Les codeurs conquièrent la sécurité : série Share & Learn - Authentification
Dans ce blog, nous aborderons l'un des problèmes les plus courants rencontrés par les organisations qui gèrent des sites Web ou qui permettent à leurs employés d'accéder à distance à des ressources informatiques, ce qui concerne à peu près tout le monde. Et oui, vous avez probablement deviné que nous allons parler d'authentification.
Si un pirate informatique peut simplement se connecter à un système en tant qu'administrateur avec un nom d'utilisateur et un mot de passe valides, il n'est pas nécessaire de déployer des techniques avancées pour lutter contre les défenses du réseau. Le système ouvre simplement la porte et laisse entrer l'attaquant. Pire encore, si l'attaquant ne fait rien de trop bizarre, sa présence est presque impossible à détecter car la plupart des défenses le considéreront simplement comme un utilisateur ou un administrateur valide faisant son travail.
La catégorie des vulnérabilités d'authentification est assez vaste, mais nous allons passer en revue les problèmes les plus courants qui ont tendance à être accidentellement intégrés dans les processus de connexion des utilisateurs. En comblant ces failles, vous pouvez éliminer la grande majorité des problèmes d'authentification de votre organisation.
Dans cet épisode, nous allons apprendre :
- Comment certaines vulnérabilités d'authentification courantes sont exploitées
- Pourquoi sont-ils si dangereux
- Quelles politiques et techniques peuvent être utilisées pour éliminer les vulnérabilités d'authentification.
Comment les attaquants exploitent-ils les vulnérabilités d'authentification ?
De nombreuses vulnérabilités d'authentification peuvent s'infiltrer dans un système d'authentification, de sorte que les pirates informatiques exploitent chacune d'elles un peu différemment. Passons d'abord en revue les vulnérabilités les plus courantes, puis donnons des exemples montrant comment certaines d'entre elles peuvent être exploitées.
Les vulnérabilités d'authentification les plus courantes sont les suivantes :
- Avoir des politiques de mots de passe faibles ou inadéquates,
- Permettre un nombre illimité de tentatives de connexion,
- Fournir des informations à un attaquant en cas d'échec de connexion,
- Envoi d'informations d'identification via des canaux non sécurisés,
- Hachage faible des mots de passe,
- Et avoir un processus de récupération de mot de passe non sécurisé.
Le fait d'avoir une politique de mot de passe faible est probablement la vulnérabilité la plus courante. Si les utilisateurs sont autorisés à créer des mots de passe sans aucune restriction, beaucoup trop d'entre eux utiliseront des mots de passe faciles à deviner. Chaque année, diverses agences de presse informatiques publient une liste des mots de passe les plus utilisés, et « 123456 » et « mot de passe » figurent toujours parmi les cinq premiers. Il y en a d'autres. Les administrateurs aiment beaucoup utiliser « Dieu ». C'est vrai, ils sont tous humoristiques ou faciles à retenir, mais aussi très faciles à deviner. Les pirates informatiques connaissent les mots de passe les plus courants et les essaient d'abord lorsqu'ils tentent de pénétrer dans un système. Si ce type de mot de passe est autorisé dans votre organisation, vous finirez par être piraté.
Une vulnérabilité moins évidente mais toujours dangereuse consiste à fournir des informations à un utilisateur concernant un échec de connexion. C'est dommage car si vous renvoyez un message alors qu'un nom d'utilisateur n'existe pas et un autre lorsqu'un nom d'utilisateur existe mais que le mot de passe est incorrect, cela permet aux attaquants de cartographier les utilisateurs valides sur un système et de se concentrer sur la recherche de mots de passe uniquement pour ces noms d'utilisateur. Si cela est combiné à la vulnérabilité d'authentification qui permet de deviner un nombre illimité de mots de passe, cela permettrait aux attaquants de lancer des attaques par dictionnaire contre les utilisateurs valides qu'ils ont trouvés, ce qui pourrait les faire entrer dans un système assez rapidement si le mot de passe est facile à deviner.
Pourquoi les vulnérabilités d'authentification sont-elles si dangereuses ?
