Par la faute de quelques fonctionnalités mal pensées, les cybercriminels peuvent aujourd’hui prendre le contrôle de bon nombre de comptes en ligne, sur les plateformes les plus utilisées du web - et ce sans avoir besoin du moindre mot de passe. Tout ce qu'ils nécessitent, selon les chercheurs qui enquêtent sur ce phénomène, c'est l'adresse électronique de leur victime. Ce qui ne s’avère guère un problème de nos jours.
Les chercheurs en cybersécurité du Microsoft Security Response Center, ainsi que le chercheur indépendant Avinash Sudhodanan, ont en effet trouvé un moyen de s’approprier divers comptes en ligne, simplement en se positionnant comme les premiers arrivés sur place.
Il existe plusieurs méthodes pour mener à bien cette attaque, mais voici l'essentiel, en termes simples : si le hacker connaît l'adresse électronique de la victime et sait qu'elle ne dispose pas de compte enregistré sur un service, il peut créer ledit compte pour elle - en utilisant son adresse électronique (et en espérant que la victime rejette la notification par courrier électronique comme un spam).
Authentification unique
Pour les services qui exigent une confirmation de l'utilisateur par courrier électronique, il y a un hic : les attaquants peuvent créer un compte avec une adresse électronique différente, puis passer à l'adresse de la victime par la suite.
C'est là que les fonctionnalités du service entrent en jeu : certaines permettent la fusion de comptes. Si le service voit que la victime essaie d'enregistrer un compte avec une adresse électronique déjà enregistrée, il peut proposer une fonction d'ouverture de session unique, sans jamais demander à la victime de saisir son mot de passe. La victime se connecte, le cybercriminel reste connecté. Les mots de passe ne sont jamais modifiés.
Dans certains cas, le hacker peut également créer un script automatisé pour maintenir la session active aussi longtemps que nécessaire.
Bien que les chercheurs aient déjà divulgué leurs conclusions à certains des plus grands sites visés, dont la plupart ont déjà colmaté la brèche, ils préviennent que beaucoup d'autres plateformes présentent probablement cette faille, et que la question de savoir s'ils la corrigeront bientôt est un très grand "peut-être".
Vous trouverez plus de détails sur le fonctionnement de ce type d’attaques et comment tout utilisateur peut repérer et atténuer cette menace, via le document "Pre-hijacking Attacks on Web User Accounts", publié par l'équipe Microsoft Security Response en début de semaine.
Comme d'habitude, il est conseillé aux utilisateurs de mettre en place des clés de sécurité et d'autres formes d'authentification multifactorielle, aussi souvent que possible.
- Meilleurs gestionnaires de mots de passe : protégez plus efficacement vos identités numériques
- Meilleurs antivirus en ligne : quel service de sécurité basé sur le cloud est le plus fiable
- En complément de votre antivirus, optez pour les meilleurs VPN
Via BleepingComputer
