On peut pirater un compte Instagram… avant même qu’il ne soit créé !

On peut pirater un compte Instagram... avant même qu’il ne soit créé !



Se faire pirater son compte en ligne, c’est déjà moche. Mais se le faire pirater avant même qu’il soit créé, c’est incroyablement pire. Deux chercheurs en sécurité viennent de révéler que des dizaines de services en ligne n’étaient pas assez sécurisés et permettaient à des pirates de réaliser des attaques dites de « pre-hijack ». Munis de l’adresse e-mail de la victime, ils créent un compte en ligne en son nom. Puis, lorsque, la cible va créer sur ce service son authentique compte en ligne, les pirates pourront garder la main sur ce dernier et l’utiliser pour diverses opérations : espionnage, modification de contenu, création de faux contenu, paiements frauduleux, etc.

Tout cela est possible en raison d’une série de failles que les chercheurs ont trouvées dans les processus d’authentification et de récupération de compte. Le phénomène est loin d’être anecdotique. Sur 75 services en ligne testés, 35 étaient vulnérables. Parmi eux figurent également de grands noms tels que LinkedIn, Instagram, Dropbox, Zoom ou WordPress.com.

A découvrir aussi en vidéo :

Alors comment est-ce possible ? Tout d’abord, les chercheurs constatent que la vérification de compte — l’e-mail que l’on reçoit pour vérifier que l’on est bien propriétaire de l’adresse en question — n’est pas suffisante. Parfois elle n’est pas implémentée, et quand elle l’est, il est parfois possible d’effectuer ultérieurement un changement d’adresse sans vérification ultérieure.

Ensuite, quand la victime va créer son compte, elle sera bien sûr avertie qu’il existe déjà. Mais elle va penser avoir oublié la création de ce compte et procéder à une récupération. Plusieurs scénarios d’attaques sont alors possibles.

5 scénarios d’attaque

1) Grâce à un script, le pirate a réussi à garder ouverte une session de connexion. Et cette session reste ouverte même si la victime réinitialise son mot de passe, ce qui ne devrait pas être le cas. (Unexpired Session Attack)

2) La victime crée son compte au travers d’un service d’authentification tiers, tel que Google ou Apple. Si la plateforme est mal configurée, elle va procéder à une fusion des comptes sans désactiver le mot de passe précédemment créé. (Classic Federated Merge Attack)

3) Inversement, le pirate peut directement créer un accès par un service d’authentification qui ne vérifie par la propriété de l’adresse e-mail de la victime. Quand la victime crée son compte normalement, cet accès reste valable. (Non Verifying IdP Attack)

4) Le pirate crée un compte avec l’adresse e-mail de la victime et lui associe un autre compte par le biais de la fédération d’identité. Si la victime récupère son compte normalement, le pirate garde l’accès par ce compte parallèle (Trojan Identifier Attack)

5) Le pirate peut initier un changement d’adresse e-mail sans aller jusqu’au bout. Lorsque la victime crée son véritable compte, le pirate finalise ce changement et récupère de nouveau l’accès au compte. (Unexpired Email Change Attack).

Tous les 35 fournisseurs de service vulnérables ont été alertés sur ces failles et la majorité d’entre eux ont procédé à des correctifs. C’est le cas notamment de LinkedIn et de Zoom, qui étaient vulnérables respectivement aux attaques 1/4 et 2/3. Mais certains estiment que le risque est mineur ou que ce n’est pas de leur responsabilité. Instagram, par exemple, est vulnérable à l’attaque n° 4, mais pense avoir mis en place suffisamment d’alertes et de garde-fous pour éviter ce scénario. Au pire, c’est la faute de l’utilisateur.

Soulignons que les chercheurs n’ont pu tester qu’une petite sélection de services en ligne. Il existe donc certainement encore d’autres plateformes qui sont vulnérables. En tant qu’utilisateur, une manière de bien se protéger contre ces attaques est d’activer l’authentification forte. Celle-ci empêche les pirates d’utiliser des accès parallèles.

Sources: Bleeping Computer, Etude de recherche



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.