Qu'est-ce que le contournement de l'authentification ? Techniques et exemples

Qu'est-ce que le contournement de l'authentification ?

Le contournement de l'authentification est une vulnérabilité qui permet à un attaquant d'accéder à un système, une application ou une ressource sans présenter d'identifiants valides. Au lieu de casser le chiffrement ou de deviner des mots de passe, l'attaquant trompe le système en lui faisant croire qu'il est déjà authentifié, ou il passe complètement outre le mécanisme d'authentification.

La faiblesse parente, CWE-287, définit la condition de base : un produit n'implémente pas correctement l'authentification, permettant à un acteur d'assumer l'identité d'un autre utilisateur. Chaque sous-type de contournement spécifique relève de cette classification dans la hiérarchie MITRE CWE.

Le contournement de l'authentification a été responsable de certaines des violations les plus dommageables de ces dernières années. La campagne de ransomware Cl0p exploitant MOVEit Transfer en 2023 a touché de nombreuses organisations et individus, selon SecurityWeek. Les affiliés LockBit 3.0 ont utilisé la vulnérabilité "Citrix Bleed" pour établir des sessions sans nom d'utilisateur, mot de passe ou jeton MFA, selon un avis de la CISA.

Le OWASP WSTG décrit le mécanisme central : il est souvent possible de contourner l'authentification en manipulant les requêtes et en trompant l'application pour qu'elle pense que l'utilisateur est déjà authentifié. Les attaquants y parviennent en modifiant les paramètres d'URL, en manipulant les formulaires ou en falsifiant les sessions.

Si vous comprenez comment ces contournements fonctionnent, vous pouvez les arrêter plus efficacement.

Comment fonctionne le contournement de l'authentification ?

Le contournement de l'authentification exploite les faiblesses dans la manière dont un système vérifie l'identité. Plutôt que d'affronter directement la porte d'authentification, les attaquants trouvent des moyens de la contourner, de la traverser ou de la détourner.

Le mécanisme central

Chaque système d'authentification suit un flux de base : un utilisateur présente des identifiants, le système les valide, puis le système délivre un jeton de session ou accorde l'accès. Le contournement de l'authentification cible une ou plusieurs étapes de ce flux :

Passer complètement l'authentification. L'attaquant accède à une fonction, à un point de terminaison API ou à une interface alternative qui ne possède aucune porte d'authentification. Une API REST ou un port de débogage sans vérification d'identifiants permet à quiconque d'accéder directement à des ressources critiques.
Manipuler les entrées d'authentification. L'attaquant modifie des données côté client que le système considère comme preuve d'identité. Définir la valeur d'un cookie à "LOGGEDIN" ou changer un champ de formulaire caché en "admin=true" peut tromper des systèmes mal conçus et accorder l'accès.
Exploiter des failles logiques. Le code d'authentification utilise une logique booléenne incorrecte, évalue les conditions dans le mauvais ordre ou ne gère pas les cas limites. Un mauvais opérateur dans une condition d'authentification peut faire réussir le contrôle alors qu'il devrait échouer (CWE-303).
Détourner des sessions valides. L'attaquant intercepte ou rejoue un jeton de session légitime. Si le système n'effectue pas de validation de nonce, de vérification d'horodatage ou de prévention de la relecture, un jeton capturé accorde le même accès que l'utilisateur d'origine.
Abuser des mécanismes de récupération. Les flux de réinitialisation de mot de passe sans limitation, utilisant des questions de sécurité prévisibles ou ne vérifiant pas l'identité via un second canal permettent aux attaquants de prendre le contrôle de comptes sans connaître le mot de passe d'origine.

Chacun de ces mécanismes a été observé dans des compromissions réelles documentées. L'exemple suivant retrace l'un des schémas les plus courants à travers un scénario concret.

Un scénario d'attaque étape par étape

Considérons une application web avec une interface d'administration protégée par une authentification forte. Un point de terminaison API interne à /api/v2/admin/config, conçu pour un outil de développement, n'a jamais été placé derrière la même porte d'authentification.

L'attaquant découvre ce point de terminaison par énumération de répertoires, envoie une requête HTTP forgée, et le serveur retourne les données de configuration et accorde l'accès administratif. La page de connexion n'a jamais été sollicitée.

Ce schéma, associé à la CWE-306, apparaît de façon répétée dans les exploits réels. Savoir quel type de contournement est présent détermine à la fois le chemin d'attaque et le bon contrôle pour l'arrêter.

Types de contournement de l'authentification

Le contournement de l'authentification n'est pas une vulnérabilité unique mais une famille de faiblesses regroupées sous CWE-287. Chaque type exploite un point différent du flux d'authentification, et chacun nécessite un contrôle défensif spécifique pour y remédier.

