BLOG

Cyberattaques : l’usurpation de compte, porte d’entrée vers votre système

technique usurpation de compte

Il n’est pas toujours évident de comprendre comment fonctionnent les attaques informatiques, d’autant plus que les pirates les combinent souvent entre elles pour arriver à leurs fins. Certaines de ces attaques sont cependant beaucoup plus utilisées que d’autres, car elles sont simples à réaliser… et de nombreux sites négligent encore leur protection.

Nous allons aujourd’hui nous intéresser aux principales attaques permettant à un pirate d’accéder à des sessions ou comptes auxquels il ne devrait pas avoir accès. En effet, c’est souvent la première étape d’une tentative de piratage car elle permet à un attaquant d’avoir un pied dans votre site, et d’y récupérer des informations facilitant la suite des opérations… Apprenez à vous protéger !

Violation de gestion et d’authentification de session

user loginCe nom relativement long désigne en réalité ce concept très simple qu’est l’accès à des sessions ou comptes privés, en contournant l’étape d’authentification. Une telle attaque peut être réalisée grâce à plusieurs techniques, notamment en jouant sur les caractéristiques des sessions (délai de conservation de données, association session/cookie)… Les attaques décrites plus bas sont également toutes des moyens permettant d’investir un compte privé.

 

Pour éviter cela, il convient d’utiliser des protocoles chiffrés et un pare-feu applicatif, afin de repérer et bloquer les requêtes HTTP malicieuses. Vous pouvez également mettre en place une double authentification, bonne pratique de plus en plus répandue et complexifiant grandement l’attaque. Enfin, suivez bien les paragraphes suivants : en vous protégeant des attaques ci-dessous, vous protégerez en général vos utilisateurs contre la violation de gestion et d’authentification de session.

Bruteforce

bruteforce mots de passeLa technique du bruteforce consiste à deviner un mot de passe en testant, une à une, une multitude de possibilités jusqu’à trouver la bonne. Bien entendu, ce sont des machines qui effectuent ces tests, à une vitesse proportionnelle à leur capacité de calcul : certains mots de passe ne résistent donc pas longtemps… et le pirate a ainsi accès au compte correspondant !

 

On ne le répète jamais assez, il est donc vital d’utiliser des mots de passe forts. Il existe des sites permettant de tester la force de vos mots de passe face à une tentative de bruteforce ; attention cependant à ne jamais tester votre vrai mot de passe ! Ces sites servent surtout à se faire une idée de la longueur ou complexité adaptée pour un bon niveau de sécurité. Les entreprises n’ont cependant que peu d’influence sur les choix de mots de passe de leurs clients ; elles peuvent cependant mettre en place des règles, comme un nombre de caractères minimum, et utiliser un anti-bruteforce. Cet outil repère les tentatives de cassage de mot de passe et bloque immédiatement les pirates.

Références Directes Non Sécurisées à un Objet

Le terme « objet » est un terme de développement. Il peut représenter un dossier, un fichier, une entrée ou un identifiant (clé) en base de données… Si la référence de cet objet est accessible depuis le site, alors un pirate pourrait la modifier pour accéder à un autre objet, qui devait rester privé. Prenons un exemple parlant : un pirate se connecte à l’espace membre d’un site. Ce site n’est pas protégé, et l’identifiant du compte est visible dans l’URL : « id=2 ». Le pirate peut alors remplacer son identifiant par un autre, comme « id=16 ». Si le site ne prévoit pas de restrictions d’accès, le pirate arrivera sur le compte de la personne correspondant à l’identifiant 16, et pourra récupérer ses données. Avec un peu de chance et de recherche, il pourrait même trouver le compte administrateur…

Pour protéger votre site et vos utilisateurs, utilisez des références et identifiants non triviaux : l’attaquant aura moins de chances de trouver un numéro associé à un compte. Faites également bien attention aux droits d’utilisateurs, et ne laissez jamais d’identifiants ou de références en clair dans une URL ! Là encore, un audit exhaustif et la correction d’éventuelles failles, ainsi que l’utilisation d’un pare-feu applicatif, vous permettront de vous protéger au mieux. Vous pouvez également ajouter un outil anti-bruteforce.

Injection

injection SQLL’injection consiste à injecter des formules de langage (souvent du SQL) dans un site web, afin de récupérer des informations de session, à accéder au back office ou à la base de données. Par exemple, un pirate peut tenter de se connecter au compte administrateur du site en rentrant « admin » dans le champ de l’identifiant, et « ‘or 1=1’ » dans le champ du mot de passe. Cette dernière entrée, toujours vraie, embrouille l’ordinateur, qui va alors considérer que le bon mot de passe a été entré : le pirate a accès au compte.

Cela peut également aller plus loin : un pirate va écrire, à la place d’un message de contact, une formule SQL permettant de récupérer des données. Sur un site non protégé, cette formule est alors envoyée au back office et à la base de données par l’intermédiaire du formulaire, et la pirate pourra alors récolter des données confidentielles.

Les injections sont réalisées à cause de failles dans le code source du site : un audit intrusif doit être réalisé afin de repérer ces failles, et les corriger ! La base de données peut également jouer un rôle protecteur si elle est équipée d’un analyseur empêchant les envois de données trop importants, et donc douteux.

Une protection globale nécessaire

Lorsqu’un pirate accède à un compte privé, comme un compte administrateur, sur votre site, il a déjà un pied (ou plutôt une main) dans votre système. Il lui est alors beaucoup plus facile de réaliser de nouvelles compromissions, comme un vol de données par exemple. Mais comme on l’a vu, de nombreux moyens différents sont à sa disposition pour réussir une attaque de ce type… ce qui est souvent le cas en sécurité informatique ! Afin d’assurer une protection optimale à votre site web et surtout à vos internautes et clients, ne laissez donc rien au hasard ! Si vous pouvez mettre en place certaines de ces protections seuls, les plus efficaces d’entre elles requièrent souvent l’intervention de votre hébergeur infogérant.

cerberhost : sécurité informatique

Net4All, expert en sécurité informatique, propose un Cloud de haute Sécurité nommé CerberHost et fournissant une protection contre toutes ces attaques… et bien d’autres ! Contactez-nous pour en savoir