Quest-ce que la récolte de compte ?

Il existe de nombreux types de violations de données. Certains impliquent d'énormes quantités de temps, de planification et d'efforts de la part de l'attaquant. Cela peut prendre la forme d'apprendre comment un système fonctionne avant de rédiger un message de phishing convaincant et de l'envoyer à un employé disposant d'un accès suffisant pour permettre à l'attaquant de voler des détails sensibles. Ce type d'attaque peut entraîner une énorme quantité de données perdues. Le code source et les données de l'entreprise sont des cibles communes. D'autres cibles incluent les données utilisateur telles que les noms d'utilisateur, les mots de passe, les détails de paiement et les PII tels que les numéros de sécurité sociale et les numéros de téléphone.

Certaines attaques ne sont cependant pas aussi compliquées. Certes, ils n'ont pas non plus un impact aussi important sur toutes les personnes concernées. Cela ne signifie pas pour autant qu'ils ne sont pas un problème. Un exemple est appelé récolte de comptes ou énumération de comptes.

Énumération des comptes

Avez-vous déjà essayé de vous connecter à un site Web uniquement pour qu'il vous dise que votre mot de passe était erroné ? C'est plutôt un message d'erreur spécifique, n'est-ce pas ? Il est possible que si vous faites délibérément une faute de frappe dans votre nom d'utilisateur ou votre adresse e-mail, le site Web vous dira qu'il n'existe pas de « compte avec cet e-mail » ou quelque chose du genre. Vous voyez la différence entre ces deux messages d'erreur ? Les sites Web qui le font sont vulnérables à l'énumération ou à la collecte de comptes. En termes simples, en fournissant deux messages d'erreur différents pour les deux scénarios différents, il est possible de déterminer si un nom d'utilisateur ou une adresse e-mail a un compte valide avec le service ou non.

Il existe de nombreuses façons d'identifier ce type de problème. Le scénario ci-dessus des deux messages d'erreur différents est assez visible. Il est également facile à corriger, il suffit de fournir un message d'erreur générique pour les deux cas. Quelque chose comme "Le nom d'utilisateur ou le mot de passe que vous avez entré était incorrect".

Les autres moyens de récolter des comptes incluent les formulaires de réinitialisation de mot de passe. Pouvoir récupérer votre compte si vous oubliez votre mot de passe est pratique. Un site Web mal sécurisé peut à nouveau fournir deux messages différents selon que le nom d'utilisateur pour lequel vous avez essayé d'envoyer une réinitialisation de mot de passe existe. Imaginez : "Le compte n'existe pas" et "Réinitialisation du mot de passe envoyée, vérifiez votre messagerie". Encore une fois dans ce scénario, il est possible de déterminer si un compte existe en comparant les réponses. La solution est la même aussi. Fournissez une réponse générique, quelque chose comme : "Un e-mail de réinitialisation de mot de passe a été envoyé" même s'il n'y a pas de compte de messagerie auquel l'envoyer.

Subtilité dans la récolte des comptes

Les deux méthodes ci-dessus sont quelque peu bruyantes en termes d'empreinte. Si un attaquant essaie d'effectuer l'une ou l'autre attaque à grande échelle, cela apparaîtra assez facilement dans pratiquement n'importe quel système de journalisation. La méthode de réinitialisation du mot de passe envoie également explicitement un e-mail à tout compte qui existe réellement. Être bruyant n'est pas la meilleure idée si vous essayez d'être sournois.

Certains sites Web permettent une interaction ou une visibilité directe de l'utilisateur. Dans ce cas, simplement en naviguant sur le site Web, vous pouvez rassembler les noms d'écran de chaque compte que vous utilisez. Le pseudonyme peut souvent être le nom d'utilisateur. Dans de nombreux autres cas, cela peut donner un indice important sur les noms d'utilisateur à deviner, car les gens utilisent couramment des variantes de leurs noms dans leurs adresses e-mail. Ce type de récolte de compte interagit avec le service mais est essentiellement indiscernable de l'utilisation standard, et est donc beaucoup plus subtil.

Une excellente façon d'être subtil est de ne jamais toucher du tout au site Web attaqué. Si un attaquant essayait d'accéder à un site Web d'entreprise réservé aux employés, il pourrait être en mesure de faire exactement cela. Plutôt que de vérifier le site lui-même pour les problèmes d'énumération des utilisateurs, ils peuvent aller ailleurs. En parcourant des sites comme Facebook, Twitter et surtout LinkedIn, il peut être possible de se constituer une assez bonne liste d'employés d'une entreprise. Si l'attaquant peut alors déterminer le format d'e-mail de l'entreprise, tel que [email protected], il peut en fait récolter un grand nombre de comptes sans jamais se connecter au site Web qu'il prévoit d'attaquer avec eux.

Peu de choses peuvent être faites contre l'une ou l'autre de ces techniques de récolte de comptes. Elles sont moins fiables que les premières méthodes mais peuvent être utilisées pour renseigner des méthodes plus actives d'énumération des comptes.

Le diable est dans les détails

Un message d'erreur générique est généralement la solution pour empêcher l'énumération des comptes actifs. Parfois cependant, ce sont les petits détails qui trahissent le jeu. Selon les normes, les serveurs Web fournissent des codes d'état lorsqu'ils répondent aux demandes. 200 est le code d'état pour "OK" signifiant succès, et 501 est une "erreur interne du serveur". Un site Web devrait avoir un message générique indiquant qu'une réinitialisation de mot de passe a été envoyée, même si ce n'était pas le cas, car il n'y avait pas de compte avec le nom d'utilisateur ou l'adresse e-mail fournis. Dans certains cas, le serveur enverra toujours le code d'erreur 501, même si le site Web affiche un message de réussite. Pour un attaquant attentif aux détails, cela suffit à dire que le compte existe vraiment ou n'existe pas.

