Les codeurs conquièrent la sécurité : série Share & Learn - Authentification
Dans ce blog, nous aborderons l'un des problèmes les plus courants rencontrés par les organisations qui gèrent des sites Web ou qui permettent à leurs employés d'accéder à distance à des ressources informatiques, ce qui concerne à peu près tout le monde. Et oui, vous avez probablement deviné que nous allons parler d'authentification.
Si un pirate informatique peut simplement se connecter à un système en tant qu'administrateur avec un nom d'utilisateur et un mot de passe valides, il n'est pas nécessaire de déployer des techniques avancées pour lutter contre les défenses du réseau. Le système ouvre simplement la porte et laisse entrer l'attaquant. Pire encore, si l'attaquant ne fait rien de trop bizarre, sa présence est presque impossible à détecter car la plupart des défenses le considéreront simplement comme un utilisateur ou un administrateur valide faisant son travail.
La catégorie des vulnérabilités d'authentification est assez vaste, mais nous allons passer en revue les problèmes les plus courants qui ont tendance à être accidentellement intégrés dans les processus de connexion des utilisateurs. En comblant ces failles, vous pouvez éliminer la grande majorité des problèmes d'authentification de votre organisation.
Dans cet épisode, nous allons apprendre :
- Comment certaines vulnérabilités d'authentification courantes sont exploitées
- Pourquoi sont-ils si dangereux
- Quelles politiques et techniques peuvent être utilisées pour éliminer les vulnérabilités d'authentification.
Comment les attaquants exploitent-ils les vulnérabilités d'authentification ?
De nombreuses vulnérabilités d'authentification peuvent s'infiltrer dans un système d'authentification, de sorte que les pirates informatiques exploitent chacune d'elles un peu différemment. Passons d'abord en revue les vulnérabilités les plus courantes, puis donnons des exemples montrant comment certaines d'entre elles peuvent être exploitées.
Les vulnérabilités d'authentification les plus courantes sont les suivantes :
- Avoir des politiques de mots de passe faibles ou inadéquates,
- Permettre un nombre illimité de tentatives de connexion,
- Fournir des informations à un attaquant en cas d'échec de connexion,
- Envoi d'informations d'identification via des canaux non sécurisés,
- Hachage faible des mots de passe,
- Et avoir un processus de récupération de mot de passe non sécurisé.
Le fait d'avoir une politique de mot de passe faible est probablement la vulnérabilité la plus courante. Si les utilisateurs sont autorisés à créer des mots de passe sans aucune restriction, beaucoup trop d'entre eux utiliseront des mots de passe faciles à deviner. Chaque année, diverses agences de presse informatiques publient une liste des mots de passe les plus utilisés, et « 123456 » et « mot de passe » figurent toujours parmi les cinq premiers. Il y en a d'autres. Les administrateurs aiment beaucoup utiliser « Dieu ». C'est vrai, ils sont tous humoristiques ou faciles à retenir, mais aussi très faciles à deviner. Les pirates informatiques connaissent les mots de passe les plus courants et les essaient d'abord lorsqu'ils tentent de pénétrer dans un système. Si ce type de mot de passe est autorisé dans votre organisation, vous finirez par être piraté.
Une vulnérabilité moins évidente mais toujours dangereuse consiste à fournir des informations à un utilisateur concernant un échec de connexion. C'est dommage car si vous renvoyez un message alors qu'un nom d'utilisateur n'existe pas et un autre lorsqu'un nom d'utilisateur existe mais que le mot de passe est incorrect, cela permet aux attaquants de cartographier les utilisateurs valides sur un système et de se concentrer sur la recherche de mots de passe uniquement pour ces noms d'utilisateur. Si cela est combiné à la vulnérabilité d'authentification qui permet de deviner un nombre illimité de mots de passe, cela permettrait aux attaquants de lancer des attaques par dictionnaire contre les utilisateurs valides qu'ils ont trouvés, ce qui pourrait les faire entrer dans un système assez rapidement si le mot de passe est facile à deviner.
Pourquoi les vulnérabilités d'authentification sont-elles si dangereuses ?
