Pré-détournement de compte

L'attaque par pré-détournement de compte (en anglais, account pre-hijacking) est un groupe de méthodes d'exploitation de faille de sécurité sur des comptes en ligne. Cela consiste à anticiper l'inscription d'un utilisateur à un service en ligne et à s'inscrire en son nom, puis à prendre le contrôle de son compte lorsqu'il tente de s'enregistrer lui-même^[1],[2],[3].

Historique

Le pré-détournement a été identifié pour la première fois comme un groupe de vulnérabilités informatique en 2022, sur la base de recherches financées par le Centre de réponse aux problèmes de sécurité de Microsoft^[4].

Sur les 75 sites internet étudiés, 35 s'avèrent être vulnérables à cette faille grâce à diverses méthodes. Les services vulnérables incluent notamment Dropbox, Instagram, LinkedIn, WordPress ou Zoom. L'existence de cette vulnérabilité a été signalée à tous ces fournisseurs de services avant la publication d'un article en faisant état^[5].

Notes et références

Notes

• (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Account pre-hijacking » (voir la liste des auteurs).

Références

1. (en) Eduard Kovacs, « Hackers Can 'Pre-Hijack' Online Accounts Before They Are Created by Users », Security Week, 24 mai 2022 (consulté le 31 mai 2022)
2. (en) Martin Brinkmann, « Pre-hijacking Attacks of user accounts are on the rise », gHacks Technology News, 24 mai 2022 (consulté le 31 mai 2022)
3. (en) Andrew Paverd, « New Research Paper: Pre-hijacking Attacks on Web User Accounts », Microsoft Security Response Center, 23 mai 2022 (consulté le 31 mai 2022)
4. (en) Ben Dickson, « Dozens of high-traffic websites vulnerable to 'account pre-hijacking', study finds », The Daily Swig, 30 mai 2022 (consulté le 31 mai 2022)
5. (en) Auteur inconnu, « Pre-hijacked accounts: An Empirical Study of Security Failures in User Account Creation on the Web », .

Voir aussi

Articles connexes

• Authentification unique

•   Portail de la sécurité informatique