Type	CWE	Fonctionnement
Authentification manquante	CWE-306	Une fonction ou un point de terminaison critique est livré sans porte d'authentification. Toute personne ayant un accès réseau à la ressource y accède directement.
Contournement par chemin alternatif	CWE-288	Un canal secondaire, tel qu'un port de débogage, une API interne ou une interface d'administration, contourne les contrôles d'authentification appliqués au chemin principal.
Contournement logique de l'authentification	CWE-303	Des opérateurs booléens incorrects ou une évaluation conditionnelle dans le mauvais ordre font réussir le contrôle d'authentification alors qu'il devrait échouer.
Contournement de la confiance côté client	CWE-302	Le système accepte des cookies modifiés, des champs de formulaire cachés ou des paramètres d'URL comme preuve d'identité authentifiée au lieu de valider côté serveur.
Fixation de session	CWE-384	L'attaquant prédéfinit un identifiant de session connu avant que la victime ne s'authentifie. Après la connexion, cet identifiant porte la session privilégiée de la victime.
Capture-rejeu	CWE-294	Un jeton de session valide est intercepté et réutilisé. Sans validation de nonce ou vérification d'horodatage, le serveur traite le jeton rejoué comme une requête légitime.
Identifiants par défaut ou codés en dur	CWE-798	Des identifiants intégrés dans le firmware, le code source ou la configuration d'usine créent un contournement permanent qui survit aux mises à jour logicielles et aux cycles de correctifs.
Contournement de récupération défectueux	CWE-640	Les flux de réinitialisation de mot de passe sans limitation, avec des questions de sécurité prévisibles ou sans vérification par un second canal permettent aux attaquants de réinitialiser les identifiants sans autorisation.

Ces types ne sont pas mutuellement exclusifs. Un même système peut comporter plusieurs variantes simultanément, et les exploits en chaîne combinent fréquemment deux d'entre eux ou plus. Comprendre quel type est présent est la première étape pour construire un modèle de menace précis.

Causes courantes du contournement de l'authentification

Le contournement de l'authentification ne provient pas d'une seule faille. Il résulte d'une combinaison d'échecs de conception, d'implémentation et d'exploitation qui créent des lacunes dans la vérification de l'identité par les systèmes.

Portes d'authentification manquantes ou incomplètes

Des fonctions critiques sont livrées sans exigence d'authentification : API REST, consoles d'administration, ports de débogage et interfaces UART IoT. CWE-306 documente des exemples réels : une API de workflow non authentifiée (CVE-2020-13927, listée dans le catalogue CISA des vulnérabilités exploitées connues) et l'exécution de code à distance VMware via un téléchargement de fichier non authentifié (CVE-2021-21972, également dans CISA KEV).

Exposition par chemin alternatif

Un système exige une authentification sur son interface principale mais possède un chemin secondaire qui n'applique pas les mêmes contrôles. CWE-288 capture ce schéma, qui reste l'une des causes racines les plus exploitables dans les logiciels d'entreprise en production.

Confiance dans les données côté client

Les systèmes qui s'appuient sur des cookies, des champs de formulaire cachés ou des paramètres d'URL comme preuve d'authentification sont facilement contournés. CWE-302 définit cette faiblesse.

Identifiants codés en dur et par défaut

Des identifiants intégrés dans le firmware, le code source ou les paramètres d'usine créent des portes dérobées permanentes. CWE-798 figure dans le Top 25 des faiblesses logicielles les plus dangereuses (2024). La campagne Stuxnet a exploité des identifiants codés en dur dans les systèmes SCADA (CVE-2010-2772), et les mots de passe par défaut du firmware des routeurs restent un point d'entrée persistant.

Défaillances de gestion de session

Lorsque les identifiants de session ne sont pas régénérés après la connexion, les attaquants peuvent exploiter la fixation de session (CWE-384). L'attaquant définit un identifiant de session connu avant que la victime ne s'authentifie. Après la connexion, l'identifiant prédéfini porte la session authentifiée de la victime.

Contrôles cryptographiques faibles

Les systèmes qui n'implémentent pas la validation de nonce, la vérification d'horodatage ou des mécanismes de challenge-réponse sont vulnérables aux attaques de capture-rejeu (CWE-294). Un jeton d'authentification intercepté peut être rejoué indéfiniment.

Mécanismes de récupération défectueux

Les flux de réinitialisation de mot de passe sans limitation, les vulnérabilités de redirection d'e-mail ou les questions de sécurité dont les réponses sont accessibles sur les réseaux sociaux permettent aux attaquants de réinitialiser les identifiants sans autorisation (CWE-640).

Ces causes racines produisent des conséquences qui vont bien au-delà de l'accès non autorisé.

Impact et risque du contournement de l'authentification

Le contournement de l'authentification n'est pas une vulnérabilité isolée. Il constitue le point d'entrée d'une chaîne d'attaque documentée menant au vol d'identifiants, au mouvement latéral, à l'exfiltration de données et au déploiement de ransomware.

Les données sur son impact réel sont cohérentes dans les principaux rapports sectoriels :

Les identifiants volés restent une méthode d'accès initiale très répandue par rapport à d'autres vecteurs, selon le DBIR 2025.
Le rapport IBM place le coût moyen mondial d'une violation à plusieurs millions de dollars.
Les VPN et les équipements en périphérie ont continué d'attirer l'attention des attaquants sur la même période, selon le DBIR 2025.
Les systèmes compromis où des identifiants d'entreprise ont été trouvés incluaient également des terminaux BYOD non gérés (Bring Your Own Device) hors des processus standard de correction et de surveillance, selon le DBIR 2025.

