{"id":166569,"date":"2022-05-25T18:24:06","date_gmt":"2022-05-25T20:24:06","guid":{"rendered":"https:\/\/teknomers.com\/fr\/decouvrez-comment-les-pirates-peuvent-pirater-vos-comptes-en-ligne-avant-meme-de-les-creer\/"},"modified":"2022-05-25T18:24:06","modified_gmt":"2022-05-25T20:24:06","slug":"decouvrez-comment-les-pirates-peuvent-pirater-vos-comptes-en-ligne-avant-meme-de-les-creer","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/decouvrez-comment-les-pirates-peuvent-pirater-vos-comptes-en-ligne-avant-meme-de-les-creer\/","title":{"rendered":"D\u00e9couvrez comment les pirates peuvent pirater vos comptes en ligne avant m\u00eame de les cr\u00e9er"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"pr\u00e9-piratage de compte\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgvYdCUuC_3CWUY5sTqZzyY89JmeyWQIT-XI2vK1Peot-9dJxR431u4fgLpNXSWUK5sMiMpD8bInkGIry4ouWqLsxTkttv08C_ifMm1GMFICmaaSoQJv9kI_4DF2J8qu4_HOOwA_OAd2BoTeHU_Y8MNUAvZD_EK3QuFEnXM5_gCeXu0gdW8aDHKBaY4\/s728-e1000\/account-hacking.jpg\" title=\"pr\u00e9-piratage de compte\"\/><\/div>\n<p>Des acteurs malveillants peuvent obtenir un acc\u00e8s non autoris\u00e9 aux comptes en ligne des utilisateurs via une nouvelle technique appel\u00e9e &#8220;pr\u00e9-piratage de compte&#8221;, selon une nouvelle \u00e9tude.<\/p>\n<p>L&#8217;attaque vise le processus de cr\u00e9ation de compte qui est omnipr\u00e9sent sur les sites Web et autres plates-formes en ligne, permettant \u00e0 un adversaire d&#8217;effectuer un ensemble d&#8217;actions avant qu&#8217;une victime sans m\u00e9fiance ne cr\u00e9e un compte dans un service cible.<\/p>\n<p>L&#8217;\u00e9tude a \u00e9t\u00e9 men\u00e9e par le chercheur ind\u00e9pendant en s\u00e9curit\u00e9 Avinash Sudhodanan en collaboration avec Andrew Paverd du Microsoft Security Response Center (MSRC).<\/p>\n<p>Le pr\u00e9-piratage repose sur la condition pr\u00e9alable qu&#8217;un attaquant soit d\u00e9j\u00e0 en possession d&#8217;un identifiant unique associ\u00e9 \u00e0 une victime, tel qu&#8217;une adresse e-mail ou un num\u00e9ro de t\u00e9l\u00e9phone, qui peut \u00eatre obtenu \u00e0 partir des comptes de m\u00e9dias sociaux de la cible ou des vidages d&#8217;informations d&#8217;identification circulant sur le Web .<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/backup-github\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Arret-de-loperation-Conti-Ransomware-apres-la-division-en-groupes.png\" width=\"300\" height=\"250\"\/><\/a><\/center><\/div>\n<p>Les attaques peuvent alors se d\u00e9rouler de cinq mani\u00e8res diff\u00e9rentes, y compris l&#8217;utilisation de la m\u00eame adresse e-mail lors de la cr\u00e9ation du compte par l&#8217;adversaire et la victime, accordant potentiellement aux deux parties un acc\u00e8s simultan\u00e9 au compte.<\/p>\n<p>&#8220;Si l&#8217;attaquant peut cr\u00e9er un compte sur un service cible en utilisant l&#8217;adresse e-mail de la victime avant que celle-ci ne cr\u00e9e un compte, l&#8217;attaquant pourrait alors utiliser diverses techniques pour mettre le compte dans un \u00e9tat pr\u00e9-pirat\u00e9&#8221;, ont d\u00e9clar\u00e9 les chercheurs. <a rel=\"nofollow noopener\" href=\"https:\/\/msrc-blog.microsoft.com\/2022\/05\/23\/pre-hijacking-attacks\/\" target=\"_blank\">mentionn\u00e9<\/a>. <\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"pr\u00e9-piratage de compte\" border=\"0\" data-original-height=\"478\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Decouvrez-comment-les-pirates-peuvent-pirater-vos-comptes-en-ligne.jpg\" title=\"pr\u00e9-piratage de compte\"\/><\/div>\n<p>&#8220;Une fois que la victime a r\u00e9cup\u00e9r\u00e9 l&#8217;acc\u00e8s et commenc\u00e9 \u00e0 utiliser le compte, l&#8217;attaquant pourrait retrouver l&#8217;acc\u00e8s et prendre le contr\u00f4le du compte.