Un conte classique du Far West américain raconte l'histoire d'un fermier paranoïaque qui a installé des serrures triples sur sa porte d'entrée, barricadé ses fenêtres et dormi avec de nombreuses armes à feu à portée de main. Le matin, il a été retrouvé mort. Ses agresseurs l'ont attaqué parce qu'il avait oublié de verrouiller la porte arrière. Les vulnérabilités d'authentification ressemblent beaucoup à cela. Peu importe le type d'outils de surveillance ou de contrôles proactifs que vous avez mis en place ou le nombre d'analystes experts que vous employez, si un attaquant peut utiliser un nom d'utilisateur et un mot de passe valides pour accéder à votre réseau.
Une fois à l'intérieur, il y a très peu de restrictions quant à ce que peut faire cet attaquant. Tant qu'ils agissent dans les limites de leurs autorisations d'utilisateur, qui peuvent être assez étendues s'ils ont compromis un compte administrateur, il y a très peu de chances qu'ils soient détectés à temps pour éviter de graves problèmes. Cela fait de la classe de vulnérabilités d'authentification l'une des plus dangereuses de tous les systèmes.
Éliminer les vulnérabilités liées à l'authentification
L'un des meilleurs moyens d'éliminer les vulnérabilités d'authentification d'un réseau est de mettre en place de bonnes politiques de mots de passe appliquées à l'échelle mondiale. Non seulement les utilisateurs, même les administrateurs, ne devraient pas être autorisés à utiliser des mots de passe tels que « mot de passe », mais ils devraient également être contraints d'ajouter un niveau de complexité qui empêcherait un attaquant d'appliquer un dictionnaire ou des phrases courantes à une attaque. Vous pouvez définir vos propres règles pour la création de mots de passe en fonction de l'importance de la protection du système. Il sera ainsi beaucoup plus difficile pour les attaquants de deviner les mots de passe ou de les utiliser par force brute.
Vous devez également limiter le nombre de tentatives de connexion infructueuses afin que, si un mot de passe incorrect est saisi plus de trois fois, l'utilisateur soit bloqué. Le verrouillage peut être temporaire, car même quelques minutes de retard empêcheront les attaques automatisées par dictionnaire de se poursuivre. Il peut également être permanent à moins que le compte ne soit déverrouillé par un administrateur. Dans les deux cas, le personnel de sécurité doit être alerté chaque fois qu'un tel verrouillage se produit afin qu'il puisse suivre la situation.
Un autre bon moyen d'empêcher les attaquants de collecter des informations est de créer un message générique chaque fois qu'un nom d'utilisateur ou un mot de passe erroné est saisi. Il devrait en être de même dans les deux cas afin que les pirates informatiques ne sachent pas s'ils ont été rejetés parce qu'un utilisateur n'existe pas ou parce qu'il a un mot de passe erroné.
Les vulnérabilités d'authentification sont parmi les plus courantes et les plus dangereuses sur la plupart des systèmes. Mais ils sont également assez faciles à trouver et à éliminer.
Plus d'informations sur les vulnérabilités d'authentification
Pour en savoir plus, vous pouvez consulter l'OWASP aide-mémoire sur l'authentification. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Passez à la vitesse supérieure et affrontez de front une vulnérabilité d'authentification sur la plateforme Secure Code Warrior : [Commencez ici]
Nous allons aborder l'un des problèmes les plus courants rencontrés par les organisations qui gèrent des sites Web ou qui permettent à leurs employés d'accéder à distance à des ressources informatiques, ce qui concerne à peu près tout le monde. Et oui, vous avez probablement deviné que nous allons parler d'authentification.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Dans ce blog, nous aborderons l'un des problèmes les plus courants rencontrés par les organisations qui gèrent des sites Web ou qui permettent à leurs employés d'accéder à distance à des ressources informatiques, ce qui concerne à peu près tout le monde. Et oui, vous avez probablement deviné que nous allons parler d'authentification.
Si un pirate informatique peut simplement se connecter à un système en tant qu'administrateur avec un nom d'utilisateur et un mot de passe valides, il n'est pas nécessaire de déployer des techniques avancées pour lutter contre les défenses du réseau. Le système ouvre simplement la porte et laisse entrer l'attaquant. Pire encore, si l'attaquant ne fait rien de trop bizarre, sa présence est presque impossible à détecter car la plupart des défenses le considéreront simplement comme un utilisateur ou un administrateur valide faisant son travail.
