Passer au contenu principal

Avant de commencer

Pour utiliser l’une des intégrations prises en charge avec un fournisseur CAPTCHA tiers, vous avez besoin des paramètres de configuration du fournisseur. Pour en savoir plus, consultez Configurer les intégrations avec des fournisseurs CAPTCHA tiers.
atténue les attaques automatisées en détectant qu’une requête provient probablement d’un bot. Ces types d’attaques sont parfois appelés attaques de bourrage d’identifiants ou attaques de validation de listes. La détection des bots offre une protection contre certaines attaques tout en imposant très peu de contraintes aux utilisateurs légitimes. Auth Challenge est notre réponse par défaut de détection des bots et fournit une vérification de l’utilisateur sans CAPTCHA. Pour en savoir plus, consultez Credential Stuffing Attacks: What Are They and How to Combat Them. Auth0 utilise une grande quantité de données et des modèles statistiques pour repérer les tendances qui indiquent quand des pics de trafic de connexion, d’inscription ou de réinitialisation du mot de passe proviennent probablement d’un bot ou d’un script. Les utilisateurs qui tentent de se connecter, de créer un compte ou de réinitialiser leur mot de passe à partir d’adresses IP ayant une forte probabilité d’être associées à une attaque de bourrage d’identifiants doivent effectuer une étape de vérification supplémentaire. Ces déclencheurs détectent le trafic lié à ces attaques sans imposer de contraintes inutiles aux utilisateurs légitimes.

Configurer la détection des bots

Lorsqu’elle est activée, vous pouvez personnaliser les préférences de la détection des bots, comme le modèle de détection et les actions de réponse, qui s’appliquent à toutes les connexions de votre locataire. Si vous ne configurez pas les actions de Response alors que la détection des bots est activée, la détection des bots fonctionne en mode Monitoring. Le mode Monitoring enregistre les événements associés, y compris les détails de l’évaluation des risques, dans les journaux de votre locataire afin que vous puissiez les consulter. Pour en savoir plus, consultez Afficher les événements du journal d’Attack Protection. Vous pouvez activer les journaux du locataire pour l’évaluation des risques dans l’Auth0 Dashboard.
  1. Accédez à Dashboard > Security > Attack Protection et sélectionnez Bot Detection.
  2. Dans la section Detection, activez le bouton bascule.
    Section Detection de l’écran Attack Protection
    Si vous ne voyez pas le bouton bascule permettant d’activer les journaux du locataire pour l’évaluation des risques, vous devrez peut-être mettre votre forfait à niveau.
  3. Dans la section Response, choisissez une réponse de détection des bots.
    Dashboard - Attack Protection - Bot Detection
    Lorsque vous utilisez Auth Challenge, le bouton bascule Fail open est désactivé par défaut. Si vous activez le bouton bascule Fail Open :
    • Lorsque le service de détection des bots est inaccessible, Auth0 priorise le processus d’authentification et poursuit sans défi CAPTCHA. Les utilisateurs finaux ne voient aucun message d’erreur et peuvent quand même ouvrir une session ou s’inscrire.
    • Lorsque le service de détection des bots est accessible, le processus d’authentification se poursuit avec un défi CAPTCHA.
    Auth Challenge est la réponse de détection des bots par défaut, et offre une expérience Web sans CAPTCHA, une meilleure protection de la vie privée et une meilleure expérience utilisateur.Comme indiqué dans le tableau de bord, cette expérience de connexion nécessite JavaScript; si votre expérience de connexion doit fonctionner sans JavaScript, sélectionnez Simple CAPTCHA.
  4. Sélectionnez à quel moment exiger un CAPTCHA pour les flux de mot de passe, les flux Passwordless et les flux de réinitialisation du mot de passe.
    • Jamais : n’exigez jamais que vos utilisateurs remplissent un CAPTCHA pour ouvrir une session.
    • Lorsque risqué : exigez seulement que vos utilisateurs remplissent un CAPTCHA si la connexion correspond à votre paramètre Niveau de détection des bots.
    • Toujours : exigez toujours que vos utilisateurs remplissent un CAPTCHA pour ouvrir une session.
  5. Si vous choisissez Lorsque risqué ou Toujours, le champ CAPTCHA Providers s’affichera dans la section Response. Sélectionnez Auth Challenge (fourni par Auth0), Simple CAPTCHA (fourni par Auth0) ou l’une des intégrations de fournisseurs tiers prises en charge (configuration et inscription externes requises).
    • Si vous choisissez Auth Challenge ou Simple CAPTCHA, vous avez terminé. Si votre expérience de connexion ne prend pas en charge JavaScript, vous devez sélectionner Simple CAPTCHA.
    • Si vous choisissez l’une de nos intégrations de fournisseurs tiers, saisissez les détails de configuration du fournisseur. Pour en savoir plus, consultez Configurer les intégrations de fournisseurs CAPTCHA tiers.
    • Si vous choisissez Simple CAPTCHA, l’image CAPTCHA n’est pas lisible par les lecteurs d’écran.
  6. Si vous choisissez Lorsque risqué, le champ Niveau de détection des bots s’affichera dans la section Response. Sélectionnez le niveau de sécurité qui convient le mieux à votre cas d’utilisation. Pour plus d’informations, consultez Configurer le niveau de détection des bots.
  7. Sélectionnez Save.