Un conte classique du Far West américain raconte l'histoire d'un fermier paranoïaque qui a installé des serrures triples sur sa porte d'entrée, barricadé ses fenêtres et dormi avec de nombreuses armes à feu à portée de main. Le matin, il a été retrouvé mort. Ses agresseurs l'ont attaqué parce qu'il avait oublié de verrouiller la porte arrière. Les vulnérabilités d'authentification ressemblent beaucoup à cela. Peu importe le type d'outils de surveillance ou de contrôles proactifs que vous avez mis en place ou le nombre d'analystes experts que vous employez, si un attaquant peut utiliser un nom d'utilisateur et un mot de passe valides pour accéder à votre réseau.
Une fois à l'intérieur, il y a très peu de restrictions quant à ce que peut faire cet attaquant. Tant qu'ils agissent dans les limites de leurs autorisations d'utilisateur, qui peuvent être assez étendues s'ils ont compromis un compte administrateur, il y a très peu de chances qu'ils soient détectés à temps pour éviter de graves problèmes. Cela fait de la classe de vulnérabilités d'authentification l'une des plus dangereuses de tous les systèmes.
Éliminer les vulnérabilités liées à l'authentification
L'un des meilleurs moyens d'éliminer les vulnérabilités d'authentification d'un réseau est de mettre en place de bonnes politiques de mots de passe appliquées à l'échelle mondiale. Non seulement les utilisateurs, même les administrateurs, ne devraient pas être autorisés à utiliser des mots de passe tels que « mot de passe », mais ils devraient également être contraints d'ajouter un niveau de complexité qui empêcherait un attaquant d'appliquer un dictionnaire ou des phrases courantes à une attaque. Vous pouvez définir vos propres règles pour la création de mots de passe en fonction de l'importance de la protection du système. Il sera ainsi beaucoup plus difficile pour les attaquants de deviner les mots de passe ou de les utiliser par force brute.
Vous devez également limiter le nombre de tentatives de connexion infructueuses afin que, si un mot de passe incorrect est saisi plus de trois fois, l'utilisateur soit bloqué. Le verrouillage peut être temporaire, car même quelques minutes de retard empêcheront les attaques automatisées par dictionnaire de se poursuivre. Il peut également être permanent à moins que le compte ne soit déverrouillé par un administrateur. Dans les deux cas, le personnel de sécurité doit être alerté chaque fois qu'un tel verrouillage se produit afin qu'il puisse suivre la situation.
Un autre bon moyen d'empêcher les attaquants de collecter des informations est de créer un message générique chaque fois qu'un nom d'utilisateur ou un mot de passe erroné est saisi. Il devrait en être de même dans les deux cas afin que les pirates informatiques ne sachent pas s'ils ont été rejetés parce qu'un utilisateur n'existe pas ou parce qu'il a un mot de passe erroné.
Les vulnérabilités d'authentification sont parmi les plus courantes et les plus dangereuses sur la plupart des systèmes. Mais ils sont également assez faciles à trouver et à éliminer.
Plus d'informations sur les vulnérabilités d'authentification
Pour en savoir plus, vous pouvez consulter l'OWASP aide-mémoire sur l'authentification. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Passez à la vitesse supérieure et affrontez de front une vulnérabilité d'authentification sur la plateforme Secure Code Warrior : [Commencez ici]
Nous allons aborder l'un des problèmes les plus courants rencontrés par les organisations qui gèrent des sites Web ou qui permettent à leurs employés d'accéder à distance à des ressources informatiques, ce qui concerne à peu près tout le monde. Et oui, vous avez probablement deviné que nous allons parler d'authentification.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Dans ce blog, nous aborderons l'un des problèmes les plus courants rencontrés par les organisations qui gèrent des sites Web ou qui permettent à leurs employés d'accéder à distance à des ressources informatiques, ce qui concerne à peu près tout le monde. Et oui, vous avez probablement deviné que nous allons parler d'authentification.
Si un pirate informatique peut simplement se connecter à un système en tant qu'administrateur avec un nom d'utilisateur et un mot de passe valides, il n'est pas nécessaire de déployer des techniques avancées pour lutter contre les défenses du réseau. Le système ouvre simplement la porte et laisse entrer l'attaquant. Pire encore, si l'attaquant ne fait rien de trop bizarre, sa présence est presque impossible à détecter car la plupart des défenses le considéreront simplement comme un utilisateur ou un administrateur valide faisant son travail.