La catégorie des vulnérabilités d'authentification est assez vaste, mais nous allons passer en revue les problèmes les plus courants qui ont tendance à être accidentellement intégrés dans les processus de connexion des utilisateurs. En comblant ces failles, vous pouvez éliminer la grande majorité des problèmes d'authentification de votre organisation.
Dans cet épisode, nous allons apprendre :
- Comment certaines vulnérabilités d'authentification courantes sont exploitées
- Pourquoi sont-ils si dangereux
- Quelles politiques et techniques peuvent être utilisées pour éliminer les vulnérabilités d'authentification.
Comment les attaquants exploitent-ils les vulnérabilités d'authentification ?
De nombreuses vulnérabilités d'authentification peuvent s'infiltrer dans un système d'authentification, de sorte que les pirates informatiques exploitent chacune d'elles un peu différemment. Passons d'abord en revue les vulnérabilités les plus courantes, puis donnons des exemples montrant comment certaines d'entre elles peuvent être exploitées.
Les vulnérabilités d'authentification les plus courantes sont les suivantes :
- Avoir des politiques de mots de passe faibles ou inadéquates,
- Permettre un nombre illimité de tentatives de connexion,
- Fournir des informations à un attaquant en cas d'échec de connexion,
- Envoi d'informations d'identification via des canaux non sécurisés,
- Hachage faible des mots de passe,
- Et avoir un processus de récupération de mot de passe non sécurisé.
Le fait d'avoir une politique de mot de passe faible est probablement la vulnérabilité la plus courante. Si les utilisateurs sont autorisés à créer des mots de passe sans aucune restriction, beaucoup trop d'entre eux utiliseront des mots de passe faciles à deviner. Chaque année, diverses agences de presse informatiques publient une liste des mots de passe les plus utilisés, et « 123456 » et « mot de passe » figurent toujours parmi les cinq premiers. Il y en a d'autres. Les administrateurs aiment beaucoup utiliser « Dieu ». C'est vrai, ils sont tous humoristiques ou faciles à retenir, mais aussi très faciles à deviner. Les pirates informatiques connaissent les mots de passe les plus courants et les essaient d'abord lorsqu'ils tentent de pénétrer dans un système. Si ce type de mot de passe est autorisé dans votre organisation, vous finirez par être piraté.
Une vulnérabilité moins évidente mais toujours dangereuse consiste à fournir des informations à un utilisateur concernant un échec de connexion. C'est dommage car si vous renvoyez un message alors qu'un nom d'utilisateur n'existe pas et un autre lorsqu'un nom d'utilisateur existe mais que le mot de passe est incorrect, cela permet aux attaquants de cartographier les utilisateurs valides sur un système et de se concentrer sur la recherche de mots de passe uniquement pour ces noms d'utilisateur. Si cela est combiné à la vulnérabilité d'authentification qui permet de deviner un nombre illimité de mots de passe, cela permettrait aux attaquants de lancer des attaques par dictionnaire contre les utilisateurs valides qu'ils ont trouvés, ce qui pourrait les faire entrer dans un système assez rapidement si le mot de passe est facile à deviner.
Pourquoi les vulnérabilités d'authentification sont-elles si dangereuses ?
Un conte classique du Far West américain raconte l'histoire d'un fermier paranoïaque qui a installé des serrures triples sur sa porte d'entrée, barricadé ses fenêtres et dormi avec de nombreuses armes à feu à portée de main. Le matin, il a été retrouvé mort. Ses agresseurs l'ont attaqué parce qu'il avait oublié de verrouiller la porte arrière. Les vulnérabilités d'authentification ressemblent beaucoup à cela. Peu importe le type d'outils de surveillance ou de contrôles proactifs que vous avez mis en place ou le nombre d'analystes experts que vous employez, si un attaquant peut utiliser un nom d'utilisateur et un mot de passe valides pour accéder à votre réseau.
Une fois à l'intérieur, il y a très peu de restrictions quant à ce que peut faire cet attaquant. Tant qu'ils agissent dans les limites de leurs autorisations d'utilisateur, qui peuvent être assez étendues s'ils ont compromis un compte administrateur, il y a très peu de chances qu'ils soient détectés à temps pour éviter de graves problèmes. Cela fait de la classe de vulnérabilités d'authentification l'une des plus dangereuses de tous les systèmes.