Si vous comprenez les techniques des attaquants, vous pouvez bâtir des défenses plus solides contre elles.

Comment les attaquants exploitent le contournement de l'authentification

Les attaquants utilisent le contournement de l'authentification via de multiples techniques documentées, cartographiées dans le framework ATT&CK. L'exploitation moderne implique rarement une seule CVE. L'enchaînement de plusieurs CVE est courant.

Modification des processus d'authentification (T1556)

T1556 couvre les techniques qui subvertissent directement un mécanisme d'authentification plutôt que d'exploiter des identifiants. En environnement d'entreprise, trois sous-techniques apparaissent le plus fréquemment :

Attaques Skeleton Key (T1556.001) : Modification de LSASS (Local Security Authority Subsystem Service) sur un contrôleur de domaine avec des identifiants contrôlés par l'adversaire, permettant de s'authentifier comme n'importe quel utilisateur du domaine jusqu'au prochain redémarrage.
Contournement MFA (T1556.006) : Redirection des appels MFA vers localhost via la modification du fichier hosts pour que le MFA échoue silencieusement pendant que l'authentification se poursuit.
Abus d'identité hybride (T1556.007) : Enregistrement d'un nouvel agent d'authentification Pass-Through via un compte Entra ID Global Administrator compromis pour collecter des identifiants.

Ces sous-techniques sont particulièrement efficaces contre les environnements d'identité hybride où les décisions d'authentification sont réparties entre les systèmes sur site et cloud.

Exploitation de comptes valides (T1078)

Les attaquants obtiennent et abusent des identifiants de comptes existants. Cela correspond directement à CWE-798 (identifiants codés en dur) et CWE-1392 (identifiants par défaut). Lorsque des systèmes sont livrés avec des identifiants d'usine inchangés, les attaquants accèdent sans exploiter de vulnérabilités au niveau du code.

Brute force et password spraying (T1110)

Trois types d'attaques distincts nécessitent des approches défensives différentes :

Brute force : Plusieurs mots de passe testés sur un seul compte. Le verrouillage par compte permet de détecter cela.
Credential stuffing : Paires nom d'utilisateur/mot de passe issues de fuites testées sur plusieurs comptes.
Password spraying : Un seul mot de passe faible testé sur de nombreux comptes. Ce schéma contourne totalement les seuils de verrouillage par compte, comme le note le guide OWASP.

La défense contre ces trois attaques nécessite des contrôles indépendants. Une politique de verrouillage qui bloque le brute force ne détectera pas un spray à faible volume réparti sur des milliers de comptes, et aucune des deux n'arrête le credential stuffing lorsque les identifiants sont valides.

Falsification d'identifiants web (T1606)

Les adversaires génèrent de faux identifiants, tels que des jetons API cloud ou des clés de pré-authentification, qui contournent le MFA et d'autres protections d'authentification.

Chaînage multi-CVE en pratique

Plusieurs des campagnes récentes les plus marquantes ont utilisé des chaînes de CVE explicites :

Cisco IOS XE (2023) : CVE-2023-20198 a permis un accès initial et l'exécution de commandes privilège 15, puis CVE-2023-20273 a permis l'élévation de privilèges root et l'installation d'une porte dérobée basée sur Lua.
Ivanti Connect Secure (2024) : Une chaîne de quatre CVE (CVE-2023-46805, CVE-2024-21887, CVE-2024-21893, CVE-2024-22024) a permis l'exécution de commandes non authentifiées, les attaquants manipulant l'outil d'intégrité d'Ivanti pour éviter la détection.
APT russe (2020) : CVE-2018-13379 a permis d'extraire des identifiants en clair depuis les VPN SSL Fortinet, enchaîné avec CVE-2020-1472 (Netlogon) pour l'élévation de privilèges de domaine, selon un avis CISA.

Pour les équipes SOC, cela signifie que le tri des alertes pour les CVE de contournement de l'authentification doit immédiatement déclencher des requêtes de corrélation pour l'exploitation de vulnérabilités complémentaires, et non une réponse isolée à une CVE. Savoir qui fait face à ces attaques vous aide à prioriser vos défenses.

Qui est concerné par le contournement de l'authentification ?

Certains secteurs et types d'applications sont exposés à un risque disproportionné.

Secteurs les plus à risque

Les données sectorielles sur les violations montrent des schémas cohérents sur plusieurs cycles de rapports. Certains secteurs présentent une exposition accrue d'année en année en raison de leur dépendance aux services exposés à Internet, aux flux de travail riches en identifiants et aux magasins de données à forte valeur ajoutée.