&#8221;  Les cinq types d&#8217;attaques de pr\u00e9-d\u00e9tournement sont ci-dessous &#8211;<\/p>\n<ul>\n<li><strong>Attaque de fusion f\u00e9d\u00e9r\u00e9e classique<\/strong>dans lequel deux comptes cr\u00e9\u00e9s \u00e0 l&#8217;aide de la version classique et <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Federated_identity\" target=\"_blank\">identit\u00e9 f\u00e9d\u00e9r\u00e9e<\/a> les routes avec la m\u00eame adresse e-mail permettent \u00e0 la victime et \u00e0 l&#8217;attaquant d&#8217;acc\u00e9der au m\u00eame compte.<\/li>\n<\/ul>\n<ul>\n<li><strong>Attaque d&#8217;identifiant de session non expir\u00e9e<\/strong>, dans lequel l&#8217;attaquant cr\u00e9e un compte \u00e0 l&#8217;aide de l&#8217;adresse e-mail de la victime et maintient une session active de longue dur\u00e9e.  Lorsque l&#8217;utilisateur r\u00e9cup\u00e8re le compte \u00e0 l&#8217;aide de la m\u00eame adresse e-mail, l&#8217;attaquant continue de conserver l&#8217;acc\u00e8s car la r\u00e9initialisation du mot de passe n&#8217;a pas mis fin \u00e0 la session de l&#8217;attaquant.<\/li>\n<\/ul>\n<ul>\n<li><strong>Attaque d&#8217;identifiant de cheval de Troie<\/strong>, dans lequel l&#8217;attaquant cr\u00e9e un compte \u00e0 l&#8217;aide de l&#8217;adresse e-mail de la victime, puis ajoute un identifiant de cheval de Troie, par exemple une adresse e-mail secondaire ou un num\u00e9ro de t\u00e9l\u00e9phone sous son contr\u00f4le.  Ainsi, lorsque l&#8217;utilisateur r\u00e9el r\u00e9cup\u00e8re l&#8217;acc\u00e8s suite \u00e0 une r\u00e9initialisation du mot de passe, l&#8217;attaquant peut utiliser l&#8217;identifiant du cheval de Troie pour r\u00e9cup\u00e9rer l&#8217;acc\u00e8s au compte.<\/li>\n<\/ul>\n<ul>\n<li><strong>Attaque de changement d&#8217;e-mail non expir\u00e9<\/strong>, dans lequel l&#8217;attaquant cr\u00e9e un compte en utilisant l&#8217;adresse e-mail de la victime et proc\u00e8de \u00e0 la modification de l&#8217;adresse e-mail pour une adresse sous son contr\u00f4le.  Lorsque le service envoie une URL de v\u00e9rification \u00e0 la nouvelle adresse e-mail, l&#8217;attaquant attend que la victime r\u00e9cup\u00e8re et commence \u00e0 utiliser le compte avant de terminer le processus de changement d&#8217;e-mail pour prendre le contr\u00f4le du compte.<\/li>\n<\/ul>\n<ul>\n<li><strong>Attaque de fournisseur d&#8217;identit\u00e9 non v\u00e9rifiable (IdP)<\/strong>, dans lequel l&#8217;attaquant cr\u00e9e un compte aupr\u00e8s du service cible \u00e0 l&#8217;aide d&#8217;un fournisseur d&#8217;identit\u00e9 non v\u00e9rifiant.  Si la victime cr\u00e9e un compte en utilisant la m\u00e9thode d&#8217;enregistrement classique avec la m\u00eame adresse e-mail, cela permet \u00e0 l&#8217;attaquant d&#8217;acc\u00e9der au compte.<\/li>\n<\/ul>\n<p>Dans une \u00e9valuation empirique de 75 des sites Web les plus populaires d&#8217;Alexa, 56 vuln\u00e9rabilit\u00e9s de pr\u00e9-piratage ont \u00e9t\u00e9 identifi\u00e9es sur 35 services.  Cela inclut 13 fusions f\u00e9d\u00e9r\u00e9es classiques, 19 identifiants de session non expir\u00e9s, 12 identifiants de cheval de Troie, 11 changements d&#8217;e-mail non expir\u00e9s et une attaque IdP non v\u00e9rifiable &#8211;<\/p>\n<ul>\n<li>Dropbox &#8211; Attaque de changement d&#8217;e-mail non expir\u00e9<\/li>\n<li>Instagram &#8211; Attaque d&#8217;identifiant de cheval de Troie<\/li>\n<li>LinkedIn &#8211; Attaques de session non expir\u00e9e et d&#8217;identifiant de cheval de Troie<\/li>\n<li>WordPress.com &#8211; Attaques de session non expir\u00e9e et de changement de courrier \u00e9lectronique non expir\u00e9, et<\/li>\n<li>Zoom &#8211; Fusion f\u00e9d\u00e9r\u00e9e classique et attaques IdP sans v\u00e9rification<\/li>\n<\/ul>\n<p>&#8220;La cause profonde de toutes les attaques [&#8230;] est un \u00e9chec de v\u00e9rification de la propri\u00e9t\u00e9 de l&#8217;identifiant revendiqu\u00e9 \u00bb, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Bien que de nombreux services effectuent ce type de v\u00e9rification, ils le font souvent de mani\u00e8re asynchrone, permettant \u00e0 l&#8217;utilisateur d&#8217;utiliser certaines fonctionnalit\u00e9s du compte avant que l&#8217;identifiant n&#8217;ait \u00e9t\u00e9 v\u00e9rifi\u00e9. Bien que cela puisse am\u00e9liorer la convivialit\u00e9 (r\u00e9duit les frictions de l&#8217;utilisateur lors de l&#8217;inscription), cela laisse l&#8217;utilisateur vuln\u00e9rable aux attaques de pr\u00e9-piratage.