Attaque par verrouillage de compte
L’attaque par verrouillage de compte (Account lockout attack en anglais) est une attaque visant à verrouiller le compte d’une victime en abusant du système de sécurité du compte en question.
Description de l’attaque par verrouillage de compte
L’attaquant va essayer de se connecter au compte d’une victime en effectuant plusieurs tentatives volontairement infructueuses, de façon répétée. Le système de sécurité va ensuite se déclencher et verrouiller le compte en question pour protéger l’utilisateur. Ceci cause donc un déni de service (DoS).
Voici un message typique qui pourrait s’afficher lors de la connexion de l’utilisateur légitime :
L’exemple le plus parlant et celui d’eBay :
eBay affichait l’identifiant des utilisateurs effectuant des enchères.
Un internaute malveillant pouvait donc effectuer une attaque par verrouillage de compte contre les autres enchérisseurs quelques minutes avant la fin de l’enchère. Les utilisateurs attaqués se retrouvaient déconnectés de leur compte afin de procéder a des vérifications de sécurité générées par le système. Ce qui laissait la possibilité à l’attaquant de remporter facilement l’enchère.
Certains outils appelés « Freezers » sont directement développés pour effectuer des attaques par verrouillage de compte en un clic.
Comment éviter l’attaque
Malheureusement, il n’ y a pas beaucoup de solutions du côté utilisateur car c’est le système qui gère cela.
Du côté du système, il s’agit donc d’utiliser toutes sortes de mécanismes de sécurité n’empêchant pas l’utilisateur disposant du bon mot de passe de se connecter.
Typiquement le filtrage peut avoir lieu au niveau de l’adresse IP ou en demandant de remplir un captcha de sécurité. L’utilisateur tentant de se connecter frauduleusement se retrouve bloqué et est le seul à l’être.
Certains outils de sécurité permettent également de définir un nombre maximal de tentatives autorisées avant de verrouiller le compte.