Éliminer les vulnérabilités liées à l'authentification
L'un des meilleurs moyens d'éliminer les vulnérabilités d'authentification d'un réseau est de mettre en place de bonnes politiques de mots de passe appliquées à l'échelle mondiale. Non seulement les utilisateurs, même les administrateurs, ne devraient pas être autorisés à utiliser des mots de passe tels que « mot de passe », mais ils devraient également être contraints d'ajouter un niveau de complexité qui empêcherait un attaquant d'appliquer un dictionnaire ou des phrases courantes à une attaque. Vous pouvez définir vos propres règles pour la création de mots de passe en fonction de l'importance de la protection du système. Il sera ainsi beaucoup plus difficile pour les attaquants de deviner les mots de passe ou de les utiliser par force brute.
Vous devez également limiter le nombre de tentatives de connexion infructueuses afin que, si un mot de passe incorrect est saisi plus de trois fois, l'utilisateur soit bloqué. Le verrouillage peut être temporaire, car même quelques minutes de retard empêcheront les attaques automatisées par dictionnaire de se poursuivre. Il peut également être permanent à moins que le compte ne soit déverrouillé par un administrateur. Dans les deux cas, le personnel de sécurité doit être alerté chaque fois qu'un tel verrouillage se produit afin qu'il puisse suivre la situation.
Un autre bon moyen d'empêcher les attaquants de collecter des informations est de créer un message générique chaque fois qu'un nom d'utilisateur ou un mot de passe erroné est saisi. Il devrait en être de même dans les deux cas afin que les pirates informatiques ne sachent pas s'ils ont été rejetés parce qu'un utilisateur n'existe pas ou parce qu'il a un mot de passe erroné.
Les vulnérabilités d'authentification sont parmi les plus courantes et les plus dangereuses sur la plupart des systèmes. Mais ils sont également assez faciles à trouver et à éliminer.
Plus d'informations sur les vulnérabilités d'authentification
Pour en savoir plus, vous pouvez consulter l'OWASP aide-mémoire sur l'authentification. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Passez à la vitesse supérieure et affrontez de front une vulnérabilité d'authentification sur la plateforme Secure Code Warrior : [Commencez ici]
Dans ce blog, nous aborderons l'un des problèmes les plus courants rencontrés par les organisations qui gèrent des sites Web ou qui permettent à leurs employés d'accéder à distance à des ressources informatiques, ce qui concerne à peu près tout le monde. Et oui, vous avez probablement deviné que nous allons parler d'authentification.
Si un pirate informatique peut simplement se connecter à un système en tant qu'administrateur avec un nom d'utilisateur et un mot de passe valides, il n'est pas nécessaire de déployer des techniques avancées pour lutter contre les défenses du réseau. Le système ouvre simplement la porte et laisse entrer l'attaquant. Pire encore, si l'attaquant ne fait rien de trop bizarre, sa présence est presque impossible à détecter car la plupart des défenses le considéreront simplement comme un utilisateur ou un administrateur valide faisant son travail.
La catégorie des vulnérabilités d'authentification est assez vaste, mais nous allons passer en revue les problèmes les plus courants qui ont tendance à être accidentellement intégrés dans les processus de connexion des utilisateurs. En comblant ces failles, vous pouvez éliminer la grande majorité des problèmes d'authentification de votre organisation.
Dans cet épisode, nous allons apprendre :
- Comment certaines vulnérabilités d'authentification courantes sont exploitées
- Pourquoi sont-ils si dangereux
- Quelles politiques et techniques peuvent être utilisées pour éliminer les vulnérabilités d'authentification.
Comment les attaquants exploitent-ils les vulnérabilités d'authentification ?
De nombreuses vulnérabilités d'authentification peuvent s'infiltrer dans un système d'authentification, de sorte que les pirates informatiques exploitent chacune d'elles un peu différemment. Passons d'abord en revue les vulnérabilités les plus courantes, puis donnons des exemples montrant comment certaines d'entre elles peuvent être exploitées.
