L’authentification web / password reset : retour d’expérience de Bug Bounty – Article MISC

Le dernier numéro du magazine MISC (n°98 de Juillet / Août 2018) présente un dossier complet lié à l’authentification nommé « Authentification : enfin la fin des mots de passe ? ». Ce numéro références deux articles rédigés par un collaborateur SYNETIS, notamment un sur « L’authentification web / password reset : retour d’expérience de Bug Bounty ».

Ce dossier, « Authentification : enfin la fin des mots de passe ? », se compose des articles suivants :

  • Tour d’horizon de l’authentification multi-facteurs
  • Retour d’expérience en bug bounty sur des failles d’authentification
  • Découvrez le nouveau protocole d’authentification du W3C : WebAuthn
  • OpenID Connect : anatomie d’une usurpation d’identité

Au travers de l’article « Retour d’expérience en bug bounty sur des failles d’authentification web », notre collaborateur recense de nombreuses faiblesses communément observées au regard des mécanismes d’authentification web et réinitialisation de mot de passe.

Ces briques d’un applicatif web peuvent souffrir d’un certain nombre de vulnérabilités allant du blocage massif de comptes jusqu’à l’usurpation complète d’identifié. La sécurité de ces fonctionnalités ne doit en aucun cas être délaissée et doit être pensée au plus tôt dans les phases de conception d’une application (security by design / privacy by design).

Cet article détaille plusieurs exemples issus de nombreux retours d’expériences de Bug Bounty, démontrant les faiblesses communément observées et les impacts qu’elles peuvent engendrer sur l’application voire même le SI complet.

Penser un système d’authentification, pour qu’il soit sécurisé, que les usagers soient autonomes et ce, même dans la réinitialisation des mots de passe, sans qu’un tiers ne puisse bloquer des comptes, usurper des identités ou dresser une liste d’usagers, n’est pas trivial.

Cet article est voué à sensibiliser les lecteurs concernant les faiblesses que de tels système répandus (même chez les majors de l’Internet) peuvent avoir, sur la base de cas concrets.

A propos du magazine MISC :

LE MAGAZINE POUR LES EXPERTS DE LA SÉCURITÉ INFORMATIQUE MULTIPLATEFORMES

MISC est un bimestriel consacré à la sécurité informatique sous tous ses aspects, où les perspectives techniques et scientifiques occupent une place prépondérante. Les questions connexes (modalités juridiques, menaces informationnelles…) sont également considérées, ce qui fait de MISC une revue capable d’appréhender la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagnent.

Les consultants SYNETIS sont spécialisés dans le conseil, l’étude et le déploiement de solution d’authentification pour de nombreux clients. Pour toutes demandes d’informations complémentaires, n’hésitez pas à nous contacter.


Yann
Security Consultant

  • Google Plus
  • LinkedIn
  • Viadeo