Passer au contenu principal

Avant de commencer

Vous devez configurer la protection contre les attaques par force brute et mettre en place les journaux ainsi que les alertes de seuil.
Les attaquants peuvent recourir à des techniques de force brute (TT1110) pour accéder à des systèmes sensibles. Souvent peu sophistiquées, la plupart des attaques par force brute sont faciles à déjouer, mais leur défense peut exiger beaucoup de ressources. Vous trouverez ci-dessous quelques techniques courantes d’attaque par force brute, ainsi que des indications pour repérer et examiner les attaques potentielles visant votre locataire.

Repérer les événements de journal pertinents

Avant de bloquer des adresses IP ou de réagir autrement à une attaque, repérez les compromissions en passant en revue les messages de journal pertinents. L’attaque peut provenir d’un nombre limité d’adresses IP, d’un seul numéro de système autonome ou d’un seul pays. Les types d’événements de journal suivants sont pertinents lorsque vous enquêtez sur une attaque par force brute. Vous les trouverez dans les journaux du locataire Auth0.
  1. f : Échec de connexion d’un utilisateur
  2. fu : Échec de connexion d’un utilisateur en raison d’un nom d’utilisateur invalide
  3. fp : Échec de connexion d’un utilisateur en raison d’un mot de passe invalide
  4. pwd_leak : Tentative de connexion avec un mot de passe compromis
  5. signup_pwd_leak : Tentative d’inscription avec un mot de passe compromis
  6. limit_wc : Adresse IP bloquée après >10 tentatives de connexion échouées sur un seul compte
  7. limit_sul : Utilisateur bloqué pour >20 connexions par minute à partir de la même adresse IP
  8. limit_mu : Adresse IP bloquée après >100 tentatives de connexion échouées ou >50 tentatives d’inscription
  9. fcoa : Échec de l’authentification inter-origine
  10. scoa : Authentification inter-origine réussie

Deviner des mots de passe

Des attaquants ayant peu de connaissances préalables des politiques de votre locataire peuvent tenter à répétition de deviner des mots de passe (TT1110.001) afin d’accéder à des comptes. Comme ils se contentent d’essayer de deviner si un utilisateur existe avec un mot de passe qu’ils ne connaissent pas, vos journaux Auth0 afficheront de nombreux événements fp, fu et fcoa. Pour en savoir plus, consultez le guide pratique d’Auth0 sur les mots de passe compromis.

Attaque par pulvérisation de mots de passe

Les attaquants essaient de nombreux mots de passe courants (TT1110.003) pour accéder à des comptes d’utilisateurs légitimes. Cela déclenche souvent les protections d’Auth0 contre les attaques par force brute et génère de nombreux événements de journal fp, fu et fcoa dans vos journaux.

Bourrage d’identifiants

Le bourrage d’identifiants (TT1110.004) est particulièrement efficace lorsqu’il vise des locataires qui utilisent des mots de passe, sans facteurs supplémentaires. En exploitant des fuites de mots de passe et en tentant de se connecter au compte d’une victime à l’aide d’un dictionnaire de mots de passe divulgués, les attaques de bourrage d’identifiants génèrent des événements de journal fp et pwd_leak.

Attaques d’inscription

Des attaquants peuvent tenter de créer un grand nombre de comptes dans un court laps de temps dans le cadre d’une attaque d’énumération de noms d’utilisateur (T1087), où ils cherchent à déterminer si un compte utilisateur existe dans votre locataire, ou dans le cadre de campagnes de fraude à l’inscription. L’objectif est de créer de nombreux comptes afin de profiter des incitatifs à l’inscription ou de créer des comptes plus anciens en vue d’attaques ultérieures. Les attaques d’inscription génèrent les événements de journal fs, ss et signup_pwd_leak.

Détection à l’aide de l’Auth0 Management API

L’Auth0 Management API permet d’interroger les journaux du locataire à l’aide de la syntaxe de requête de recherche dans les journaux pour les types de journaux visés sur la période d’intérêt. Les cas d’utilisation plus avancés sont pris en charge par des outils d’agrégation de journaux, comme les entrepôts de données ou les SIEM, grâce aux flux de journaux Auth0. Lorsque vous utilisez l’Auth0 , la période d’attaque potentielle est spécifiée sous la forme date:[startdate to enddate] au format YYYY-MM-DD. Par exemple, 2024-10-01. Utilisez * pour représenter la date actuelle. En limitant la période examinée à une fenêtre d’attaque potentielle, vous pouvez récupérer tous les événements de journal du type qui vous intéresse. Vous trouverez ci-dessous un exemple de requête qui recherche des attaques par force brute du 1er octobre 2024 à aujourd’hui : 
date:[2024-10-01 TO *] AND (type:"f" OR type:"fu" OR type:"fp" OR type:"pwd_leak" OR type:"limit_wc" OR type:"limit_sul" OR type:"limit_mu" OR type:"fcoa")
Pour une analyse avancée ou pour corréler les activités de connexion avec des applications externes à Auth0, activez la diffusion des journaux vers l’outil externe de votre choix. Consultez la documentation de la Management API pour comprendre comment extraire un sous-ensemble des événements de journal de votre locataire à des fins d’analyse.

Stratégies d’atténuation

Pour une protection optimale contre les attaques, envisagez les stratégies suivantes :
  • Activez la détection des mots de passe compromis ou Credential Guard afin de vous protéger contre l’utilisation d’identifiants compromis tout en réduisant au minimum la friction pour l’utilisateur, en gardant à l’esprit qu’aucune de ces solutions ne protège contre les attaques par dictionnaire.
  • Activez le CAPTCHA pour un ou plusieurs flux et augmentez sa fréquence au besoin, mais rappelez-vous qu’il s’agit d’un moyen de dissuasion, pas d’une solution.
  • Changez de fournisseur CAPTCHA si des attaquants contournent votre CAPTCHA actuel, ou envisagez de migrer vers Auth Challenge d’Auth0 ou un autre fournisseur pris en charge.
  • Désactivez temporairement la création de comptes pour tous, y compris les acteurs malveillants.
  • Modifiez les règles de votre pare-feu d’application Web avec un fournisseur en périphérie, ou utilisez des listes de contrôle d’accès du locataire, pour bloquer les adresses IP abusives, les numéros de système autonome, les emplacements géographiques, les clients TLS ou des éléments d’en-tête HTTP comme les chaînes user-agent, et envisagez d’utiliser un proxy inverse.
  • Resserrez les seuils de force brute et d’IP suspectes pour réduire les limites de connexion autorisées et atténuer les attaques par force brute.
  • Désactivez les points de terminaison inutilisés en modifiant vos paramètres d’authentification inter-origines si vous constatez fréquemment des événements fcoa et scoa, en gardant à l’esprit qu’Auth0 ne recommande pas l’utilisation de l’authentification inter-origines.
  • Appliquez une MFA renforcée aux comptes compromis, y compris en exigeant la pour les comptes potentiellement compromis.
  • Migrez vers des options de MFA plus robustes en remplaçant la MFA par SMS ou par appel vocal par OTP ou WebAuthn afin d’atténuer les attaques de pompage de SMS ou de fraude aux numéros surtaxés.
  • Mettez en œuvre des mécanismes de protection contre la fraude offerts par votre fournisseur SMS/appel vocal, comme Preventing Fraud in Verify de Twilio, lorsque vous utilisez la MFA par SMS/appel vocal.