Secteur	Constat clé	Source
Industrie manufacturière	Volume élevé d'incidents et de violations, avec des identifiants compromis dans une part notable des violations du secteur manufacturier.	DBIR 2025
Santé	Les violations confirmées restent élevées, avec une part significative liée à des acteurs internes.	DBIR 2025
Gouvernement	Le ransomware apparaît dans les violations gouvernementales à des niveaux significatifs.	DBIR 2025
Finance & Assurance	Coûts de violation supérieurs à la moyenne selon le rapport IBM 2024.	IBM 2024
Infrastructures critiques	La CISA a confirmé que des acteurs étatiques facilitent l'accès pour des affiliés ransomware.	CISA AA24-241A

Types d'applications les plus ciblés

Au-delà des secteurs spécifiques, certaines catégories d'applications et d'infrastructures présentent une exposition disproportionnée quel que soit le secteur. Les suivantes apparaissent le plus fréquemment dans les principaux jeux de données sur les violations et les avis CISA :

VPN et équipements en périphérie : L'exploitation ciblée a significativement augmenté d'une année sur l'autre.
Applications web : Brute force et attaques par identifiants ont montré une activité constante d'une année sur l'autre, selon le DBIR 2025.
Active Directory et infrastructure d'identité : L'abus de fournisseurs d'identité est une surface d'attaque croissante dans les compromissions de la chaîne d'approvisionnement, selon ENISA 2024.
Services cloud et API : La CISA documente le contournement de l'authentification IoT et OT dans les PLC TCP sans authentification et les ports UART de débogage Bluetooth (interface série).
Terminaux BYOD non gérés : Les appareils personnels compromis peuvent échapper totalement à la visibilité de l'entreprise.

Ces catégories d'applications figurent chaque année sur la liste CISA des vulnérabilités exploitées connues. Les incidents ci-dessous illustrent ce à quoi ressemble l'exploitation lorsque les attaquants y parviennent.

Exemples réels de contournement de l'authentification

Les incidents suivants couvrent plusieurs secteurs, groupes d'attaque et types de contournement. Chacun illustre comment les mécanismes décrits précédemment se traduisent par un impact organisationnel confirmé.

Citrix Bleed (CVE-2023-4966)

Une requête HTTP GET forgée avec un en-tête Host malveillant a amené les appliances Citrix NetScaler ADC et Gateway à retourner la mémoire système contenant des cookies de session valides. Les affiliés LockBit 3.0 et d'autres groupes ont utilisé cela pour établir des sessions authentifiées sans nom d'utilisateur, mot de passe ou jeton MFA. L'exploitation a commencé avant que Citrix ne publie un correctif. Selon un avis CISA, GreyNoise a observé une exploitation massive continue.

MOVEit Transfer (CVE-2023-34362)

Le groupe Cl0p ransomware, suivi sous le nom TA505 par la CISA, a exploité une vulnérabilité SQL injection non authentifiée dans Progress MOVEit Transfer des semaines avant la divulgation publique. La campagne a finalement touché de nombreuses organisations et individus, selon SecurityWeek.

Barracuda ESG (CVE-2023-2868)

UNC4841, un groupe soupçonné d'être sponsorisé par l'État chinois selon Mandiant, a exploité une faille zero-day dans les appliances Barracuda Email Security Gateway pendant des mois avant sa découverte. Barracuda a exigé le remplacement physique des appareils concernés, selon BleepingComputer.

Fortinet FortiOS (CVE-2022-40684)

Un attaquant non authentifié pouvait effectuer des opérations sur l'interface d'administration via des requêtes HTTP/HTTPS spécialement forgées. Fortinet a confirmé une exploitation active au moment de la divulgation publique de la vulnérabilité, selon Hacker News. Les configurations de nombreux pare-feux ont ensuite été divulguées via cette CVE.

Ces incidents couvrent une chronologie qui montre comment le contournement de l'authentification a évolué.

Contournement de l'authentification : une chronologie

Le contournement de l'authentification a été activement exploité chaque année ci-dessous, les outils et la sélection des cibles des attaquants évoluant plus vite que la capacité de correction de nombreuses organisations. La chronologie retrace les événements majeurs qui définissent l'évolution de cette menace depuis 2010.

