Selon une nouvelle tude soutenue par le Microsoft Security Response Center (MSRC), des acteurs malveillants peuvent s’approprier sans autorisation des comptes en ligne avant mme que leurs victimes ne s’inscrivent des services. Surnomme pr-piratage de compte , la classe d’attaque implique qu’un attaquant lance un exploit de prise de contrle de compte avant mme que la victime ne se soit inscrite un service en ligne. Une fois que la victime s’est inscrite, l’attaquant profite des failles de scurit dans les mcanismes d’authentification du service pour accder ou s’approprier le compte nouvellement cr.
L’tude a rvl que des dizaines de services fort trafic taient vulnrables au moins un type d’attaque pr-piratage. La recherche met en lumire les problmes de scurit entourant la cration de compte, une question rarement examine.
Pour expliquer les motivations derrire leur recherche, les auteurs de l’tude indiquent :
L’omniprsence des comptes d’utilisateurs dans les sites Web et les services en ligne fait du piratage de compte un grave problme de scurit. Bien que des recherches antrieures aient tudi diverses techniques permettant un attaquant d’accder au compte d’une victime, relativement peu d’attention a t accorde au processus de cration de compte. La tendance actuelle vers l’authentification fdre (par exemple, l’authentification unique) ajoute une couche supplmentaire de complexit car de nombreux services prennent dsormais en charge la fois l’approche classique dans laquelle l’utilisateur dfinit directement un mot de passe et l’approche fdre dans laquelle l’utilisateur s’authentifie via un fournisseur d’identit.
Inspirs par des travaux antrieurs sur le piratage prventif de compte, nous montrons qu’il existe toute une classe d’attaques de pr-piratage de compte. La particularit de ces attaques est que l’attaquant effectue une action avant que la victime ne cre un compte, ce qui rend trivial pour l’attaquant d’y accder une fois que la victime a cr/rcupr le compte. En supposant un attaquant raliste qui ne connat que l’adresse e-mail de la victime, nous identifions et discutons de cinq types diffrents d’attaques de pr-piratage de compte.
Pour dterminer la prvalence de ces vulnrabilits dans la nature, nous avons analys 75 services populaires et constat qu’au moins 35 d’entre eux taient vulnrables une ou plusieurs attaques de pr-piratage de compte. Alors que certains d’entre eux peuvent tre remarqus par des utilisateurs attentifs, d’autres sont totalement indtectables du point de vue de la victime. Enfin, nous avons enqut sur la cause profonde de ces vulnrabilits et prsent un ensemble d’exigences de scurit pour viter que de telles vulnrabilits ne se reproduisent l’avenir .
L’objectif de l’attaquant est de prendre le contrle (c’est–dire de dtourner) le compte d’utilisateur de la victime sur le service cible. Selon la nature du service, cela pourrait permettre l’attaquant d’accder aux informations confidentielles de la victime (par exemple, messages, documents, relevs de facturation, etc.) ou de se faire passer pour la victime (par exemple, envoyer des messages, s’abonner des services, etc.) .
L’impact des attaques de pr-piratage de compte est le mme que celui du piratage de compte. Selon la nature du service cible, une attaque russie pourrait permettre l’attaquant de lire/modifier des informations sensibles associes au compte (par exemple, messages, relevs de facturation, historique d’utilisation, etc.) ou d’effectuer des actions en utilisant l’identit de la victime (par exemple, envoyer des messages falsifis, effectuer des achats en utilisant des mthodes de paiement enregistres, etc.).
Plusieurs faons de pr-pirater un compte
La recherche a t soutenue par l’une des subventions de recherche du projet d’identit accordes par le MSRC au dbut de 2020.
Dans ce projet, nous avons explor plusieurs sujets, mais nous avons rapidement remarqu une tendance mergeant autour du modle de la menace de « pr-piratage » , ont dclar Andrew Paverd, chercheur principal au MSRC, et le chercheur indpendant Avinash Sudhodanan.
Le pr-piratage de compte suppose que la victime n’a pas encore de compte sur le service cible et que l’attaquant connat l’e-mail et d’autres informations de base sur la victime. Les chercheurs ont dcouvert cinq types de scnarios d’attaque pr-piratage.
Certains profitent de plusieurs modes de cration de compte pris en charge par de nombreux services en ligne. Sur de nombreux sites Web, les utilisateurs peuvent directement fournir une adresse e-mail et un mot de passe pour crer leur compte ou utiliser l’authentification fdre en utilisant un service d’authentification unique (SSO) ax sur le consommateur, tel que fourni par Facebook, Google et Microsoft.
Par exemple, dans un type d’attaque, l’attaquant cre un compte avec l’adresse e-mail de la victime. La victime cre alors un compte en utilisant l’approche fdre. Dans certains services, cela fusionne les comptes de l’attaquant et de la victime, leur donnant tous deux un accs simultan au mme compte.
Dans un autre type d’attaque, l’attaquant cre un compte avec l’email de la victime et associe sa propre identit fdre au mme compte. Lorsque la victime tentera de crer son compte, elle sera invite rinitialiser son mot de passe. La victime obtiendra l’accs au compte, mais l’attaquant pourra galement accder au compte via l’identit SSO.
Les chercheurs ont dclar : Il est trs positif de voir combien de services en ligne voluent vers l’authentification unique [mais] cela signifie qu’ils pourraient devoir prendre en charge plusieurs mcanismes de connexion. Ce n’est pas ncessairement un problme en soi, et de nombreux services le font en toute scurit . Notre recherche souligne simplement certains piges subtils prendre en compte lors de la prise en charge de plusieurs mcanismes de connexion , ont prcis les chercheurs.