La catégorie des vulnérabilités d'authentification est assez vaste, mais nous allons passer en revue les problèmes les plus courants qui ont tendance à être accidentellement intégrés dans les processus de connexion des utilisateurs. En comblant ces failles, vous pouvez éliminer la grande majorité des problèmes d'authentification de votre organisation.
Dans cet épisode, nous allons apprendre :
- Comment certaines vulnérabilités d'authentification courantes sont exploitées
- Pourquoi sont-ils si dangereux
- Quelles politiques et techniques peuvent être utilisées pour éliminer les vulnérabilités d'authentification.
Comment les attaquants exploitent-ils les vulnérabilités d'authentification ?
De nombreuses vulnérabilités d'authentification peuvent s'infiltrer dans un système d'authentification, de sorte que les pirates informatiques exploitent chacune d'elles un peu différemment. Passons d'abord en revue les vulnérabilités les plus courantes, puis donnons des exemples montrant comment certaines d'entre elles peuvent être exploitées.
Les vulnérabilités d'authentification les plus courantes sont les suivantes :
- Avoir des politiques de mots de passe faibles ou inadéquates,
- Permettre un nombre illimité de tentatives de connexion,
- Fournir des informations à un attaquant en cas d'échec de connexion,
- Envoi d'informations d'identification via des canaux non sécurisés,
- Hachage faible des mots de passe,
- Et avoir un processus de récupération de mot de passe non sécurisé.
Le fait d'avoir une politique de mot de passe faible est probablement la vulnérabilité la plus courante. Si les utilisateurs sont autorisés à créer des mots de passe sans aucune restriction, beaucoup trop d'entre eux utiliseront des mots de passe faciles à deviner. Chaque année, diverses agences de presse informatiques publient une liste des mots de passe les plus utilisés, et « 123456 » et « mot de passe » figurent toujours parmi les cinq premiers. Il y en a d'autres. Les administrateurs aiment beaucoup utiliser « Dieu ». C'est vrai, ils sont tous humoristiques ou faciles à retenir, mais aussi très faciles à deviner. Les pirates informatiques connaissent les mots de passe les plus courants et les essaient d'abord lorsqu'ils tentent de pénétrer dans un système. Si ce type de mot de passe est autorisé dans votre organisation, vous finirez par être piraté.
Une vulnérabilité moins évidente mais toujours dangereuse consiste à fournir des informations à un utilisateur concernant un échec de connexion. C'est dommage car si vous renvoyez un message alors qu'un nom d'utilisateur n'existe pas et un autre lorsqu'un nom d'utilisateur existe mais que le mot de passe est incorrect, cela permet aux attaquants de cartographier les utilisateurs valides sur un système et de se concentrer sur la recherche de mots de passe uniquement pour ces noms d'utilisateur. Si cela est combiné à la vulnérabilité d'authentification qui permet de deviner un nombre illimité de mots de passe, cela permettrait aux attaquants de lancer des attaques par dictionnaire contre les utilisateurs valides qu'ils ont trouvés, ce qui pourrait les faire entrer dans un système assez rapidement si le mot de passe est facile à deviner.
Pourquoi les vulnérabilités d'authentification sont-elles si dangereuses ?
Un conte classique du Far West américain raconte l'histoire d'un fermier paranoïaque qui a installé des serrures triples sur sa porte d'entrée, barricadé ses fenêtres et dormi avec de nombreuses armes à feu à portée de main. Le matin, il a été retrouvé mort. Ses agresseurs l'ont attaqué parce qu'il avait oublié de verrouiller la porte arrière. Les vulnérabilités d'authentification ressemblent beaucoup à cela. Peu importe le type d'outils de surveillance ou de contrôles proactifs que vous avez mis en place ou le nombre d'analystes experts que vous employez, si un attaquant peut utiliser un nom d'utilisateur et un mot de passe valides pour accéder à votre réseau.
Une fois à l'intérieur, il y a très peu de restrictions quant à ce que peut faire cet attaquant. Tant qu'ils agissent dans les limites de leurs autorisations d'utilisateur, qui peuvent être assez étendues s'ils ont compromis un compte administrateur, il y a très peu de chances qu'ils soient détectés à temps pour éviter de graves problèmes. Cela fait de la classe de vulnérabilités d'authentification l'une des plus dangereuses de tous les systèmes.