Configurer le niveau de détection des bots

Configurez le paramètre Niveau de détection des bots en fonction de votre tolérance au risque et des besoins de votre entreprise. Vous avez le choix entre trois niveaux :
  1. Faible : Déclenche un CAPTCHA lorsqu’il existe une forte probabilité d’activité de bots, offrant une expérience relativement fluide aux utilisateurs légitimes.
  2. Moyen : Par défaut. Déclenche un CAPTCHA lorsqu’il existe une probabilité modérée d’activité de bots, offrant un équilibre entre sécurité et expérience utilisateur.
  3. Élevé : Déclenche un CAPTCHA lorsqu’il existe une faible probabilité d’activité de bots, offrant une sécurité accrue, mais potentiellement plus de friction pour les utilisateurs légitimes.
Auth0 Dashboard > Security > Attack Protection pour accéder à ce curseur

Autoriser des adresses IP de confiance à contourner la détection des bots

Vous pouvez autoriser jusqu’à 100 adresses IP distinctes ou plages CIDR (IPv4 ou IPv6) à contourner la détection des bots en les ajoutant au champ liste d’adresses IP autorisées. Auth0 n’applique aucun blocage et n’envoie aucune alerte pour les adresses IP ou plages CIDR figurant dans cette liste.
  1. Accédez à Auth0 Dashboard > Sécurité > Attack Protection, puis sélectionnez détection des bots.
  2. Dans le champ liste d’adresses IP autorisées, saisissez les adresses IP ou plages CIDR que vous voulez soustraire à la détection des bots. Séparez plusieurs adresses ou plages par des virgules.

Configurer le modèle de détection des inscriptions pour la page de connexion personnalisée et l’expérience Classic Login

Auth0 fournit un modèle de détection des inscriptions fondé sur l’apprentissage automatique, distinct du modèle de connexion, qui traite différents types d’attaques en analysant des signaux distinctifs. Ce modèle permet au CAPTCHA de se comporter différemment dans les flux d’inscription et de connexion afin d’offrir une protection renforcée contre les attaques d’inscription et de tenir compte des plus récentes avancées en matière de sécurité.
Assurez-vous que toutes les applications utilisant Auth0.js et/ou Lock utilisent les versions les plus récentes de ces bibliothèques avant d’activer ce modèle :
  • Auth0.js : 9.28.0+
  • Lock : 13.0+
Si vous activez ce modèle tout en utilisant une bibliothèque obsolète, votre application peut générer des erreurs.
Vous pouvez configurer le modèle de détection utilisé par la détection des bots dans les flux d’inscription lorsque vous utilisez une page de connexion personnalisée ou l’expérience Classic Login dans le .
  1. Accédez à Dashboard > Security > Attack Protection, puis sélectionnez Bot Detection.
  2. Repérez la section Detection Models.
  3. Activez le bouton bascule pour Signup detection models for custom and classic login pages.

