Wikipédia

Pré-détournement de compte

L'attaque par pré-détournement de compte (en anglais, account pre-hijacking) est un groupe de méthodes d'exploitation de faille de sécurité sur des comptes en ligne. Cela consiste à anticiper l'inscription d'un utilisateur à un service en ligne et à s'inscrire en son nom, puis à prendre le contrôle de son compte lorsqu'il tente de s'enregistrer lui-même[1],[2],[3].

Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.
Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.

Cet article est orphelin. Moins de trois articles lui sont liés ().

Vous pouvez aider en ajoutant des liens vers [[Pré-détournement de compte]] dans les articles relatifs au sujet.

Présentation

modifier

Le pré-détournement a été identifié pour la première fois comme un groupe de vulnérabilités informatique en 2022, sur la base de recherches financées par le Centre de réponse aux problèmes de sécurité de Microsoft[4].

Par exemple, le hacker peut créer un compte sur un site avec l'adresse email de la victime. Si la victime crée ensuite un compte sur le même site mais en utilisant un système d'authentification unique, et si le site ne gère pas bien les doublons dans les bases d'identification, le hacker et la victime finissent par avoir accès au compte créé par la victime. Le scénario inverse (hacker pré-crée le compte avec authentification unique, victime crée son compte avec adresse email) fonctionne également. Le hacker peut truffer le compte pré-créer d'une adresse email secondaire ou d'un numéro de téléphone qui sont sollicités pour effectuer un changement de mot-de-passe une fois le compte créé par la victime. Cette méthode permet aussi au hacker d'activer des cookies d'accès au compte pré-créé[1].

Comme l'ont expliqué les chercheurs de l'étude qui a mis le pré-détournement en évidence : « De nombreux services requièrent de s'identifier, mais cette identification est parfois asynchrone, permettant aux utilisateurs (ou hackers) de modifier la configuration d'un compte avant que la vérification de l'identité soit effectuée. Cela améliore l'usabilité, mais cela crée également une faille de vulnérabilité via le pré-détournement[1]. »

Sur les 75 sites internet étudiés, 35 s'avèrent être vulnérables à cette faille grâce à diverses méthodes. Les services vulnérables incluent notamment Dropbox, Instagram, LinkedIn, WordPress ou Zoom. L'existence de cette vulnérabilité a été signalée à tous ces fournisseurs de services avant la publication d'un article en faisant état[5].

Notes et références

modifier

Notes

modifier

Références

modifier
  1. a b et c (en) Eduard Kovacs, « Hackers Can 'Pre-Hijack' Online Accounts Before They Are Created by Users », Security Week, (consulté le )
  2. (en) Martin Brinkmann, « Pre-hijacking Attacks of user accounts are on the rise », gHacks Technology News, (consulté le )
  3. (en) Andrew Paverd, « New Research Paper: Pre-hijacking Attacks on Web User Accounts », Microsoft Security Response Center, (consulté le )
  4. (en) Ben Dickson, « Dozens of high-traffic websites vulnerable to 'account pre-hijacking', study finds », The Daily Swig, (consulté le )
  5. (en) Auteur inconnu, « Pre-hijacked accounts: An Empirical Study of Security Failures in User Account Creation on the Web », .

Voir aussi

modifier

Articles connexes

modifier
Ce document provient de « https://fr.wiki.x.io/w/index.php?title=Pré-détournement_de_compte&oldid=219813584 ».