Broken authentication

(1)

Broken authentication

(2)

Sommaire

- Définition de Broken Authentication - Les vulnérabilités de l’authentification - Comment s’en protéger

- La gestion de session

- les vulnérabilités de la session - Comment s’en protéger

- Conclusion

(3)

Qu’est que “Broken authentication” ?

Groupe de vulnérabilités concernant la gestion de l’authentification et de la session

=> usurpation d’identité

(4)

Fonctionnement de l’Authentiﬁcation

● Utiliser un identifiant et un mot

de passe pour se connecter un a

système/site/applications

(5)

Failles exploitables de l’authentiﬁcation?

● Brute Force

● Credential Stuffing

● Vulnérabilités via HTTP

(6)

● Très basique

● Attaque par dictionnaire ( mots de passes fuités courants, ou non)

● 23,2 millions d’utilisateurs avec le mot de passe « 123456 » (2019)

Failles exploitables de de l’authentiﬁcation ?

Brute Force

(7)

Failles exploitables de l’authentiﬁcation ?

● Utilisation de listes de couple id/password volées

● Automatisation des tentatives de connexion (Selenium, Curl, ...)

Credential Stuffing

(8)

Comment se protéger du password Spraying ?

- Empêcher les mots de passes faibles ( + de 8 caractères, connus des dictionnaires) - Comparer les mots de passe avec un dictionnaire.

- Refuser les tentatives de connexions d’IP blacklistées.

- Ban IP si trop de tentatives.

- Captcha

(9)

Comment se protéger du crédential stufﬁng ?

Le plus efficace :

- Utiliser de l'authentification à plusieurs facteurs (SMS , application).

Solutions alternative ou complémentaires:

- Code de sécurité, question secrète.

- Captcha (recaptcha)

- Identifier les mots de passe fuités

- Notifier l’utilisateur d’une activité suspecte

(10)

Vulnérabilités via HTTP

Plusieurs moyens de voler un mot de passe si le site utilise HTTPS et non HTTPS (1.3)

- Sniffing de réseau pour voir le login/mot de passe dans la requête

- Password reset poisoning

(11)

Snifﬁng

(12)

Password reset poisoning

(13)

Fonctionnement d’une session

● La gestion de session fait partie d'une authentification

● Ensemble de transactions associées à un utilisateur au cours d'une période donnée .

● Identifier grâce à un identifiant de session unique pour chaque visite

● Un identifiant de session piraté est aussi

fort qu'un identifiant de connexion volé.

(14)

Vole de l’identiﬁant de session

● Jeton de session prévisible

● Session Sniﬃng

● Attaques côté client (XSS)

<SCRIPT>

alert(document.cookie);

</SCRIPT>

(15)

Failles exploitables de la session ?

Session Hijaking

Les attaquants utilisent des identifiants de

session volés pour usurper l'identité des

utilisateurs.

(16)

La "réécriture d'URL" est un autre moyen courant de détourner une session. Dans ce scénario, l'ID de session d'un individu apparaît dans l'URL d'un site Web. Quiconque peut le voir (par exemple via une connexion Wi-Fi non sécurisée) peut se connecter à la session.

Failles exploitables de la session ?

Session ID URL Rewriting

Ex: Le “Zoombombing”

(17)

Failles exploitables de la session ?

Session Fixations

(18)

Failles exploitables de la session ?

Jeton de session dans l'argument URL

Jeton de session dans un champ de formulaire hidden Identifiant de session dans un cookie

Session Fixations

3 Méthodes pour exécuter l’attaque

Ex: http://website.kom/<script>document.cookie=”sessionid=abcd”;</script>

(19)

Comment se protéger de la broken authentication ?

- Pour éviter la fixation de session, on peut faire pivoter les ID de session après la connexion d'un utilisateur, pour qu’il n’ait pas le même ID avant et après

Broken authentication

Broken authentication

Sommaire

- Définition de Broken Authentication - Les vulnérabilités de l’authentification - Comment s’en protéger

- La gestion de session

- les vulnérabilités de la session - Comment s’en protéger

- Conclusion

Qu’est que “Broken authentication” ?

Groupe de vulnérabilités concernant la gestion de l’authentification et de la session

=> usurpation d’identité

Fonctionnement de l’Authentiﬁcation

● Utiliser un identifiant et un mot

de passe pour se connecter un a

système/site/applications

Failles exploitables de l’authentiﬁcation?

● Brute Force

● Credential Stuffing

● Vulnérabilités via HTTP

● Très basique

● Attaque par dictionnaire ( mots de passes fuités courants, ou non)

● 23,2 millions d’utilisateurs avec le mot de passe « 123456 » (2019)

Failles exploitables de de l’authentiﬁcation ?

Brute Force

Failles exploitables de l’authentiﬁcation ?

● Utilisation de listes de couple id/password volées

● Automatisation des tentatives de connexion (Selenium, Curl, ...)

Credential Stuffing

Comment se protéger du password Spraying ?

- Empêcher les mots de passes faibles ( + de 8 caractères, connus des dictionnaires) - Comparer les mots de passe avec un dictionnaire.

- Refuser les tentatives de connexions d’IP blacklistées.

- Ban IP si trop de tentatives.

- Captcha

Comment se protéger du crédential stufﬁng ?

Le plus efficace :

- Utiliser de l'authentification à plusieurs facteurs (SMS , application).

Solutions alternative ou complémentaires:

- Code de sécurité, question secrète.

- Captcha (recaptcha)

- Identifier les mots de passe fuités

- Notifier l’utilisateur d’une activité suspecte

Vulnérabilités via HTTP

Plusieurs moyens de voler un mot de passe si le site utilise HTTPS et non HTTPS (1.3)

- Sniffing de réseau pour voir le login/mot de passe dans la requête

- Password reset poisoning

Snifﬁng

Password reset poisoning

Fonctionnement d’une session

● La gestion de session fait partie d'une authentification

● Ensemble de transactions associées à un utilisateur au cours d'une période donnée .

● Identifier grâce à un identifiant de session unique pour chaque visite

● Un identifiant de session piraté est aussi

fort qu'un identifiant de connexion volé.

Vole de l’identiﬁant de session

● Jeton de session prévisible

● Session Sniﬃng

● Attaques côté client (XSS)

<SCRIPT>

alert(document.cookie);

</SCRIPT>

Failles exploitables de la session ?

Session Hijaking

Les attaquants utilisent des identifiants de

session volés pour usurper l'identité des

utilisateurs.

La "réécriture d'URL" est un autre moyen courant de détourner une session. Dans ce scénario, l'ID de session d'un individu apparaît dans l'URL d'un site Web. Quiconque peut le voir (par exemple via une connexion Wi-Fi non sécurisée) peut se connecter à la session.

Failles exploitables de la session ?

Session ID URL Rewriting

Ex: Le “Zoombombing”

Failles exploitables de la session ?

Session Fixations

Failles exploitables de la session ?

Jeton de session dans l'argument URL

Jeton de session dans un champ de formulaire hidden Identifiant de session dans un cookie

Session Fixations

3 Méthodes pour exécuter l’attaque

Ex: http://website.kom/<script>document.cookie=”sessionid=abcd”;</script>

Comment se protéger de la broken authentication ?

- Pour éviter la fixation de session, on peut faire pivoter les ID de session après la connexion d'un utilisateur, pour qu’il n’ait pas le même ID avant et après

l'authentification

- Pas ID de session dans l’URL