Année	Événement
2010	Stuxnet exploite des identifiants codés en dur (CVE-2010-2772) dans les systèmes SCADA, démontrant le contournement de l'authentification comme arme dans les opérations cyber étatiques.
2018	CVE-2018-13379 (Fortinet FortiOS SSL VPN) est divulguée. Elle devient l'une des vulnérabilités les plus exploitées des cinq années suivantes, figurant chaque année sur les listes CISA et utilisée dans des campagnes APT et ransomware à l'échelle mondiale.
2019	CVE-2019-11510 (Ivanti Pulse Connect Secure) et CVE-2019-19781 (Citrix ADC/Gateway) sont divulguées. Les deux deviennent des références sur les listes CISA pendant des années et sont activement utilisées dans des campagnes ransomware visant les gouvernements et les infrastructures critiques.
2021	CVE-2021-22893 obtient un score CVSS de 10.0 pour l'exécution de code à distance non authentifiée sur les passerelles Pulse Connect Secure. La CISA et Ivanti assistent plusieurs entités après exploitation confirmée.
2022	La CISA publie la directive d'urgence ED 22-03 pour le contournement de l'authentification VMware Workspace ONE Access (CVE-2022-22972). CVE-2022-40684 de Fortinet est exploitée le jour de la divulgation.
2023	Citrix Bleed, MOVEit, Barracuda ESG et les zero-days Cisco IOS XE ont collectivement touché de nombreuses organisations dans divers secteurs.
2024	La chaîne de quatre CVE Ivanti Connect Secure pousse la CISA à déclarer un "risque inacceptable" pour les agences fédérales via la directive d'urgence ED 24-01. CVE-2024-3400 (PAN-OS GlobalProtect) obtient un score CVSS de 10.0 en tant que zero-day.
2025	NIST SP 800-63-4 remplace SP 800-63-3 (1er août 2025), mettant à jour les niveaux d'assurance d'authentification et les contrôles de fédération NIST 63B-4. L'OWASP Top 10 désigne A07:2025 Échecs d'authentification. CISA BOD 25-01 définit les bases de configuration de la sécurité cloud.
2026	CWE-288 (contournement par chemin alternatif) continue d'apparaître dans les nouvelles entrées CISA KEV, y compris des vulnérabilités exploitées confirmées dans des produits de messagerie, SD-WAN et gestion des terminaux.

Le schéma sur cette chronologie est constant : le contournement de l'authentification continue de croître en ampleur et en gravité à mesure que les attaquants appliquent des techniques connues à de nouveaux produits et plateformes. Une défense efficace nécessite des approches en couches.

Comment détecter le contournement de l'authentification

La détection de ces contournements nécessite plusieurs méthodes car aucune approche unique ne détecte toutes les variantes. Vous devez exécuter ces méthodes simultanément.

Reconnaissance des schémas d'attaque

Vous avez besoin d'une logique d'identification distincte pour chaque type d'attaque. Une politique de verrouillage par compte détecte le brute force mais ne trouvera pas le password spraying :

Brute force : Volume élevé d'échecs sur un seul compte.
Credential stuffing : Échecs répartis sur de nombreux comptes correspondant à des données de fuite connues.
Password spraying : Échecs à faible volume répartis sur de nombreux comptes utilisant un seul mot de passe faible. Ce schéma contourne totalement les seuils de verrouillage par compte.

Maintenir une logique de détection distincte pour chaque schéma est le minimum. Se fier à un seul seuil signifie que tout type d'attaque en dehors de ce seuil passera inaperçu.

Analyse comportementale et des signaux de risque

L'authentification adaptative ajuste dynamiquement les exigences en fonction du contexte de connexion. Le guide MFA OWASP recommande de surveiller les signaux de risque tels que la géolocalisation, la réputation IP, l'empreinte de l'appareil, l'heure d'accès et les identifiants compromis connus dans le flux d'authentification. Ces signaux doivent alimenter les décisions de contrôle d'accès en temps réel, déclenchant une authentification renforcée plutôt que de simples alertes a posteriori.

Surveillance des jetons de session

Surveillez les indicateurs documentés dans le guide de session OWASP :

Réutilisation d'un jeton de session depuis une IP différente de celle de l'authentification d'origine
Sessions actives simultanées depuis des points de terminaison distincts pour le même compte
Activité de session continuant après la déconnexion ou l'expiration attendue
Changements de mot de passe ou d'e-mail sans événement de réauthentification préalable

Ces signaux sont plus utiles lorsqu'ils sont corrélés entre les sessions plutôt qu'évalués isolément. Un changement d'IP de session est courant en environnement mobile ; un changement d'IP de session combiné à une tentative d'élévation de privilèges dans la même session ne l'est pas.

Surveillance des écarts de réauthentification

Surveillez les journaux applicatifs pour les événements à haut risque réalisés sans entrée de réauthentification préalable dans la même session. Cela inclut les modifications de facteurs MFA sans réauthentification, les connexions depuis un nouvel appareil sans défi supplémentaire, et les flux de récupération de compte aboutissant sans vérification renforcée.

Scan de vulnérabilités mappé aux CWE de contournement de l'authentification

Abonnez-vous aux bulletins CISA et mappez chaque CVE de contournement de l'authentification publiée, CWE-287, CWE-288, CWE-302, CWE-303 et CWE-306, à votre inventaire d'actifs pour une correction priorisée.

Pentest structuré

L' OWASP WSTG 4.4 définit des cas de test d'authentification structurés. Vous devez rendre obligatoires dans chaque évaluation de sécurité les items WSTG 4.4.4 (contournement du schéma d'authentification), WSTG 4.4.11 (contournement MFA) et WSTG 4.4.10 (authentification plus faible sur canaux alternatifs).

Détecter ces vulnérabilités ne suffit pas. Il faut empêcher leur existence dès le départ.

Comment prévenir le contournement de l'authentification

La prévention nécessite des contrôles à chaque couche : conformité aux standards, architecture d'authentification, codage sécurisé, gestion de session et validation continue.

