Passer au contenu principal
Le moyen le plus simple pour un utilisateur malveillant d’accéder aux privilèges, aux services et aux renseignements protégés par l’écran de connexion consiste à créer, dès le départ, des comptes factices sous son contrôle. Les attaquants peuvent ensuite utiliser ces comptes à diverses fins illicites, selon des objectifs qui varient en fonction du contexte commercial. Parmi les objectifs courants, on trouve :
  • Gain financier : Il s’agit de créer des comptes frauduleux pour atteindre des objectifs comme présenter de fausses réclamations (par exemple, ouvrir un compte d’assurance en ligne uniquement pour soumettre une réclamation frauduleuse) ou exploiter les avantages et les incitatifs offerts aux nouveaux clients. La création massive de comptes constitue aussi une première étape dans le lancement d’une attaque de pompage par SMS.
  • Vieillissement des comptes : Les attaquants peuvent créer un grand nombre de comptes et les laisser vieillir au fil du temps, afin qu’ils paraissent plus légitimes lors d’attaques futures plus sophistiquées.
  • Perturbation du service : Des tentatives d’inscription à volume élevé peuvent submerger les systèmes d’une organisation et potentiellement entraîner un déni de service en dépassant les limites de débit globales, ce qui nuit à la capacité des utilisateurs légitimes d’accéder aux services.
  • Énumération de noms d’utilisateur (T1087) : Les attaquants peuvent tenter rapidement de créer un grand nombre de comptes pour déterminer si des noms d’utilisateur précis existent déjà dans un système. Ils peuvent ensuite utiliser ces renseignements pour mener des attaques ciblées, comme le bourrage d’identifiants ou l’hameçonnage.

Détecter les attaques d’inscription

Quel que soit l’objectif de l’attaquant, les attaques d’inscription laissent une série d’événements de journalisation précis, essentiels à la détection et à l’analyse. Utilisez Security Center pour surveiller les attaques potentielles visant votre locataire. Vous pouvez utiliser la bibliothèque open source de règles de détection d’Auth0 pour créer vos propres règles de détection et y contribuer, par exemple les règles de fraude à l’inscription liée à des domaines suspects et de fraude à l’inscription liée à des volumes élevés. Parmi les principaux indicateurs figurent des types d’événements de journal tels que fs, ss et signup_pwd_leak dans les journaux du locataire Auth0. Pendant la phase de reconnaissance, vous pourriez observer des requêtes HTTP POST répétées visant le point de terminaison d’inscription de votre locataire. Cette activité signale souvent les premières tentatives d’un attaquant pour sonder votre système à la recherche de vulnérabilités ou pour tester l’efficacité de ses processus d’inscription automatisés. Pour une analyse avancée ou pour corréler les activités de connexion avec des applications externes à Auth0, activez la diffusion des journaux.

Stratégies d’atténuation

Pour atténuer les attaques d’inscription, nous recommandons d’adopter une approche multicouche qui combine des mesures proactives, ainsi que des capacités de détection et de réponse en temps réel. Passez en revue les stratégies suivantes pour protéger votre système :
  • Limitation du débit pour les IP suspectes : Mettez en place des seuils d’inscription stricts pour les adresses IP suspectes afin d’empêcher un volume élevé de tentatives d’inscription à partir d’une même source.
  • Détection de bots : Mettez en œuvre des mécanismes robustes de détection de bots pour repérer et bloquer les tentatives d’inscription automatisées en activant la détection de bots d’Auth0 et en configurant le niveau de détection sur Élevé.
  • Exigences CAPTCHA strictes : Pour une réponse plus rigoureuse, au prix d’une friction accrue, configurez le CAPTCHA pour qu’il soit toujours affiché pendant le processus d’inscription. Bien que cela ajoute un léger inconvénient pour les utilisateurs légitimes, cette mesure peut freiner l’activité des bots.
  • Authentification Passwordless : Utilisez des méthodes d’authentification sans mot de passe. Cela oblige les attaquants à conserver un accès continu à l’identifiant principal (par exemple, un courriel ou un numéro de téléphone) utilisé lors de l’inscription, ce qui complique la création et le contrôle d’un grand nombre de comptes frauduleux.
  • Facteurs d’authentification renforcés : Utilisez WebAuthn comme facteur d’authentification pour offrir une résistance à l’hameçonnage et contrer complètement des attaques comme la fraude par pompage de SMS.
  • Liste de contrôle d’accès (ACL) du locataire : Configurez les ACL du locataire pour bloquer le trafic malveillant.
  • Déclencheurs de préinscription d’utilisateur : Utilisez des déclencheurs de préinscription d’utilisateur pour appliquer des mesures de vérification d’identité. Cela peut inclure des étapes simples, comme exiger la validation du courriel avant l’activation du compte, ou des processus de vérification plus complexes selon votre profil de risque.
  • Forcer la vérification à l’inscription : Configurez la vérification du courriel à l’inscription pour exiger que les utilisateurs vérifient leur courriel avant de se connecter, idéalement au moyen d’un code à usage unique (OTP).
  • Règles de pare-feu d’applications Web (WAF) : Si vous utilisez un domaine personnalisé derrière un proxy inverse, configurez des règles WAF pour bloquer les plages d’IP malveillantes connues, détecter les modèles de requêtes suspects et atténuer les vecteurs d’attaque courants ciblant votre point de terminaison d’inscription.
  • Désactiver l’inscription (mesure la plus extrême) : Dans les scénarios d’attaque graves ou persistants, ou pour les applications où l’auto-inscription des utilisateurs n’est pas essentielle, la mesure la plus extrême consiste à désactiver temporairement ou définitivement l’inscription de nouveaux utilisateurs.
  • Supprimer ou bloquer les comptes frauduleux : Après avoir identifié des comptes frauduleux, vous pouvez utiliser la d’Auth0 pour supprimer ou bloquer des comptes frauduleux. Pour les opérations en lot, tenez compte des limites de débit de la Management API et communiquez avec le soutien s’il existe un risque de dépasser votre limite de débit.
Pour en savoir plus sur la mise en œuvre de stratégies de détection et de réponse, consultez Detecting Signup Fraud: 3 Ways to Use Auth0 Logs to Protect Your Business.