Énumération de comptes
Qu'est-ce que Énumération de comptes ?
Énumération de comptesAttaque qui exploite les différences de réponse d'une application pour déterminer quels comptes, e-mails ou numéros existent sur la cible.
L'énumération de comptes exploite les différences de comportement de l'application selon qu'un compte existe ou non : messages d'erreur distincts à la connexion, à l'inscription ou à la réinitialisation de mot de passe, variations de temps, codes HTTP différents. En sondant de nombreux identifiants candidats, l'attaquant constitue une liste de comptes valides qu'il pourra ensuite cibler par phishing, credential stuffing ou password spraying. La vulnérabilité est fréquente sur les formulaires de connexion ("utilisateur inconnu" vs "mot de passe incorrect"), de réinitialisation ("vérifiez votre e-mail" vs "compte introuvable") et d'inscription ("e-mail déjà utilisé"). Les défenses incluent des messages d'erreur uniformes, des réponses à temps constant, des notifications génériques, du rate limiting par IP et compte, du CAPTCHA et de la MFA.
● Exemples
- 01
Un formulaire d'inscription indiquant 'cet e-mail est déjà utilisé', permettant de collecter des e-mails valides.
- 02
Temps de réponse différents sur /login entre utilisateurs connus et inconnus, utilisés pour bâtir une liste de comptes.
● Questions fréquentes
Qu'est-ce que Énumération de comptes ?
Attaque qui exploite les différences de réponse d'une application pour déterminer quels comptes, e-mails ou numéros existent sur la cible. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie Énumération de comptes ?
Attaque qui exploite les différences de réponse d'une application pour déterminer quels comptes, e-mails ou numéros existent sur la cible.
Comment fonctionne Énumération de comptes ?
L'énumération de comptes exploite les différences de comportement de l'application selon qu'un compte existe ou non : messages d'erreur distincts à la connexion, à l'inscription ou à la réinitialisation de mot de passe, variations de temps, codes HTTP différents. En sondant de nombreux identifiants candidats, l'attaquant constitue une liste de comptes valides qu'il pourra ensuite cibler par phishing, credential stuffing ou password spraying. La vulnérabilité est fréquente sur les formulaires de connexion ("utilisateur inconnu" vs "mot de passe incorrect"), de réinitialisation ("vérifiez votre e-mail" vs "compte introuvable") et d'inscription ("e-mail déjà utilisé"). Les défenses incluent des messages d'erreur uniformes, des réponses à temps constant, des notifications génériques, du rate limiting par IP et compte, du CAPTCHA et de la MFA.
Comment se défendre contre Énumération de comptes ?
Les défenses contre Énumération de comptes combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Énumération de comptes ?
Noms alternatifs courants : Énumération d'utilisateurs, Énumération d'identifiants.
● Termes liés
- identity-access№ 1196
Énumération de noms d'utilisateur
Forme spécifique d'énumération de comptes où la réponse de l'application confirme si un nom d'utilisateur donné existe, permettant de cibler les attaques suivantes.
- attacks№ 232
Bourrage d'identifiants
Attaque automatisée qui rejoue d'énormes listes de couples identifiant/mot de passe issues d'une fuite contre d'autres services, exploitant la réutilisation des mots de passe.
- attacks№ 800
Pulvérisation de mots de passe
Attaque "low and slow" qui essaie un petit lot de mots de passe courants sur de nombreux comptes, en restant sous les seuils de verrouillage et de rate-limit.
- attacks№ 821
Hameçonnage
Attaque d'ingénierie sociale où un attaquant se fait passer pour une entité de confiance afin de pousser la victime à révéler des identifiants, transférer de l'argent ou exécuter un logiciel malveillant.
- network-security№ 904
Rate Limiting
Le rate limiting plafonne le nombre de requetes qu'un identifiant (IP, utilisateur, cle API ou token) peut emettre sur une fenetre de temps, protegeant les API et les applis contre l'abus, le scraping et le brute-force.