Éliminer les vulnérabilités liées à l'authentification
L'un des meilleurs moyens d'éliminer les vulnérabilités d'authentification d'un réseau est de mettre en place de bonnes politiques de mots de passe appliquées à l'échelle mondiale. Non seulement les utilisateurs, même les administrateurs, ne devraient pas être autorisés à utiliser des mots de passe tels que « mot de passe », mais ils devraient également être contraints d'ajouter un niveau de complexité qui empêcherait un attaquant d'appliquer un dictionnaire ou des phrases courantes à une attaque. Vous pouvez définir vos propres règles pour la création de mots de passe en fonction de l'importance de la protection du système. Il sera ainsi beaucoup plus difficile pour les attaquants de deviner les mots de passe ou de les utiliser par force brute.
Vous devez également limiter le nombre de tentatives de connexion infructueuses afin que, si un mot de passe incorrect est saisi plus de trois fois, l'utilisateur soit bloqué. Le verrouillage peut être temporaire, car même quelques minutes de retard empêcheront les attaques automatisées par dictionnaire de se poursuivre. Il peut également être permanent à moins que le compte ne soit déverrouillé par un administrateur. Dans les deux cas, le personnel de sécurité doit être alerté chaque fois qu'un tel verrouillage se produit afin qu'il puisse suivre la situation.
Un autre bon moyen d'empêcher les attaquants de collecter des informations est de créer un message générique chaque fois qu'un nom d'utilisateur ou un mot de passe erroné est saisi. Il devrait en être de même dans les deux cas afin que les pirates informatiques ne sachent pas s'ils ont été rejetés parce qu'un utilisateur n'existe pas ou parce qu'il a un mot de passe erroné.
Les vulnérabilités d'authentification sont parmi les plus courantes et les plus dangereuses sur la plupart des systèmes. Mais ils sont également assez faciles à trouver et à éliminer.
Plus d'informations sur les vulnérabilités d'authentification
Pour en savoir plus, vous pouvez consulter l'OWASP aide-mémoire sur l'authentification. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Passez à la vitesse supérieure et affrontez de front une vulnérabilité d'authentification sur la plateforme Secure Code Warrior : [Commencez ici]
Dans ce blog, nous aborderons l'un des problèmes les plus courants rencontrés par les organisations qui gèrent des sites Web ou qui permettent à leurs employés d'accéder à distance à des ressources informatiques, ce qui concerne à peu près tout le monde. Et oui, vous avez probablement deviné que nous allons parler d'authentification.
Si un pirate informatique peut simplement se connecter à un système en tant qu'administrateur avec un nom d'utilisateur et un mot de passe valides, il n'est pas nécessaire de déployer des techniques avancées pour lutter contre les défenses du réseau. Le système ouvre simplement la porte et laisse entrer l'attaquant. Pire encore, si l'attaquant ne fait rien de trop bizarre, sa présence est presque impossible à détecter car la plupart des défenses le considéreront simplement comme un utilisateur ou un administrateur valide faisant son travail.
La catégorie des vulnérabilités d'authentification est assez vaste, mais nous allons passer en revue les problèmes les plus courants qui ont tendance à être accidentellement intégrés dans les processus de connexion des utilisateurs. En comblant ces failles, vous pouvez éliminer la grande majorité des problèmes d'authentification de votre organisation.
Dans cet épisode, nous allons apprendre :
- Comment certaines vulnérabilités d'authentification courantes sont exploitées
- Pourquoi sont-ils si dangereux
- Quelles politiques et techniques peuvent être utilisées pour éliminer les vulnérabilités d'authentification.
Comment les attaquants exploitent-ils les vulnérabilités d'authentification ?
De nombreuses vulnérabilités d'authentification peuvent s'infiltrer dans un système d'authentification, de sorte que les pirates informatiques exploitent chacune d'elles un peu différemment. Passons d'abord en revue les vulnérabilités les plus courantes, puis donnons des exemples montrant comment certaines d'entre elles peuvent être exploitées.
