Passer au contenu principal
La protection contre les attaques par force brute détermine comment Auth0 réagit à plusieurs tentatives de connexion infructueuses à un compte d’utilisateur à partir d’une même adresse IP. Vous pouvez configurer la protection contre les attaques par force brute pour :
  • Bloquer les connexions à partir de l’adresse IP d’origine pour cet utilisateur
  • Empêcher toute tentative de connexion pour cet utilisateur
  • Aviser l’utilisateur par courriel ou par SMS
Par défaut, la protection contre les attaques par force brute est activée lorsque vous créez un locataire Auth0. La protection contre les attaques par force brute s’applique à tous les utilisateurs, y compris aux administrateurs du locataire. Nous vous recommandons fortement de laisser la protection contre les attaques par force brute activée pour vos connexions et d’avoir un administrateur secondaire du locataire afin de pouvoir débloquer d’autres comptes d’administrateur.

Configurer la protection contre les attaques par force brute

Vous pouvez activer, personnaliser et désactiver la protection contre les attaques par force brute dans Dashboard > Security > Attack Protection > Brute-force Protection, qui comprend les paramètres suivants :
  • Le bouton bascule en haut de la page permet d’activer ou de désactiver la protection contre les attaques par force brute. L’état actuel est affiché dans l’indicateur d’état Enabled / Disabled.
  • La section Detection contient les paramètres de seuil de force brute et de liste d’adresses IP autorisées.
  • La section Response contient les paramètres de blocage et de notifications.
Si vous activez la protection contre les attaques par force brute, mais désactivez tous les paramètres de réponse, l’indicateur d’état passe à Monitoring et Auth0 consigne les événements de protection contre les attaques dans le journal de votre locataire, sans prendre d’autres mesures.
Pour que la protection contre les attaques par force brute fonctionne lorsque vous utilisez le flux Resource Owner Password (ROP), vous devez configurer votre application pour envoyer l’adresse IP de l’utilisateur au moyen de l’en-tête auth0-forwarded-for.

Seuil de force brute

Le seuil de force brute correspond au nombre de tentatives de connexion incorrectes autorisées à partir d’une seule adresse IP pour un seul identifiant d’utilisateur avant le déclenchement de la protection contre les attaques par force brute. Deux options sont offertes :
  • Par défaut règle le seuil de force brute à 10.
  • Personnalisé vous permet de régler le seuil de force brute à une valeur comprise entre 1 et 100.
Dès que nous avons terminé de traiter la tentative de connexion échouée qui atteint le seuil de force brute que vous avez défini, nous appliquons les mesures d’atténuation d’attaque que vous avez sélectionnées. Lorsque vous utilisez un SDK Auth0 avec des méthodes asynchrones, un identifiant d’utilisateur peut envoyer à votre application plus de requêtes d’authentification successives que le seuil de force brute que vous avez configuré. Toutefois, dès qu’une requête atteint ce seuil, nous répondons aux requêtes subséquentes provenant de cet identifiant d’utilisateur par une erreur HTTP 429 too_many_attempts.

Liste d’adresses IP autorisées

La liste d’adresses IP autorisées est une liste d’adresses IPv4 ou IPv6, ou de plages en notation CIDR, séparées par des virgules. Les tentatives de connexion provenant d’adresses IP figurant dans cette liste sont exemptées de la protection contre les attaques par force brute. Vous pouvez utiliser la liste d’adresses IP autorisées pour définir des adresses IP ou des plages de confiance, par exemple lorsque des utilisateurs se trouvent derrière un proxy.

Paramètres de blocage

Les paramètres de blocage de la protection contre les attaques par force brute déterminent si et comment Auth0 bloque d’autres tentatives de connexion à un compte d’utilisateur précis lorsque la détection d’une attaque par force brute est déclenchée. Deux options sont offertes :
  • Bloquer les connexions par force brute bloque les tentatives de connexion supplémentaires pour l’identifiant d’utilisateur donné à partir de l’adresse IP qui a déclenché la protection contre les attaques par force brute. Cette option est activée par défaut.
  • Verrouillage de compte bloque toutes les tentatives de connexion pour l’identifiant d’utilisateur donné. Cette option est désactivée par défaut.

Notifications

Si l’option Envoyer des notifications aux utilisateurs concernés est activée, Auth0 envoie une notification par SMS ou par courriel à l’utilisateur lorsque son compte est bloqué. Auth0 envoie un SMS à l’utilisateur s’il utilise un numéro de téléphone comme identifiant dans le flux de connexion. Les notifications par SMS sont limitées à un maximum de 1 par heure par identifiant. Auth0 envoie un courriel à l’utilisateur si une adresse courriel est associée à son compte. Les notifications par courriel sont limitées à un maximum de 1 par heure par adresse IP unique. Par défaut, les notifications par courriel de compte bloqué contiennent un lien qui permet à l’utilisateur de débloquer son compte.

Supprimer les blocages liés à la protection contre les attaques par force brute

Les blocages liés à la protection contre les attaques par force brute restent en vigueur jusqu’à ce que l’un des événements suivants se produise.
  • Trente (30) jours se sont écoulés depuis la dernière tentative de connexion infructueuse.
  • Un administrateur supprime le blocage lié à la protection contre les attaques par force brute à l’aide de la Management API et de l’un des points de terminaison suivants :
Les blocages appliqués par l’administrateur du locataire sont gérés séparément des blocages liés à la protection contre les attaques par force brute. Pour en savoir plus, consultez la suppression des blocages appliqués par l’administrateur du locataire.
  • Un administrateur augmente le seuil de force brute.
  • L’utilisateur concerné sélectionne le lien de déblocage dans la notification par courriel, si elle est configurée.
  • L’utilisateur concerné modifie son mot de passe. Si le compte d’un utilisateur est lié à plusieurs types de connexion, comme un compte OTP et un compte de base de données, il doit modifier son mot de passe sur tous les comptes liés pour supprimer le blocage.

En savoir plus