Les vulnérabilités d'authentification les plus courantes sont les suivantes :
- Avoir des politiques de mots de passe faibles ou inadéquates,
- Permettre un nombre illimité de tentatives de connexion,
- Fournir des informations à un attaquant en cas d'échec de connexion,
- Envoi d'informations d'identification via des canaux non sécurisés,
- Hachage faible des mots de passe,
- Et avoir un processus de récupération de mot de passe non sécurisé.
Le fait d'avoir une politique de mot de passe faible est probablement la vulnérabilité la plus courante. Si les utilisateurs sont autorisés à créer des mots de passe sans aucune restriction, beaucoup trop d'entre eux utiliseront des mots de passe faciles à deviner. Chaque année, diverses agences de presse informatiques publient une liste des mots de passe les plus utilisés, et « 123456 » et « mot de passe » figurent toujours parmi les cinq premiers. Il y en a d'autres. Les administrateurs aiment beaucoup utiliser « Dieu ». C'est vrai, ils sont tous humoristiques ou faciles à retenir, mais aussi très faciles à deviner. Les pirates informatiques connaissent les mots de passe les plus courants et les essaient d'abord lorsqu'ils tentent de pénétrer dans un système. Si ce type de mot de passe est autorisé dans votre organisation, vous finirez par être piraté.
Une vulnérabilité moins évidente mais toujours dangereuse consiste à fournir des informations à un utilisateur concernant un échec de connexion. C'est dommage car si vous renvoyez un message alors qu'un nom d'utilisateur n'existe pas et un autre lorsqu'un nom d'utilisateur existe mais que le mot de passe est incorrect, cela permet aux attaquants de cartographier les utilisateurs valides sur un système et de se concentrer sur la recherche de mots de passe uniquement pour ces noms d'utilisateur. Si cela est combiné à la vulnérabilité d'authentification qui permet de deviner un nombre illimité de mots de passe, cela permettrait aux attaquants de lancer des attaques par dictionnaire contre les utilisateurs valides qu'ils ont trouvés, ce qui pourrait les faire entrer dans un système assez rapidement si le mot de passe est facile à deviner.
Pourquoi les vulnérabilités d'authentification sont-elles si dangereuses ?
Un conte classique du Far West américain raconte l'histoire d'un fermier paranoïaque qui a installé des serrures triples sur sa porte d'entrée, barricadé ses fenêtres et dormi avec de nombreuses armes à feu à portée de main. Le matin, il a été retrouvé mort. Ses agresseurs l'ont attaqué parce qu'il avait oublié de verrouiller la porte arrière. Les vulnérabilités d'authentification ressemblent beaucoup à cela. Peu importe le type d'outils de surveillance ou de contrôles proactifs que vous avez mis en place ou le nombre d'analystes experts que vous employez, si un attaquant peut utiliser un nom d'utilisateur et un mot de passe valides pour accéder à votre réseau.
Une fois à l'intérieur, il y a très peu de restrictions quant à ce que peut faire cet attaquant. Tant qu'ils agissent dans les limites de leurs autorisations d'utilisateur, qui peuvent être assez étendues s'ils ont compromis un compte administrateur, il y a très peu de chances qu'ils soient détectés à temps pour éviter de graves problèmes. Cela fait de la classe de vulnérabilités d'authentification l'une des plus dangereuses de tous les systèmes.
Éliminer les vulnérabilités liées à l'authentification
L'un des meilleurs moyens d'éliminer les vulnérabilités d'authentification d'un réseau est de mettre en place de bonnes politiques de mots de passe appliquées à l'échelle mondiale. Non seulement les utilisateurs, même les administrateurs, ne devraient pas être autorisés à utiliser des mots de passe tels que « mot de passe », mais ils devraient également être contraints d'ajouter un niveau de complexité qui empêcherait un attaquant d'appliquer un dictionnaire ou des phrases courantes à une attaque. Vous pouvez définir vos propres règles pour la création de mots de passe en fonction de l'importance de la protection du système. Il sera ainsi beaucoup plus difficile pour les attaquants de deviner les mots de passe ou de les utiliser par force brute.