Adopter un MFA résistant au phishing

Déployez des tokens matériels FIDO2/WebAuthn ou des passkeys comme mécanisme MFA principal. Le guide MFA OWASP recommande de bloquer les protocoles d'authentification hérités, d'imposer OAuth2 ou SAML modernes, et d'exiger une réauthentification avec un facteur déjà enregistré avant toute modification de facteur MFA. Ne vous fiez jamais uniquement à la session active pour les changements de facteur, car la session elle-même peut être compromise.

S'aligner sur NIST SP 800-63-4

La suite SP 800-63 a été remplacée par SP 800-63-4 au 1er août 2025 NIST 63B-4. NIST 63B-4 définit les nouveaux niveaux d'assurance d'authentification :

AAL1 : Authentification à un facteur.
AAL2 : Deux facteurs avec techniques cryptographiques approuvées.
AAL3 : Authentificateurs synchronisables interdits NIST 63B-4.

Les organisations soumises aux standards fédéraux doivent aligner leurs implémentations d'authentification sur le niveau d'assurance approprié avant d'évaluer les contrôles techniques ci-dessous.

Appliquer les bonnes pratiques de codage sécurisé

Le guide de codage OWASP spécifie des contrôles qui préviennent directement le contournement de l'authentification :

Centraliser la logique d'authentification. Séparez-la de la ressource demandée pour éviter le contournement par chemin alternatif (CWE-288).
Concevoir pour échouer de façon sécurisée. Tous les contrôles d'authentification doivent refuser l'accès en cas d'échec, jamais l'accorder.
Imposer la parité sur les fonctions administratives. Les interfaces d'administration doivent être au moins aussi sécurisées que l'authentification principale.
Normaliser les réponses d'erreur. Les messages d'échec d'authentification ne doivent pas indiquer quel champ était incorrect, pour éviter l'énumération de comptes.

Ces contrôles concernent la porte d'authentification elle-même. La section suivante couvre ce qui se passe juste après le passage de l'utilisateur : la gestion de session.

Renforcer la gestion de session

Mettez en œuvre les contrôles du guide de session OWASP :

Utilisez des cookies non persistants pour la gestion de session.
Délivrez des identifiants de session différents avant et après authentification pour éviter la fixation de session (CWE-384).
Implémentez des délais d'expiration de connexion qui forcent le renouvellement de l'identifiant de session.
Exigez une réauthentification pour les changements de mot de passe, d'e-mail, les connexions depuis un nouvel appareil et les flux de récupération de compte.

Le renforcement de la couche session bloque les variantes de contournement post-authentification telles que la fixation de session et la relecture de jeton. La couche suivante va plus loin : considérer chaque session authentifiée comme non fiable par défaut.

Mettre en œuvre l'authentification Zero Trust

Dérivé de NIST 800-207 et du guide GSA ZTA :

Validation continue : Rejeter l'hypothèse qu'un utilisateur authentifié peut être fiable pour toute la durée de la session.
Posture "assume-breach" : Concevoir les systèmes en supposant qu'un acteur malveillant est déjà sur le réseau.

Ces deux principes s'appliquent directement aux environnements d'identité fédérée, où la confiance d'authentification s'étend au-delà des frontières organisationnelles et nécessite des garanties techniques supplémentaires pour rester solide.

Sécuriser les assertions de fédération

NIST 63C-4 impose la présentation d'assertion par canal secondaire, des valeurs de liaison de session impossibles à deviner, l'authentification RP-IdP et l'application d'un seuil minimal de niveau d'assurance. Ce sont des exigences normatives "shall", non des contrôles optionnels.

La prévention et la détection sont plus efficaces lorsqu'elles s'appuient sur des outils dédiés.

Outils de détection et de prévention

Arrêter le contournement de l'authentification nécessite des outils couvrant toute la surface d'attaque : endpoints, infrastructure d'identité, périmètres réseau et services cloud.

Scan de vulnérabilités et évaluation

Analysez régulièrement votre environnement par rapport aux entrées CISA KEV et mappez les CVE de contournement de l'authentification à votre inventaire d'actifs.

Détection et réponse aux menaces sur l'identité (ITDR)

Les solutions ITDR surveillent Active Directory, Entra ID et les journaux des fournisseurs d'identité pour détecter l'abus d'identifiants, les déplacements impossibles, l'élévation de privilèges et les anomalies de session. La corrélation des événements d'authentification avec l'activité endpoint et réseau offre une visibilité inter-couches pour détecter les contournements sous la couche MFA.

Détection et réponse étendues (XDR)

Les attaques de contournement de l'authentification traversent plusieurs couches : vol d'identifiants sur le endpoint, mouvement latéral sur le réseau et accès aux ressources cloud. Les plateformes XDR qui unifient ces sources de télémétrie dans une console d'investigation unique éliminent l'écart entre l'origine du contournement et l'endroit où il cause des dommages.

Investigation et réponse pilotées par l'IA

L'IA comportementale qui analyse en temps réel les schémas d'authentification, le comportement d'identité et les anomalies d'accès détecte plus rapidement la compromission d'identifiants qu'une revue manuelle des journaux. Les capacités de réponse autonome, telles que l'isolement des identités compromises, la révocation des sessions actives et l'arrêt du mouvement latéral sans intervention humaine, réduisent le temps de présence de l'attaquant.