Paverd et Sudhodanan ont soulign que trois des attaques qu’ils ont trouves ne ncessitent pas que le service prenne en charge plusieurs mcanismes de connexion.
Par exemple, dans un schma, la session de l’attaquant peut rester active mme aprs que la victime a rcupr son compte et rinitialis le mot de passe.
Dans un autre scnario encore, l’attaquant cre un compte avec l’adresse e-mail de la victime et lance une demande de changement d’e-mail sur la propre adresse e-mail de l’attaquant. L’attaquant attend ensuite que la victime rclame le compte avant de complter la demande de changement d’e-mail et de prendre possession du compte.
Des services fort trafic concerns
Dans leur tude, les chercheurs ont examin 75 services classs dans la liste d’Alexa des 150 domaines plus fort trafic. Au moins 35 ont t touchs par une ou plusieurs attaques de pr-piratage de compte, notamment Dropbox, Instagram, LinkedIn, WordPress.com et Zoom. Heureusement, tous les services concerns ont t informs des vulnrabilits et ont implment les correctifs ncessaires.
Dropbox
Nous avons constat que le site Web de Dropbox tait vulnrable une variante de l’attaque par changement d’adresse e-mail non expire : l’attaquant pouvait crer un compte en utilisant l’adresse e-mail de la victime. Dropbox envoyait alors un e-mail la victime, lui demandant de confirmer son adresse e-mail. Cependant, n’ayant pas cr de compte Dropbox, la victime peut ignorer cet e-mail car il ne donne aucune instruction sur ce qu’elle doit faire si elle ne cre pas le compte. L’attaquant commencerait alors le processus de changement d’adresse e-mail en passant l’adresse e-mail de l’attaquant, et Dropbox enverrait un e-mail de confirmation l’adresse e-mail de l’attaquant. Cet e-mail contenait une URL pour confirmer le changement d’e-mail, mais l’attaquant ne l’utiliserait pas encore.
Lorsque la victime tentait de crer un compte en utilisant sa propre adresse e-mail, cela chouait car l’e-mail tait dj associ un compte et Dropbox demandait la place la victime de se connecter ce compte. La victime pouvait alors utiliser la rcupration de compte par e-mail et dfinir un nouveau mot de passe, ce qui fait que l’attaquant perdait l’accs au compte. Comme le montre la figure ci-dessous, les victimes d’alerte peuvent remarquer la notification de changement d’e-mail en attente dans l’interface utilisateur (UI) et l’annuler. Cependant, certaines victimes pourraient ne pas le remarquer.
Quelque temps plus tard, l’attaquant pourrait faire en sorte que la victime visite l’URL de confirmation de changement d’e-mail (par exemple, via une attaque CSRF), qui associerait l’adresse e-mail de l’attaquant au compte. La victime verrait alors l’interface utilisateur illustre plus haut. L’attaquant pourrait alors utiliser la fonction de rinitialisation du mot de passe par e-mail pour accder au compte.
tant donn que Dropbox est un service de stockage de fichiers bas sur le cloud et un IdP, une attaque russie pourrait permettre l’attaquant d’accder aux fichiers privs de la victime et de se connecter d’autres services o la victime utilise Dropbox comme IdP. Cependant, les victimes attentives pourraient remarquer que l’adresse e-mail de l’attaquant est galement affiche dans leur compte (en attente de confirmation) et pourraient prendre des mesures pour la supprimer, ce qui bloquerait l’attaque. De plus, les auteurs n’ont pas pu tester la dure de validit de l’URL de confirmation (et l’e-mail de confirmation n’indiquait pas de dure de validit). La priode de validit de cette URL limiterait galement la fentre d’attaque possible. Les auteurs ont divulgu leurs dcouvertes de manire responsable Dropbox via HackerOne en juin 2021.
Au cours de leurs expriences, ils ont galement dcouvert une attaque de correction de session contre Dropbox, qui permet un attaquant de se connecter directement un compte Dropbox existant en modifiant l’ID de session.
Ils ont galement donn plus de dtails sur leurs dcouvertes concernant d’autres sites fort trafic comme Zoom, LinkedIn, Instagram ou encore WordPress.
Nous pensons qu’un manque de sensibilisation peut avoir t la principale cause de ces vulnrabilits potentielles. Nous publions donc cette recherche pour sensibiliser et aider les organisations attnuer ces vulnrabilits , ont dclar Paverd et Sudhodanan.
La conclusion la plus importante, ont estim les chercheurs, est de vrifier que l’utilisateur possde bien tous les identifiants fournis par l’utilisateur (par exemple, l’adresse e-mail ou le numro de tlphone) avant de les utiliser pour crer un nouveau compte ou de les ajouter un compte existant . Cela attnuerait tous les types d’attaques de pr-dtournement identifies ce jour.
Le document des chercheurs dcrit galement plusieurs autres stratgies de dfense en profondeur possibles.
Ils ont recommand aux utilisateurs d’activer l’authentification multifacteur (MFA) dans la mesure du possible, car elle arrte la plupart des attaques de pr-piratage qu’ils ont dcouvertes.
Un autre signe de pr-piratage de compte est la rception d’un e-mail concernant un compte que vous n’avez pas cr, que les utilisateurs ignorent gnralement. Signalez-le au site Web concern , ont conseill les chercheurs.
Et vous ?
Aviez-vous dj entendu parler de ce vecteur d’attaque ? Qu’en pensez-vous ?
En gnral, pensez-vous lire les mails qui vous annoncent la cration d’un compte sur les sites o vous n’avez pas cr de compte ?
Que recommanderiez-vous pour mitiger ce type d’attaque ?