Avec de l'anticipation, les pirates peuvent créer des situations qui leur permettent de s'emparer d'un compte qui vient tout juste d'être créé.
Les pirates redoublent d'inventivité pour tromper la vigilance des utilisateurs et les systèmes de sécurité des plateformes. Une tendance émergente serait les attaques de type pré-hijacking.
Des sites populaires vulnérables au pré-hijacking
Selon les experts en sécurité Avinash Sudhodanan et Andrew Paverd, des comptes peuvent être piratés avant même leur création. De nombreux sites web et services sur internet y seraient vulnérables : 35 des 75 sites web les plus populaires seraient sensibles à au moins une attaque de ce genre. Sont entre autres cités par les chercheurs Dropbox, Instagram, LinkedIn, WordPress et Zoom.
Les pirates doivent connaître certaines informations liées à la cible dont ils veulent prendre le contrôle d'un compte. Il peut s'agir d'une adresse email, d'un numéro de téléphone, d'un identifiant, ou d'autres données personnelles. Ces informations peuvent être glanées sur les réseaux sociaux ou via des bases de données recensant des fuites d'informations. Pour que la technique fonctionne, il faut que le pirate et la victime aient un accès simultané au compte en question.
D'après le rapport, cinq variantes de pré-hijacking ont été identifiées. Deux d'entre elles exploitent des failles concernant l'utilisation d'une même adresse email pour créer un compte via différentes routes, permettant au pirate qui a créé le compte dérouté d'accéder au compte légitime.
Des précautions de sécurité simples à mettre en place
Une autre vulnérabilité mise en exergue consiste pour un pirate à créer un compte avec l'adresse email de la victime, puis à soumettre une demande de modification pour remplacer l'email par le sien, mais sans le confirmer. Lorsque la cible effectue une réinitialisation du mot de passe, le pirate valide alors le changement de mail, lui permettant de prendre le contrôle du compte.
Le quatrième cas concerne les plateformes sur lesquelles les utilisateurs authentifiés ne sont pas déconnectés d'un compte actif après une réinitialisation du mot de passe.
Le pirate maintient le compte actif à l'aide d'un script automatisé et quand l'utilisateur légitime demande une réinitialisation du mot de passe, le pirate de l'air conserve l'accès au compte.
Le dernier modèle d'attaque de pré-hijacking combine la technique exploitant la session qui n'expire pas et la création de compte à deux routes.
Pour lutter contre ce phénomène, les chercheurs préconisent aux sites web de supprimer régulièrement les comptes qui ne sont pas vérifiés, d'exiger que la vérification de l'adresse email utilisée lors de l'inscription soit effective avant d'autoriser l'utilisation de toute fonctionnalité, de déconnecter toutes les sessions actives en cas de changement de mot de passe et de définir une période de validité des emails de confirmation de modification la plus courte possible.
Combien valent les données volées sur le dark web ?
Source : Malwarebytes