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"pr\u00e9-piratage de compte\" border=\"0\" data-original-height=\"720\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/1653510246_661_Decouvrez-comment-les-pirates-peuvent-pirater-vos-comptes-en-ligne.jpg\" title=\"pr\u00e9-piratage de compte\"\/><\/div>\n<p>Bien que la mise en \u0153uvre d&#8217;une v\u00e9rification stricte des identifiants dans les services soit essentielle pour att\u00e9nuer les attaques de pr\u00e9-piratage, il est recommand\u00e9 aux utilisateurs de s\u00e9curiser leurs comptes avec l&#8217;authentification multifacteur (MFA).<\/p>\n<p>&#8220;Une MFA correctement impl\u00e9ment\u00e9e emp\u00eachera l&#8217;attaquant de s&#8217;authentifier sur un compte pr\u00e9-pirat\u00e9 apr\u00e8s que la victime aura commenc\u00e9 \u00e0 utiliser ce compte&#8221;, ont not\u00e9 les chercheurs.  &#8220;Le service doit \u00e9galement invalider toutes les sessions cr\u00e9\u00e9es avant l&#8217;activation de MFA pour emp\u00eacher l&#8217;attaque de session non expir\u00e9e.&#8221;<\/p>\n<p>En plus de cela, il est \u00e9galement conseill\u00e9 aux services en ligne de supprimer p\u00e9riodiquement les comptes non v\u00e9rifi\u00e9s, d&#8217;appliquer une faible fen\u00eatre pour confirmer un changement d&#8217;adresse e-mail et d&#8217;invalider les sessions lors des r\u00e9initialisations de mot de passe pour une approche de d\u00e9fense approfondie de la gestion des comptes.<\/p>\n<p>&#8220;Lorsqu&#8217;un service fusionne un compte cr\u00e9\u00e9 via la route classique avec un compte cr\u00e9\u00e9 via la route f\u00e9d\u00e9r\u00e9e (ou vice-versa), le service doit s&#8217;assurer que l&#8217;utilisateur contr\u00f4le actuellement les deux comptes&#8221;, ont d\u00e9clar\u00e9 Sudhodanan et Paverd.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/05\/learn-how-hackers-can-hijack-your.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Des acteurs malveillants peuvent obtenir un acc\u00e8s non autoris\u00e9 aux comptes en ligne des utilisateurs via une nouvelle technique appel\u00e9e &#8220;pr\u00e9-piratage de compte&#8221;, selon une nouvelle \u00e9tude. L&#8217;attaque vise le processus de cr\u00e9ation de compte qui est omnipr\u00e9sent sur les sites Web et autres plates-formes en ligne, permettant \u00e0 un adversaire d&#8217;effectuer un ensemble d&#8217;actions [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[292,767,4168,4493,2167,4158,4165,4161,933,4157,4159,4171,4170,65,2903,4167,147,4160,4163,4162,141,22524,4394,4172,4169,4166,690,4164],"class_list":["post-166569","post","type-post","status-publish","format-standard","hentry","category-technologie","tag-avant","tag-comment","tag-comment-pirater","tag-comptes","tag-creer","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-decouvrez","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-ligne","tag-logiciel-malveillant-de-ransomware","tag-meme","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-peuvent","tag-pirater","tag-pirates","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vos","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/166569","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=166569"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/166569\/revisions"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=166569"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=166569"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=166569"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}