compte que vous n’avez pas créé, que les utilisateurs ignorent généralement. « Signalez-le au site Web concerné », ont déclaré les chercheurs.