Vulnérabilités associées

Le contournement de l'authentification partage des causes racines, des chaînes d'attaque et des schémas d'exploitation avec plusieurs autres classes de vulnérabilités :

Contrôle d'accès défaillant (OWASP A01:2025) : Le forced browsing et la manipulation de paramètres, variantes du contournement de l'authentification, recoupent les échecs de contrôle d'accès. La différence est que le contournement de l'authentification saute la vérification d'identité, tandis que le contrôle d'accès défaillant saute les contrôles d'autorisation après l'identité.
Injection SQL : Une injection SQL non authentifiée, comme démontré par la campagne MOVEit Transfer (CVE-2023-34362), peut contourner totalement l'authentification en manipulant les requêtes de base de données qui contrôlent la logique de connexion.
Server-Side Request Forgery (SSRF) : CVE-2024-21893 dans la chaîne Ivanti Connect Secure était un SSRF dans le composant SAML, utilisé avec le contournement de l'authentification pour obtenir une compromission totale.
Path Traversal : CVE-2018-13379 (Fortinet FortiOS) a utilisé le path traversal pour télécharger des identifiants en clair, permettant le contournement de l'authentification comme effet secondaire.
Détournement de session : La fixation de session (CWE-384) et la relecture de jeton (CWE-294) sont des sous-types de contournement de l'authentification exploitant la couche session post-authentification plutôt que le processus de connexion lui-même.
Élévation de privilèges : Le contournement de l'authentification est fréquemment enchaîné avec l'élévation de privilèges. L'attaque Cisco IOS XE (CVE-2023-20198 + CVE-2023-20273) est passée du contournement de l'authentification à l'accès root et à l'installation d'une porte dérobée en une seule chaîne.

Comprendre ces relations est utile tant lors de la modélisation des menaces qu'en réponse à incident. Lorsqu'un contournement de l'authentification est confirmé dans un environnement, les classes de vulnérabilités ci-dessus doivent être évaluées comme co-exploits potentiels et non comme des problèmes séparés et indépendants.