Les vulnérabilités d'authentification les plus courantes sont les suivantes :
- Avoir des politiques de mots de passe faibles ou inadéquates,
- Permettre un nombre illimité de tentatives de connexion,
- Fournir des informations à un attaquant en cas d'échec de connexion,
- Envoi d'informations d'identification via des canaux non sécurisés,
- Hachage faible des mots de passe,
- Et avoir un processus de récupération de mot de passe non sécurisé.
Le fait d'avoir une politique de mot de passe faible est probablement la vulnérabilité la plus courante. Si les utilisateurs sont autorisés à créer des mots de passe sans aucune restriction, beaucoup trop d'entre eux utiliseront des mots de passe faciles à deviner. Chaque année, diverses agences de presse informatiques publient une liste des mots de passe les plus utilisés, et « 123456 » et « mot de passe » figurent toujours parmi les cinq premiers. Il y en a d'autres. Les administrateurs aiment beaucoup utiliser « Dieu ». C'est vrai, ils sont tous humoristiques ou faciles à retenir, mais aussi très faciles à deviner. Les pirates informatiques connaissent les mots de passe les plus courants et les essaient d'abord lorsqu'ils tentent de pénétrer dans un système. Si ce type de mot de passe est autorisé dans votre organisation, vous finirez par être piraté.
Une vulnérabilité moins évidente mais toujours dangereuse consiste à fournir des informations à un utilisateur concernant un échec de connexion. C'est dommage car si vous renvoyez un message alors qu'un nom d'utilisateur n'existe pas et un autre lorsqu'un nom d'utilisateur existe mais que le mot de passe est incorrect, cela permet aux attaquants de cartographier les utilisateurs valides sur un système et de se concentrer sur la recherche de mots de passe uniquement pour ces noms d'utilisateur. Si cela est combiné à la vulnérabilité d'authentification qui permet de deviner un nombre illimité de mots de passe, cela permettrait aux attaquants de lancer des attaques par dictionnaire contre les utilisateurs valides qu'ils ont trouvés, ce qui pourrait les faire entrer dans un système assez rapidement si le mot de passe est facile à deviner.
Pourquoi les vulnérabilités d'authentification sont-elles si dangereuses ?
Un conte classique du Far West américain raconte l'histoire d'un fermier paranoïaque qui a installé des serrures triples sur sa porte d'entrée, barricadé ses fenêtres et dormi avec de nombreuses armes à feu à portée de main. Le matin, il a été retrouvé mort. Ses agresseurs l'ont attaqué parce qu'il avait oublié de verrouiller la porte arrière. Les vulnérabilités d'authentification ressemblent beaucoup à cela. Peu importe le type d'outils de surveillance ou de contrôles proactifs que vous avez mis en place ou le nombre d'analystes experts que vous employez, si un attaquant peut utiliser un nom d'utilisateur et un mot de passe valides pour accéder à votre réseau.
Une fois à l'intérieur, il y a très peu de restrictions quant à ce que peut faire cet attaquant. Tant qu'ils agissent dans les limites de leurs autorisations d'utilisateur, qui peuvent être assez étendues s'ils ont compromis un compte administrateur, il y a très peu de chances qu'ils soient détectés à temps pour éviter de graves problèmes. Cela fait de la classe de vulnérabilités d'authentification l'une des plus dangereuses de tous les systèmes.
Éliminer les vulnérabilités liées à l'authentification
L'un des meilleurs moyens d'éliminer les vulnérabilités d'authentification d'un réseau est de mettre en place de bonnes politiques de mots de passe appliquées à l'échelle mondiale. Non seulement les utilisateurs, même les administrateurs, ne devraient pas être autorisés à utiliser des mots de passe tels que « mot de passe », mais ils devraient également être contraints d'ajouter un niveau de complexité qui empêcherait un attaquant d'appliquer un dictionnaire ou des phrases courantes à une attaque. Vous pouvez définir vos propres règles pour la création de mots de passe en fonction de l'importance de la protection du système. Il sera ainsi beaucoup plus difficile pour les attaquants de deviner les mots de passe ou de les utiliser par force brute.
Vous devez également limiter le nombre de tentatives de connexion infructueuses afin que, si un mot de passe incorrect est saisi plus de trois fois, l'utilisateur soit bloqué. Le verrouillage peut être temporaire, car même quelques minutes de retard empêcheront les attaques automatisées par dictionnaire de se poursuivre. Il peut également être permanent à moins que le compte ne soit déverrouillé par un administrateur. Dans les deux cas, le personnel de sécurité doit être alerté chaque fois qu'un tel verrouillage se produit afin qu'il puisse suivre la situation.
