Passer au contenu principal

Avant de commencer

Vous devez configurer la Protection contre les mots de passe compromis et mettre en place des alertes de seuil.
Des acteurs malveillants peuvent prendre l’authentification par mot de passe pour cible et lancer des attaques contre votre locataire. Le contenu ci-dessous explique comment repérer et examiner les attaques potentielles, puis appliquer les mesures correctives requises pour protéger les utilisateurs et limiter les risques supplémentaires.

Repérer les événements du journal pertinents

Lorsque vous déterminez la réponse à apporter, commencez par passer en revue les messages du journal pertinents afin de repérer d’éventuelles attaques. Par exemple, l’attaque peut provenir d’un nombre limité d’adresses IP, d’un seul numéro de système autonome (ASN) ou d’un seul pays. Les types d’événements du journal du locataire Auth0 ci-dessous sont pertinents pour enquêter sur une attaque par force brute.
  1. f : échec de connexion d’un utilisateur
  2. fu : échec de connexion d’un utilisateur en raison d’un nom d’utilisateur invalide
  3. fp : échec de connexion d’un utilisateur en raison d’un mot de passe invalide
  4. pwd_leak : tentative de connexion avec un mot de passe ayant fait l’objet d’une fuite
  5. signup_pwd_leak : tentative d’inscription avec un mot de passe ayant fait l’objet d’une fuite
  6. fcoa : échec de l’authentification inter-origine (ces événements sont générés par /co/authenticate, qui ne devrait pas être activé à moins d’être strictement nécessaire)
  7. scoa : authentification inter-origine réussie (ces événements sont générés par /co/authenticate, qui ne devrait pas être activé à moins d’être strictement nécessaire)

Repérer les attaques par mots de passe compromis

Les attaquants ont souvent recours à des techniques de force brute (TT1110) pour compromettre l’authentification par mot de passe, en utilisant des réseaux de robots pour deviner des mots de passe et créer des comptes avec des identifiants réutilisés afin de tester les comptes utilisateur.

Tentatives de deviner les mots de passe

Le plus souvent employée par des adversaires peu sophistiqués, l’attaque par tentative de mots de passe (TT1110.001) consiste pour les attaquants à arriver avec peu de connaissances préalables sur les politiques de votre locataire et à essayer de deviner des mots de passe à répétition pour accéder à des comptes. Comme les attaquants essaient simplement de déterminer si un utilisateur existe et de deviner son mot de passe, vous verrez un grand nombre d’événements fp, fu et fcoa dans vos événements du journal Auth0.

Password spraying

Les adversaires utilisent le password spraying (TT1110.003) comme attaque opportuniste à grande échelle pour tenter d’accéder à des comptes d’utilisateurs légitimes. Comme ils essaient des mots de passe couramment utilisés pour atteindre leurs objectifs, ces attaques déclenchent souvent les protections d’Auth0 contre la force brute. Comme pour les attaques par tentative de mots de passe, un nombre élevé d’événements fp, fu et fcoa dans vos journaux constitue le meilleur indicateur que des attaquants tentent une attaque de password spraying.

Bourrage d’identifiants

Si votre locataire utilise des mots de passe sans exiger de facteur supplémentaire, le bourrage d’identifiants (TT1110.004) est la technique d’attaque par force brute la plus efficace. Ces attaques tirent parti des fuites de mots de passe et de leur réutilisation en tentant de se connecter au compte d’une victime à l’aide d’un dictionnaire de mots de passe divulgués. Les attaques par bourrage d’identifiants génèrent fréquemment des événements fp (car les attaquants sont plus susceptibles de savoir qu’un utilisateur existe) et des événements pwd_leak (car ils tentent de se connecter à l’aide d’identifiants compromis).

Stratégies d’atténuation

Une stratégie complète doit concilier la tolérance au risque de votre entreprise, ses capacités techniques et l’expérience vécue par vos utilisateurs lorsqu’ils se connectent. Pour déterminer votre réponse, tenez compte de deux facteurs principaux :
  • Friction utilisateur : évaluez l’impact des mesures d’atténuation (p. ex., la fréquence des CAPTCHA, les exigences relatives aux clés d’accès ou la ) sur l’expérience utilisateur.
  • Capacité technique : évaluez votre capacité à mettre en œuvre le blocage d’IP, des règles WAF et l’application de la MFA.
Auth0 recommande une approche de sécurité en couches qui combine plusieurs techniques d’atténuation pour une protection optimale. Voici les recommandations d’Auth0 :
  • Activez Bot Detection et bloquez les identifiants de connexion compromis, notamment en exigeant la MFA pour les comptes potentiellement compromis.
  • Activez le CAPTCHA pour un ou plusieurs flux et augmentez sa fréquence au besoin, mais rappelez-vous qu’un CAPTCHA est un moyen de dissuasion, pas une solution. Pour en savoir plus sur la , consultez le playbook Bot Detection.
  • Changez de fournisseur CAPTCHA si des attaquants contournent votre CAPTCHA actuel, ou envisagez de migrer vers Auth0 Auth Challenge ou un autre fournisseur pris en charge.
  • Modifiez les règles de votre pare-feu d’application Web à l’aide d’un fournisseur edge, ou utilisez des listes de contrôle d’accès du locataire pour bloquer les IP abusives, les numéros de système autonome, les emplacements géographiques, les clients TLS ou des éléments d’en-tête HTTP comme les chaînes user-agent.
  • Resserrez les seuils de Brute Force et de Suspicious IP afin de réduire les limites de connexion autorisées et d’atténuer les attaques par force brute.
  • Désactivez les points de terminaison sans état vulnérables aux attaques de bourrage d’identifiants en modifiant vos paramètres de authentification inter-origine.