En ce qui concerne les noms d'utilisateur et les mots de passe, même le temps peut jouer un rôle. Un site Web doit stocker votre mot de passe, mais pour éviter de le divulguer au cas où il serait compromis ou aurait un initié malhonnête, la pratique standard consiste à hacher le mot de passe. Un hachage cryptographique est une fonction mathématique à sens unique qui, si on lui donne la même entrée, donne toujours la même sortie, mais si même un seul caractère dans l'entrée change, la sortie entière change complètement. En stockant la sortie du hachage, puis en hachant le mot de passe que vous soumettez et en comparant le hachage stocké, il est possible de vérifier que vous avez soumis le bon mot de passe sans jamais connaître votre mot de passe.

Assembler les détails

Les bons algorithmes de hachage prennent un certain temps, généralement moins d'un dixième de seconde. C'est suffisant pour rendre difficile la force brute mais pas trop long pour être encombrant lorsque vous ne cochez qu'une seule valeur. il pourrait être tentant pour un ingénieur de site Web de couper un coin et de ne pas prendre la peine de hacher le mot de passe si le nom d'utilisateur n'existe pas. Je veux dire, il n'y a pas vraiment de point car il n'y a rien à comparer. Le problème c'est le temps.

Les requêtes Web voient généralement une réponse en quelques dizaines voire une centaine de millisecondes. Si le processus de hachage du mot de passe prend 100 millisecondes et que le développeur l'ignore… cela peut être perceptible. Dans ce cas, une demande d'authentification pour un compte qui n'existe pas obtiendrait une réponse en 50 ms environ en raison de la latence de communication. Une demande d'authentification pour un compte valide avec un mot de passe invalide peut prendre environ 150 ms, ce qui inclut la latence de communication ainsi que les 100 ms pendant que le serveur hache le mot de passe. En vérifiant simplement combien de temps il a fallu pour qu'une réponse revienne, l'attaquant peut déterminer avec une précision assez fiable si un compte existe ou non.

Les possibilités d'énumération axées sur les détails comme celles-ci peuvent être tout aussi efficaces que les méthodes plus évidentes de collecte de comptes d'utilisateurs valides.

Effets de la récolte de compte

À première vue, être capable d'identifier si un compte existe ou non sur un site peut ne pas sembler trop problématique. Ce n'est pas comme si l'attaquant avait pu accéder au compte ou quoi que ce soit. Les problèmes ont tendance à avoir une portée un peu plus large. Les noms d'utilisateur ont tendance à être soit des adresses e-mail, soit des pseudonymes, soit basés sur de vrais noms. Un vrai nom peut facilement être lié à un individu. Les adresses e-mail et les pseudonymes ont également tendance à être réutilisés par une seule personne, ce qui leur permet d'être liés à une personne spécifique.

Alors, imaginez si un attaquant peut déterminer que votre adresse e-mail a un compte sur un site Web d'avocats spécialisés en divorce. Qu'en est-il d'un site Web sur des affiliations politiques de niche ou des conditions de santé spécifiques. Ce genre de chose pourrait en fait divulguer des informations sensibles sur vous. Des informations que vous ne voudrez peut-être pas diffuser.

De plus, de nombreuses personnes réutilisent encore les mots de passe sur plusieurs sites Web. Ceci malgré le fait que presque tout le monde soit au courant des conseils de sécurité pour utiliser des mots de passe uniques pour tout. Si votre adresse e-mail est impliquée dans une violation de données massives, il est possible que le hachage de votre mot de passe soit inclus dans cette violation. Si un attaquant est capable d'utiliser la force brute pour deviner votre mot de passe à partir de cette violation de données, il peut essayer de l'utiliser ailleurs. À ce stade, un attaquant connaîtrait votre adresse e-mail et un mot de passe que vous pourriez utiliser. S'ils peuvent énumérer des comptes sur un site sur lequel vous avez un compte, ils peuvent essayer ce mot de passe. Si vous avez réutilisé ce mot de passe sur ce site, l'attaquant peut accéder à votre compte. C'est pourquoi il est recommandé d'utiliser des mots de passe uniques pour tout.

Conclusion

La collecte de comptes, également appelée énumération de comptes, est un problème de sécurité. Une vulnérabilité d'énumération de compte permet à un attaquant de déterminer si un compte existe ou non. En tant que vulnérabilité de divulgation d'informations, son effet direct n'est pas nécessairement grave. Le problème est que lorsqu'il est combiné avec d'autres informations, la situation peut empirer. Il peut en résulter l'existence de détails sensibles ou privés pouvant être liés à une personne spécifique. Il peut également être utilisé en combinaison avec des violations de données de tiers pour accéder aux comptes.

Il n'y a pas non plus de raison légitime pour qu'un site Web divulgue ces informations. Si un utilisateur fait une erreur dans son nom d'utilisateur ou son mot de passe, il lui suffit de vérifier deux choses pour voir où il a commis l'erreur. Le risque causé par les vulnérabilités d'énumération de compte est bien plus important que l'avantage extrêmement mineur qu'elles peuvent fournir à un utilisateur qui a fait une faute de frappe dans le nom d'utilisateur ou le mot de passe.