Un autre bon moyen d'empêcher les attaquants de collecter des informations est de créer un message générique chaque fois qu'un nom d'utilisateur ou un mot de passe erroné est saisi. Il devrait en être de même dans les deux cas afin que les pirates informatiques ne sachent pas s'ils ont été rejetés parce qu'un utilisateur n'existe pas ou parce qu'il a un mot de passe erroné.
Les vulnérabilités d'authentification sont parmi les plus courantes et les plus dangereuses sur la plupart des systèmes. Mais ils sont également assez faciles à trouver et à éliminer.
Plus d'informations sur les vulnérabilités d'authentification
Pour en savoir plus, vous pouvez consulter l'OWASP aide-mémoire sur l'authentification. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Passez à la vitesse supérieure et affrontez de front une vulnérabilité d'authentification sur la plateforme Secure Code Warrior : [Commencez ici]
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Dans ce blog, nous aborderons l'un des problèmes les plus courants rencontrés par les organisations qui gèrent des sites Web ou qui permettent à leurs employés d'accéder à distance à des ressources informatiques, ce qui concerne à peu près tout le monde. Et oui, vous avez probablement deviné que nous allons parler d'authentification.
Si un pirate informatique peut simplement se connecter à un système en tant qu'administrateur avec un nom d'utilisateur et un mot de passe valides, il n'est pas nécessaire de déployer des techniques avancées pour lutter contre les défenses du réseau. Le système ouvre simplement la porte et laisse entrer l'attaquant. Pire encore, si l'attaquant ne fait rien de trop bizarre, sa présence est presque impossible à détecter car la plupart des défenses le considéreront simplement comme un utilisateur ou un administrateur valide faisant son travail.
La catégorie des vulnérabilités d'authentification est assez vaste, mais nous allons passer en revue les problèmes les plus courants qui ont tendance à être accidentellement intégrés dans les processus de connexion des utilisateurs. En comblant ces failles, vous pouvez éliminer la grande majorité des problèmes d'authentification de votre organisation.
Dans cet épisode, nous allons apprendre :
- Comment certaines vulnérabilités d'authentification courantes sont exploitées
- Pourquoi sont-ils si dangereux
- Quelles politiques et techniques peuvent être utilisées pour éliminer les vulnérabilités d'authentification.
Comment les attaquants exploitent-ils les vulnérabilités d'authentification ?
De nombreuses vulnérabilités d'authentification peuvent s'infiltrer dans un système d'authentification, de sorte que les pirates informatiques exploitent chacune d'elles un peu différemment. Passons d'abord en revue les vulnérabilités les plus courantes, puis donnons des exemples montrant comment certaines d'entre elles peuvent être exploitées.
Les vulnérabilités d'authentification les plus courantes sont les suivantes :
- Avoir des politiques de mots de passe faibles ou inadéquates,
- Permettre un nombre illimité de tentatives de connexion,
- Fournir des informations à un attaquant en cas d'échec de connexion,
- Envoi d'informations d'identification via des canaux non sécurisés,
- Hachage faible des mots de passe,
- Et avoir un processus de récupération de mot de passe non sécurisé.
Le fait d'avoir une politique de mot de passe faible est probablement la vulnérabilité la plus courante. Si les utilisateurs sont autorisés à créer des mots de passe sans aucune restriction, beaucoup trop d'entre eux utiliseront des mots de passe faciles à deviner. Chaque année, diverses agences de presse informatiques publient une liste des mots de passe les plus utilisés, et « 123456 » et « mot de passe » figurent toujours parmi les cinq premiers. Il y en a d'autres. Les administrateurs aiment beaucoup utiliser « Dieu ». C'est vrai, ils sont tous humoristiques ou faciles à retenir, mais aussi très faciles à deviner. Les pirates informatiques connaissent les mots de passe les plus courants et les essaient d'abord lorsqu'ils tentent de pénétrer dans un système. Si ce type de mot de passe est autorisé dans votre organisation, vous finirez par être piraté.