Vous devez également limiter le nombre de tentatives de connexion infructueuses afin que, si un mot de passe incorrect est saisi plus de trois fois, l'utilisateur soit bloqué. Le verrouillage peut être temporaire, car même quelques minutes de retard empêcheront les attaques automatisées par dictionnaire de se poursuivre. Il peut également être permanent à moins que le compte ne soit déverrouillé par un administrateur. Dans les deux cas, le personnel de sécurité doit être alerté chaque fois qu'un tel verrouillage se produit afin qu'il puisse suivre la situation.
Un autre bon moyen d'empêcher les attaquants de collecter des informations est de créer un message générique chaque fois qu'un nom d'utilisateur ou un mot de passe erroné est saisi. Il devrait en être de même dans les deux cas afin que les pirates informatiques ne sachent pas s'ils ont été rejetés parce qu'un utilisateur n'existe pas ou parce qu'il a un mot de passe erroné.
Les vulnérabilités d'authentification sont parmi les plus courantes et les plus dangereuses sur la plupart des systèmes. Mais ils sont également assez faciles à trouver et à éliminer.
Plus d'informations sur les vulnérabilités d'authentification
Pour en savoir plus, vous pouvez consulter l'OWASP aide-mémoire sur l'authentification. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Passez à la vitesse supérieure et affrontez de front une vulnérabilité d'authentification sur la plateforme Secure Code Warrior : [Commencez ici]
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Dans ce blog, nous aborderons l'un des problèmes les plus courants rencontrés par les organisations qui gèrent des sites Web ou qui permettent à leurs employés d'accéder à distance à des ressources informatiques, ce qui concerne à peu près tout le monde. Et oui, vous avez probablement deviné que nous allons parler d'authentification.
Si un pirate informatique peut simplement se connecter à un système en tant qu'administrateur avec un nom d'utilisateur et un mot de passe valides, il n'est pas nécessaire de déployer des techniques avancées pour lutter contre les défenses du réseau. Le système ouvre simplement la porte et laisse entrer l'attaquant. Pire encore, si l'attaquant ne fait rien de trop bizarre, sa présence est presque impossible à détecter car la plupart des défenses le considéreront simplement comme un utilisateur ou un administrateur valide faisant son travail.
La catégorie des vulnérabilités d'authentification est assez vaste, mais nous allons passer en revue les problèmes les plus courants qui ont tendance à être accidentellement intégrés dans les processus de connexion des utilisateurs. En comblant ces failles, vous pouvez éliminer la grande majorité des problèmes d'authentification de votre organisation.
Dans cet épisode, nous allons apprendre :
- Comment certaines vulnérabilités d'authentification courantes sont exploitées
- Pourquoi sont-ils si dangereux
- Quelles politiques et techniques peuvent être utilisées pour éliminer les vulnérabilités d'authentification.
Comment les attaquants exploitent-ils les vulnérabilités d'authentification ?
De nombreuses vulnérabilités d'authentification peuvent s'infiltrer dans un système d'authentification, de sorte que les pirates informatiques exploitent chacune d'elles un peu différemment. Passons d'abord en revue les vulnérabilités les plus courantes, puis donnons des exemples montrant comment certaines d'entre elles peuvent être exploitées.
Les vulnérabilités d'authentification les plus courantes sont les suivantes :
- Avoir des politiques de mots de passe faibles ou inadéquates,
- Permettre un nombre illimité de tentatives de connexion,
- Fournir des informations à un attaquant en cas d'échec de connexion,
- Envoi d'informations d'identification via des canaux non sécurisés,
- Hachage faible des mots de passe,
- Et avoir un processus de récupération de mot de passe non sécurisé.
Le fait d'avoir une politique de mot de passe faible est probablement la vulnérabilité la plus courante. Si les utilisateurs sont autorisés à créer des mots de passe sans aucune restriction, beaucoup trop d'entre eux utiliseront des mots de passe faciles à deviner. Chaque année, diverses agences de presse informatiques publient une liste des mots de passe les plus utilisés, et « 123456 » et « mot de passe » figurent toujours parmi les cinq premiers. Il y en a d'autres. Les administrateurs aiment beaucoup utiliser « Dieu ». C'est vrai, ils sont tous humoristiques ou faciles à retenir, mais aussi très faciles à deviner. Les pirates informatiques connaissent les mots de passe les plus courants et les essaient d'abord lorsqu'ils tentent de pénétrer dans un système. Si ce type de mot de passe est autorisé dans votre organisation, vous finirez par être piraté.
