Certains des sites les plus populaires sont notamment pointés du doigt pour leur vulnérabilité. Sur le net, on ne rigole pas avec la sécurité de notre vie privée et de nos comptes. On imagine alors qu’il est nécessaire de créer le mot de passe idéal et ultra-compliqué pour éviter que des personnes malintentionnées ne mettent la main sur nos données privées. Mais une nouvelle technique, le pré-hijacking, est désormais utilisée pour pirater plus facilement un compte. Concrètement, le pré-hijacking (pré-détournement, en français) consiste à pirater un compte sur le net avant même qu’il ne soit créé. Cela peut paraître futuriste, voire complétement irréel, et pourtant, la technique existe bel et bien. Elle a été découverte par deux chercheurs en sécurité, Avinash Sudhodanan and Andrew Paverd, qui l’ont décrite dans un long rapport. Au total, ce sont 35 sites parmi les 75 sites web les plus populaires qui sont touchés par le pré-détournement. Dropbox, Instagram, LinkedIn, WordPress et Zoom sont les cinq sites avancés par le duo. “L’impact des attaques de pré-détournement de compte est le même que celui du détournement de compte”, indique le rapport. “Selon la nature du service ciblé, une attaque réussie pourrait permettre à l’attaquant de lire/modifier les informations sensibles associées au compte (lire des messages) ou d’effectuer des actions en utilisant l’identité de la victime (effectuer des achats).” Afin de pirater les “futurs” comptes, les pirates doivent au préalable connaître certains identifiants uniques liés à l’utilisateur. Cela peut aller de l’adresse mail au numéro de téléphone en passant par toute autre information glanée sur les réseaux sociaux de la cible. Cinq types d’attaque identifiés Les deux chercheurs ont identifié cinq attaques différentes utilisées par les pirates. Une des techniques les plus utilisées est la Session non expirée (US), dans laquelle les utilisateurs ne sont pas déconnectés d’un compte pour lequel ils viennent de réinitialiser le mot de passe. Le pirate va alors, grâce à un script, maintenir le compte actif afin de pouvoir y avoir accès. Il devait ainsi au préalable connaître l’adresse mail de sa victime. L’autre technique consiste à utiliser la demande de modification d’une adresse e-mail faite par l’utilisateur, également appelée UEC, pour Unexpired Email Change. “Le pirate crée un compte avec l’adresse e-mail de la victime, puis soumet une demande de modification pour remplacer l’e-mail par le sien, mais ne le confirme pas. Lorsque la victime réinitialise son mot de passe, le pirate valide alors le contrôle, ce qui lui permet de prendre en main le compte”, précisent les deux chercheurs. Comment se protéger du pré-détournement Pour éviter d’être vous-même touché par le pre-hijacking, des conseils sont avancés par Malwarebytes. Les sites web sont généralement responsables de ce manque de sécurité, mais autant ne pas léser sur les mesures pour éviter d’être impacté. Le premier conseil à appliquer est d’activer une vérification à deux facteurs. Lorsque vous vous connectez à votre compte sur l’un des sites web répertoriés, exigez de celui-ci qu’il vous envoie un SMS, un mail ou un appel téléphonique automatisé afin de conforter votre identité. Le rapport s’adresse également aux propriétaires de sites web en leur conseillant de déconnecter toutes les sessions actives d’un utilisateur lorsque celui-ci demande une réinitialisation de mot de passe. Les e-mails de confirmation de modification de mot de passe doivent enfin avoir une période de validité très minime. Pour finir, il est plus que conseillé de procéder régulièrement à une suppression des comptes non vérifiés.