Une vulnérabilité moins évidente mais toujours dangereuse consiste à fournir des informations à un utilisateur concernant un échec de connexion. C'est dommage car si vous renvoyez un message alors qu'un nom d'utilisateur n'existe pas et un autre lorsqu'un nom d'utilisateur existe mais que le mot de passe est incorrect, cela permet aux attaquants de cartographier les utilisateurs valides sur un système et de se concentrer sur la recherche de mots de passe uniquement pour ces noms d'utilisateur. Si cela est combiné à la vulnérabilité d'authentification qui permet de deviner un nombre illimité de mots de passe, cela permettrait aux attaquants de lancer des attaques par dictionnaire contre les utilisateurs valides qu'ils ont trouvés, ce qui pourrait les faire entrer dans un système assez rapidement si le mot de passe est facile à deviner.
Pourquoi les vulnérabilités d'authentification sont-elles si dangereuses ?
Un conte classique du Far West américain raconte l'histoire d'un fermier paranoïaque qui a installé des serrures triples sur sa porte d'entrée, barricadé ses fenêtres et dormi avec de nombreuses armes à feu à portée de main. Le matin, il a été retrouvé mort. Ses agresseurs l'ont attaqué parce qu'il avait oublié de verrouiller la porte arrière. Les vulnérabilités d'authentification ressemblent beaucoup à cela. Peu importe le type d'outils de surveillance ou de contrôles proactifs que vous avez mis en place ou le nombre d'analystes experts que vous employez, si un attaquant peut utiliser un nom d'utilisateur et un mot de passe valides pour accéder à votre réseau.
Une fois à l'intérieur, il y a très peu de restrictions quant à ce que peut faire cet attaquant. Tant qu'ils agissent dans les limites de leurs autorisations d'utilisateur, qui peuvent être assez étendues s'ils ont compromis un compte administrateur, il y a très peu de chances qu'ils soient détectés à temps pour éviter de graves problèmes. Cela fait de la classe de vulnérabilités d'authentification l'une des plus dangereuses de tous les systèmes.
Éliminer les vulnérabilités liées à l'authentification
L'un des meilleurs moyens d'éliminer les vulnérabilités d'authentification d'un réseau est de mettre en place de bonnes politiques de mots de passe appliquées à l'échelle mondiale. Non seulement les utilisateurs, même les administrateurs, ne devraient pas être autorisés à utiliser des mots de passe tels que « mot de passe », mais ils devraient également être contraints d'ajouter un niveau de complexité qui empêcherait un attaquant d'appliquer un dictionnaire ou des phrases courantes à une attaque. Vous pouvez définir vos propres règles pour la création de mots de passe en fonction de l'importance de la protection du système. Il sera ainsi beaucoup plus difficile pour les attaquants de deviner les mots de passe ou de les utiliser par force brute.
Vous devez également limiter le nombre de tentatives de connexion infructueuses afin que, si un mot de passe incorrect est saisi plus de trois fois, l'utilisateur soit bloqué. Le verrouillage peut être temporaire, car même quelques minutes de retard empêcheront les attaques automatisées par dictionnaire de se poursuivre. Il peut également être permanent à moins que le compte ne soit déverrouillé par un administrateur. Dans les deux cas, le personnel de sécurité doit être alerté chaque fois qu'un tel verrouillage se produit afin qu'il puisse suivre la situation.
Un autre bon moyen d'empêcher les attaquants de collecter des informations est de créer un message générique chaque fois qu'un nom d'utilisateur ou un mot de passe erroné est saisi. Il devrait en être de même dans les deux cas afin que les pirates informatiques ne sachent pas s'ils ont été rejetés parce qu'un utilisateur n'existe pas ou parce qu'il a un mot de passe erroné.
Les vulnérabilités d'authentification sont parmi les plus courantes et les plus dangereuses sur la plupart des systèmes. Mais ils sont également assez faciles à trouver et à éliminer.
Plus d'informations sur les vulnérabilités d'authentification
Pour en savoir plus, vous pouvez consulter l'OWASP aide-mémoire sur l'authentification. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Passez à la vitesse supérieure et affrontez de front une vulnérabilité d'authentification sur la plateforme Secure Code Warrior : [Commencez ici]
Inhaltsverzeichnis
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