Restrictions et limites

Limitations des flux

La détection des bots fonctionne pour les applications Web et mobiles qui utilisent Auth0 Universal Login. Pour les applications qui n’utilisent pas , la prise en charge est limitée, en particulier pour les flux qui ne peuvent pas prendre en charge une vérification CAPTCHA ou reCAPTCHA. Assurez-vous que tous vos modes de connexion sont pris en charge avant d’activer la détection des bots, sinon vous risquez d’introduire des erreurs dans votre application.
FluxLimitation
Universal LoginPris en charge par défaut.
Classic Login (aucune personnalisation)Pris en charge par défaut.
Classic Login (page de connexion personnalisée utilisant le modèle Lock)Pris en charge si vous utilisez la version 12.4.0 ou ultérieure du SDK lock.js.
Classic Login (page de connexion personnalisée utilisant le modèle Custom Login Form)Pris en charge si vous utilisez la version 9.24 ou ultérieure du SDK auth0.js et si vous adaptez votre code pour gérer une vérification CAPTCHA ou reCAPTCHA.
Applications nativesPris en charge si vous utilisez l’un des SDK suivants :
  • Auth0.swift version 1.28.0+
  • Auth0.Android version 1.25.0+
  • Lock.Swift version 2.19.0+
  • Lock.Android version 2.22.0+
Applications Web standard ou applications natives utilisant le flux de mot de passe du propriétaire de la ressourcePris en charge de façon limitée. Une réponse de la détection des bots, comme un CAPTCHA, nécessite un flux interactif et n’est donc pas prise en charge. Si l’erreur requires_verification est renvoyée par le SDK, vous devez déclencher un flux de connexion Web pour que l’utilisateur termine l’authentification.
Flux non hébergés par Auth0 utilisant le SDK lock.js ou auth0.js et effectuant une authentification inter-origine (point de terminaison co/authenticate)Non pris en charge.

Limitations des types de connexion

Selon les types de connexions utilisés, la détection des bots comporte les limitations suivantes.
Type de connexionLimitation
Base de donnéesPrise en charge si la connexion s’effectue au moyen d’un flux de connexion compatible, comme décrit dans le tableau des limitations des flux.
Base de données personnaliséePrise en charge si la connexion s’effectue au moyen d’un flux de connexion compatible, comme décrit dans le tableau des limitations des flux.
Active Directory/LDAPPrise en charge si la connexion s’effectue au moyen d’un flux de connexion compatible, comme décrit dans le tableau des limitations des flux.
EntrepriseNon prise en charge.
Connexion socialeNon prise en charge.
PasswordlessPrise en charge si la connexion s’effectue au moyen d’un flux de connexion compatible, comme décrit dans le tableau des limitations des flux.

Prise en charge des pages de connexion personnalisées

Si vous créez une page de connexion personnalisée à l’aide d’Auth0.js, vous pouvez activer la détection des bots pour afficher une étape de CAPTCHA lorsqu’une tentative de connexion est considérée comme présentant un risque élevé par Auth0. Le code de votre formulaire de connexion personnalisé doit gérer les cas où l’utilisateur est invité à réussir une étape de CAPTCHA. Pour en savoir plus, consultez Ajouter la détection des bots aux pages de connexion personnalisées.

Prise en charge des applications natives

Si vous créez des applications natives à l’aide d’un SDK Auth0 pour le flux de connexion, vous pouvez activer la détection des bots afin d’afficher une étape de CAPTCHA lorsqu’Auth0 détermine qu’une tentative de connexion présente un risque élevé. Le code de votre formulaire de connexion personnalisé doit gérer les cas où l’utilisateur doit effectuer une étape de CAPTCHA. Pour en savoir plus, consultez Add Bot Detection to Native Applications.

En savoir plus