Ce sont des failles qui permettent à un attaquant de se faire passer pour un utilisateur légitime ou d’accéder à des ressources non autorisées. Ces failles peuvent résulter d’une validation insuffisante des certificats, des mots de passe, des jetons ou des cookies, ou d’une absence de protection contre les attaques par force brute, par rejeu ou par vol de session.

Des exemples d'identification ou authentification de mauvaise qualité

→ Si un site web ne vérifie pas que le certificat présenté par le client correspond au nom d’hôte du serveur, un attaquant peut utiliser un certificat falsifié pour se connecter au site web et intercepter les données échangées. 

→ Si un site web utilise des mots de passe faibles ou réutilisés, un attaquant peut deviner ou voler les mots de passe et accéder aux comptes des utilisateurs.

Pour éviter ces risques

  • Renforcer les mécanismes d’identification et d’authentification, en utilisant des certificats valides, des mots de passe forts et uniques, des jetons à durée de vie limitée, et en appliquant le principe du moindre privilège. 
  • Utiliser des mesures de protection supplémentaires, comme la vérification en deux étapes, le blocage des tentatives répétées, l’invalidation des sessions après la déconnexion, et le chiffrement des communications.

Modifié le: jeudi 19 octobre 2023, 08:26