Prise de contrôle de compte (ATO)
Qu'est-ce que Prise de contrôle de compte (ATO) ?
Prise de contrôle de compte (ATO)Attaque par laquelle un criminel prend le contrôle non autorisé d'un compte utilisateur légitime pour voler des fonds, des données ou commettre d'autres fraudes.
La prise de contrôle de compte se produit lorsqu'un attaquant obtient des identifiants valides, des jetons de session ou des canaux de récupération du compte d'une victime, puis se connecte à sa place. Les points d'entrée fréquents incluent l'hameçonnage, les malwares info-stealer, le credential stuffing avec des mots de passe fuités, le SIM swap pour intercepter les codes SMS, l'abus de consentement OAuth et des faiblesses dans les flux de récupération de compte. Une fois à l'intérieur, le criminel exfiltre des données, vide des portefeuilles, détourne des paies, envoie du phishing depuis des adresses de confiance ou pivote vers d'autres systèmes.
Le credential stuffing est la voie la plus industrialisée. Lors de la violation 23andMe de 2023, un attaquant a rejoué des couples identifiant/mot de passe fuités depuis des sites sans lien sur la page de connexion pendant environ cinq mois à partir d'avril 2023. Seuls quelque 14 000 comptes ont été directement craqués — mais comme 23andMe n'imposait pas de MFA et que la fonctionnalité DNA Relatives exposait les profils connectés, l'intrus a aspiré des données génétiques et généalogiques sur environ 6,9 millions de personnes. Ce cas montre comment la réutilisation de mots de passe associée à l'absence de MFA transforme une poignée de connexions compromises en une exposition massive de données, et pourquoi la détection des tentatives de connexion soutenues et distribuées est importante.
Les contre-mesures comprennent une MFA résistante au phishing (FIDO2/passkeys), le binding d'appareil, l'analyse comportementale des connexions, l'authentification renforcée pour les actions à risque, le screening des mots de passe compromis (aligné sur le NIST SP 800-63B), la limitation de débit et la détection de bots sur la connexion, ainsi que la révocation rapide des sessions et jetons dès qu'un abus est détecté.
flowchart LR
L[Identifiants fuités /<br/>phishing / info-stealer] --> A[Attaquant]
A --> B{Tentative de connexion}
B -->|sans MFA| C[Compte compromis]
B -->|MFA résistante au phishing<br/>+ détection d'anomalies| D[Bloqué / authentification renforcée]
C --> E[Vol de données, fraude,<br/>aspiration des profils connectés]
C --> F[Pivot latéral /<br/>phishing depuis un compte de confiance]
D -.->|score de risque| G[Révocation des sessions & jetons]● Exemples
- 01
Réutiliser des identifiants fuités d'un autre site pour se connecter à un portail bancaire.
- 02
La violation 23andMe de 2023 par credential stuffing, qui a exposé les données d'environ 6,9 millions d'utilisateurs.
● Questions fréquentes
Qu'est-ce que Prise de contrôle de compte (ATO) ?
Attaque par laquelle un criminel prend le contrôle non autorisé d'un compte utilisateur légitime pour voler des fonds, des données ou commettre d'autres fraudes. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Prise de contrôle de compte (ATO) ?
Attaque par laquelle un criminel prend le contrôle non autorisé d'un compte utilisateur légitime pour voler des fonds, des données ou commettre d'autres fraudes.
Comment se défendre contre Prise de contrôle de compte (ATO) ?
Les défenses contre Prise de contrôle de compte (ATO) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Prise de contrôle de compte (ATO) ?
Noms alternatifs courants : ATO, Compromission de compte.