Pirater vos comptes en ligne avant même que vous ne vous inscriviez à un service, c’est possible

Gestionnaire de mot de passe
(Crédit photo: Shutterstock)

Par la faute de quelques fonctionnalités mal pensées, les cybercriminels peuvent aujourd’hui prendre le contrôle de bon nombre de comptes en ligne, sur les plateformes les plus utilisées du web - et ce sans avoir besoin du moindre mot de passe. Tout ce qu'ils nécessitent, selon les chercheurs qui enquêtent sur ce phénomène, c'est l'adresse électronique de leur victime. Ce qui ne s’avère guère un problème de nos jours.

Les chercheurs en cybersécurité du Microsoft Security Response Center, ainsi que le chercheur indépendant Avinash Sudhodanan, ont en effet trouvé un moyen de s’approprier divers comptes en ligne, simplement en se positionnant comme les premiers arrivés sur place. 

Il existe plusieurs méthodes pour mener à bien cette attaque, mais voici l'essentiel, en termes simples : si le hacker connaît l'adresse électronique de la victime et sait qu'elle ne dispose pas de compte enregistré sur un service, il peut créer ledit compte pour elle - en utilisant son adresse électronique (et en espérant que la victime rejette la notification par courrier électronique comme un spam).

Authentification unique

Pour les services qui exigent une confirmation de l'utilisateur par courrier électronique, il y a un hic : les attaquants peuvent créer un compte avec une adresse électronique différente, puis passer à l'adresse de la victime par la suite. 

C'est là que les fonctionnalités du service entrent en jeu : certaines permettent la fusion de comptes. Si le service voit que la victime essaie d'enregistrer un compte avec une adresse électronique déjà enregistrée, il peut proposer une fonction d'ouverture de session unique, sans jamais demander à la victime de saisir son mot de passe. La victime se connecte, le cybercriminel reste connecté. Les mots de passe ne sont jamais modifiés. 

Dans certains cas, le hacker peut également créer un script automatisé pour maintenir la session active aussi longtemps que nécessaire.

Bien que les chercheurs aient déjà divulgué leurs conclusions à certains des plus grands sites visés, dont la plupart ont déjà colmaté la brèche, ils préviennent que beaucoup d'autres plateformes présentent probablement cette faille, et que la question de savoir s'ils la corrigeront bientôt est un très grand "peut-être".

Vous trouverez plus de détails sur le fonctionnement de ce type d’attaques et comment tout utilisateur peut repérer et atténuer cette menace, via le document "Pre-hijacking Attacks on Web User Accounts", publié par l'équipe Microsoft Security Response en début de semaine.

Comme d'habitude, il est conseillé aux utilisateurs de mettre en place des clés de sécurité et d'autres formes d'authentification multifactorielle, aussi souvent que possible.

Via BleepingComputer

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.