Vous demandez à vos utilisateurs de se connecter à votre site web ? A quoi s’exposent-ils ? A quoi vous exposez-vous ?

L’application, quelques soit la technologie, présente traditionnellement un formulaire demandant à l’utilisateur de saisir son login. Celui-ci peut être un email ou un identifiant unique. Un autre champs du formulaire et un mot de passe que seul l’utilisateur est censé connaitre.

Mais ce formulaire est souvent la principale porte porte d’entrée des attaques informatique. Même si les mots de passe sont chiffrés en base de données.

Pourquoi ceci reste vulnérable ?

Il existe plusieurs menaces qui exploitent les informations de connexion des utilisateurs.

Le phishing

A l’insu des commerçants et sans qu’il soit vraiment possible de le contrôler, les cyber-criminels envoient régulièrement des emails, de plus en plus réalistes et contextualisés. Ces emails aux couleurs d’une marque demandent au destinataire de fournir des informations sensibles, comme les mots de passe, informations bancaire, etc. Ils exploitent les fragilités humaines. Après quoi ils usurpent l’identité des utilisateurs.

Encore récemment je recevais un email qui n’a pas été identifié comme “spam” par mon filtre. Celui-ci reprenait les couleurs de Norauto. Il me remercier de l’achat d’un pare-soleil et m’invitait à donner une note. Quand bien même je n’ai pas réalisé cet achat. Pensant à une erreur je me suis précipité sur le lien “Désincription”. Mais une lueur de vigilance m’a permis de vérifier s’il ne s’agissait pas d’une opération de phishing. Et pourtant c’était le cas, aucun lien n’était neutre. Autant celui permettant de noter le produit, que le lien de désinscription. Tous renvoyaient vers des pages malveillantes.

Avec cet exemple, on le voit, les emails de phishing sont de plus en plus précis. Dans notre contexte: l’été arrive, Norauto faisait des offres sur les pare-soleils. La probabilité qu’une personne achète un produit et veuille donner un avis est plus importante. L’email de phishing est susceptible d’être plus rentable pour le cyber-criminel.

Attaque par brute force

La meilleure façon de voler un mot de passe d’un utilisateur est d’en tester plusieurs centaines de millions dans des temps très court.

Cette technique est connue depuis la “nuit des temps”. L’attaquant possède un ensemble de mots de passe issues de fuites de données précédentes. Il en a fait un véritable “dictionnaire”.

Après avoir vérifié la présence d’un compte sur une plateforme web, le cyber-attaquant va tester l’ensemble des mots de passe du dictionnaire. Pour réaliser ceci il utilise généralement des fermes de petits servers répartis dans le monde et des ordinateurs personnels infiltrés par un virus.

Peu de plateformes web mesurent de ce type d’attaque, ni ne mettent en place de protections (ps: notre API permet de lutter contre les attaques par brute force :). Le manque de protection est encore plus dangereux lorsqu’il s’agit des “interfaces admin”. C’est à dire les parties d’une applications permettant aux managers d’accéder à l’ensemble des données des clients. Que faire lorsque ce type de comptes est scanné par une menace ? Et le plus souvent en total discrétion.

Dans le cadre de l’amélioration de notre produit de sécurité: LittleBlueFox.io, afin mesurer ce type d’attaque, nous avons mis en place plusieurs vrais-fausses boutiques et applications métier. Il s’agit de véritables honeypot:

Nous avons constaté que les interfaces d’admin attirent environ 75% des attaques de plus que les simples formulaire de connexion utilisateur. On ne change rien: ce qui a de a la valeur est attractif.

Les tables Arc-En-Ciel

Il est de bonne pratique de ne pas sauver directement les mots de passe de vos utilisateurs en clair. Ils sont généralement stockés dans vos bases sous forme chiffrée. On appelle ceci une empreinte de mot de passe, ou encore un condensat ou un hash. Plusieurs techniques existent: bcrypt, sha256, pbkdf2, etc.

Lorsque les bases de données d’acteurs du web du fuites, dans le meilleur des cas, il s’agit de la perte de ces empreintes chiffrée. Dans le pire des cas les mots de passe en clair.

Si un cyber criminel est en possession des empreintes de mot de passe, tout n’est pas perdu pour lui. Il peut utiliser des tables arc-en-ciel. Il s’agit simplement d’empreintes pré-calculées des principaux mots de passe généralement utilisées par les internautes (par exemple: “azerty”, “parisparis”, etc.). Il va comparer ces empreintes à celles issues d’une fuite de données. Et comme on sait que 90% des internautes utilise un mot de passe trop simple, l’affaire est belle pour l’attaquant.

Pour éviter ceci il faut utiliser la technique du salage de mot de passe afin rendre à l’attaquant l’opération plus complexe, mais pas impossible lorsque l’on sait que le coeur d’une puce GPU de playstation de dernière génération est capable de produire plusieurs millions d’opérations cryptographique par seconde. De même pour un barrage habituellement utilisé pour miner du bitcoin. Que ce passe-t-il s’il serait utilisé pour casser du mot de passe de comptes sensibles ? :)

Le vol de sessions/cookie

Après qu’un utilisateur se soit authentifié sur un service en ligne, celui-ci utilise généralement un cookie afin de maintenir une session ouverte.

Ce cookie peut être récupéré de plusieurs manières. Je ne vais pas toute les détailler.

Mais l’écoute d’un réseau en fait partie. Elle est généralement la technique la plus simple et la plus “rémunératrice” pour le cyber criminel.

Cette technique repose sur le fait que tout ce qui passe sur un réseau n’est pas chiffré et peut être écouté (avec des outils tel que tcpdump, etc.) donc volé.

Pour éviter ceci, la bonne pratique est d’utiliser TLS (généralement appelé HTTPS par abus de langage). Ce canal chiffre les données entre le serveur et l’utilisateur. Ce qui empêche une personne malveillante d’écouter et de collecter des informations sensibles comme le mot de passe.

Voilà, vous en savez plus sur la menace qui pèse sur les formulaires de connexion utilisateur. Un autre article sur la double authentification est en préparation pour compléter celui-ci.

Si vous aussi vous souhaitez aussi rendre un internet plus sur, pensez à demander vos comptes de test LittleBlueFox.io :)

LittleBlueFox.io est la cyber-solution qui a un impact considérable sur la sécurité de toutes les activités: e-commerce, santé, immobilier, grands comptes, etc.

Sécurisez gratuitement