Une vulnérabilité moins évidente mais toujours dangereuse consiste à fournir des informations à un utilisateur concernant un échec de connexion. C'est dommage car si vous renvoyez un message alors qu'un nom d'utilisateur n'existe pas et un autre lorsqu'un nom d'utilisateur existe mais que le mot de passe est incorrect, cela permet aux attaquants de cartographier les utilisateurs valides sur un système et de se concentrer sur la recherche de mots de passe uniquement pour ces noms d'utilisateur. Si cela est combiné à la vulnérabilité d'authentification qui permet de deviner un nombre illimité de mots de passe, cela permettrait aux attaquants de lancer des attaques par dictionnaire contre les utilisateurs valides qu'ils ont trouvés, ce qui pourrait les faire entrer dans un système assez rapidement si le mot de passe est facile à deviner.
Pourquoi les vulnérabilités d'authentification sont-elles si dangereuses ?
Un conte classique du Far West américain raconte l'histoire d'un fermier paranoïaque qui a installé des serrures triples sur sa porte d'entrée, barricadé ses fenêtres et dormi avec de nombreuses armes à feu à portée de main. Le matin, il a été retrouvé mort. Ses agresseurs l'ont attaqué parce qu'il avait oublié de verrouiller la porte arrière. Les vulnérabilités d'authentification ressemblent beaucoup à cela. Peu importe le type d'outils de surveillance ou de contrôles proactifs que vous avez mis en place ou le nombre d'analystes experts que vous employez, si un attaquant peut utiliser un nom d'utilisateur et un mot de passe valides pour accéder à votre réseau.
Une fois à l'intérieur, il y a très peu de restrictions quant à ce que peut faire cet attaquant. Tant qu'ils agissent dans les limites de leurs autorisations d'utilisateur, qui peuvent être assez étendues s'ils ont compromis un compte administrateur, il y a très peu de chances qu'ils soient détectés à temps pour éviter de graves problèmes. Cela fait de la classe de vulnérabilités d'authentification l'une des plus dangereuses de tous les systèmes.
Éliminer les vulnérabilités liées à l'authentification
L'un des meilleurs moyens d'éliminer les vulnérabilités d'authentification d'un réseau est de mettre en place de bonnes politiques de mots de passe appliquées à l'échelle mondiale. Non seulement les utilisateurs, même les administrateurs, ne devraient pas être autorisés à utiliser des mots de passe tels que « mot de passe », mais ils devraient également être contraints d'ajouter un niveau de complexité qui empêcherait un attaquant d'appliquer un dictionnaire ou des phrases courantes à une attaque. Vous pouvez définir vos propres règles pour la création de mots de passe en fonction de l'importance de la protection du système. Il sera ainsi beaucoup plus difficile pour les attaquants de deviner les mots de passe ou de les utiliser par force brute.
Vous devez également limiter le nombre de tentatives de connexion infructueuses afin que, si un mot de passe incorrect est saisi plus de trois fois, l'utilisateur soit bloqué. Le verrouillage peut être temporaire, car même quelques minutes de retard empêcheront les attaques automatisées par dictionnaire de se poursuivre. Il peut également être permanent à moins que le compte ne soit déverrouillé par un administrateur. Dans les deux cas, le personnel de sécurité doit être alerté chaque fois qu'un tel verrouillage se produit afin qu'il puisse suivre la situation.
Un autre bon moyen d'empêcher les attaquants de collecter des informations est de créer un message générique chaque fois qu'un nom d'utilisateur ou un mot de passe erroné est saisi. Il devrait en être de même dans les deux cas afin que les pirates informatiques ne sachent pas s'ils ont été rejetés parce qu'un utilisateur n'existe pas ou parce qu'il a un mot de passe erroné.
Les vulnérabilités d'authentification sont parmi les plus courantes et les plus dangereuses sur la plupart des systèmes. Mais ils sont également assez faciles à trouver et à éliminer.
Plus d'informations sur les vulnérabilités d'authentification
Pour en savoir plus, vous pouvez consulter l'OWASP aide-mémoire sur l'authentification. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Passez à la vitesse supérieure et affrontez de front une vulnérabilité d'authentification sur la plateforme Secure Code Warrior : [Commencez ici]
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