CVEs associées

ID CVE	Description	Gravité	Produit concerné	Année
CVE-2026-1603	Contournement de l'authentification via un chemin alternatif dans Ivanti Endpoint Manager permettant à des attaquants distants non authentifiés de divulguer des données d'identifiants stockées. (CISA KEV 2026-03-09)	Critique (CWE-288)	Ivanti Endpoint Manager	2026
CVE-2026-20079	Contournement de l'authentification via un processus de démarrage incorrect dans l'interface web Cisco Secure Firewall Management Center permettant à des attaquants distants non authentifiés d'exécuter des scripts et d'obtenir un accès root sur les appareils concernés.	Critique (CWE-288)	Cisco Secure Firewall Management Center	2026
CVE-2025-0108	Authentification manquante pour une fonction critique dans l'interface de gestion Palo Alto Networks PAN-OS permettant à des attaquants non authentifiés d'invoquer des scripts PHP et d'impacter l'intégrité et la confidentialité du système. (CISA KEV)	Critique (CWE-306)	Palo Alto Networks PAN-OS	2025
CVE-2025-24472	Contournement de l'authentification via des requêtes proxy CSF dans Fortinet FortiOS/FortiProxy pouvant permettre à des attaquants distants non authentifiés connaissant les numéros de série des appareils d'obtenir des privilèges super-admin. (CISA KEV, lié au ransomware)	Critique (CWE-288)	Fortinet FortiOS / FortiProxy	2025
CVE-2025-21589	Contournement de l'authentification via un chemin alternatif dans Juniper Networks Session Smart Router permettant à des attaquants sur le réseau de contourner l'authentification et d'obtenir le contrôle administratif de l'appareil.	9.8 Critique (CWE-288)	Juniper Networks Session Smart Router	2025
CVE-2025-4427	Contournement de l'authentification dans le composant API d'Ivanti EPMM 12.5.0.0 et versions antérieures ; exploité dans la nature en chaîne avec CVE-2025-4428 pour obtenir une exécution de code pré-authentification. (CISA KEV)	5.3 Moyen (CWE-288)	Ivanti Endpoint Manager Mobile	2025
CVE-2024-0012	Authentification manquante pour une fonction critique dans l'interface de gestion Palo Alto Networks PAN-OS permettant à des attaquants non authentifiés ayant un accès réseau d'obtenir des privilèges administrateur (Opération Lunar Peek). (CISA KEV, lié au ransomware)	Critique (CWE-306)	Palo Alto Networks PAN-OS	2024
CVE-2024-47575	Authentification manquante pour une fonction critique dans Fortinet FortiManager permettant à des attaquants non authentifiés d'exécuter du code ou des commandes arbitraires via des requêtes spécialement forgées. (CISA KEV, lié au ransomware)	9.8 Critique (CWE-306)	Fortinet FortiManager	2024
CVE-2024-55591	Contournement de l'authentification via le module WebSocket Node.js dans Fortinet FortiOS/FortiProxy permettant à des attaquants distants d'obtenir des privilèges super-admin via des requêtes forgées. (CISA KEV, lié au ransomware)	9.8 Critique (CWE-288)	Fortinet FortiOS / FortiProxy	2024
CVE-2024-53704	Authentification incorrecte dans le mécanisme d'authentification SonicWall SonicOS SSLVPN permettant à des attaquants distants de contourner l'authentification. (CISA KEV, lié au ransomware)	9.8 Critique (CWE-287)	SonicWall SonicOS SSLVPN	2024
CVE-2024-27198	Contournement de l'authentification via un chemin alternatif dans JetBrains TeamCity avant 2023.11.4 permettant à des attaquants non authentifiés d'effectuer des actions administratives. (CISA KEV)	9.8 Critique (CWE-288)	JetBrains TeamCity	2024
CVE-2023-20198	Canal alternatif non protégé dans l'interface Web Cisco IOS XE Software permettant à des attaquants distants non authentifiés de créer des comptes privilégiés et de prendre le contrôle total des appareils concernés ; exploité activement en zero-day lors de la divulgation. (CISA KEV)	10.0 Critique (CWE-420)	Cisco IOS XE Software	2023
CVE-2023-46747	Authentification manquante dans F5 BIG-IP Configuration Utility permettant aux attaquants ayant accès réseau au port de gestion d'exécuter des commandes système arbitraires. (CISA KEV)	9.8 Critique (CWE-306)	F5 Networks BIG-IP	2023
CVE-2023-42793	Contournement de l'authentification via un chemin alternatif dans le serveur CI/CD JetBrains TeamCity permettant un accès non autorisé ; listé dans les vulnérabilités les plus exploitées de la CISA en 2023. (CISA KEV)	Critique (CWE-288)	JetBrains TeamCity	2023
CVE-2023-29357	Implémentation incorrecte de l'algorithme d'authentification dans Microsoft SharePoint Server permettant le contournement de l'authentification ; confirmé lié au ransomware dans CISA KEV. (CISA KEV, lié au ransomware)	Critique (CWE-303)	Microsoft SharePoint Server	2023
CVE-2022-40684	Contournement de l'authentification via un chemin alternatif dans Fortinet FortiOS, FortiProxy et FortiSwitchManager permettant à des attaquants distants non authentifiés d'effectuer des opérations administratives via des requêtes HTTP/HTTPS forgées. (CISA KEV)	9.8 Critique (CWE-288)	Fortinet FortiOS / FortiProxy / FortiSwitchManager	2022
CVE-2022-1388	Authentification manquante dans F5 BIG-IP iControl REST permettant à des attaquants non authentifiés ayant un accès réseau d'exécuter des commandes arbitraires avec des privilèges élevés. (CISA KEV)	9.8 Critique (CWE-306)	F5 Networks BIG-IP	2022
CVE-2022-22972	Authentification incorrecte dans VMware Workspace ONE Access, Identity Manager et vRealize Automation permettant à un attaquant accessible sur le réseau d'obtenir un accès administratif sans identifiants. (CISA KEV)	9.8 Critique (CWE-287)	VMware Workspace ONE Access / Identity Manager	2022
CVE-2022-21587	Authentification manquante pour une fonction critique dans Oracle E-Business Suite Web Applications Desktop Integrator permettant à des attaquants réseau non authentifiés de compromettre totalement le système concerné. (CISA KEV)	9.8 Critique (CWE-306)	Oracle E-Business Suite	2022
CVE-2021-20021	Authentification manquante dans SonicWall Email Security 10.0.9.x permettant aux attaquants de créer un compte administrateur via une requête HTTP forgée. (CISA KEV, lié au ransomware)	9.8 Critique (CWE-306)	SonicWall Email Security	2021
CVE-2021-40539	Contournement de l'authentification REST API dans Zoho ManageEngine ADSelfService Plus version 6113 et antérieures permettant l'exécution de code à distance ; CISA KEV intitulé "Authentication Bypass Vulnerability". (CISA KEV, lié au ransomware)	9.8 Critique	Zoho ManageEngine ADSelfService Plus	2021
CVE-2021-35587	Vulnérabilité facilement exploitable dans Oracle Access Manager permettant à des attaquants non authentifiés ayant un accès HTTP réseau de compromettre totalement Oracle Access Manager. (CISA KEV)	9.8 Critique (CWE-306)	Oracle Access Manager	2021
CVE-2021-22893	Use-after-free dans Ivanti Pulse Connect Secure permettant à des attaquants distants non authentifiés d'exécuter du code via les services de licence ; exploité contre des réseaux du secteur de la défense US. (CISA KEV, lié au ransomware)	10.0 Critique (CWE-416/287)	Ivanti Pulse Connect Secure	2021
CVE-2021-37415	Authentification manquante pour une fonction critique dans Zoho ManageEngine ServiceDesk Plus avant 11302 permettant d'accéder aux points de terminaison REST API sans authentification. (CISA KEV)	9.8 Critique (CWE-306)	Zoho ManageEngine ServiceDesk Plus	2021
CVE-2020-6287	SAP NetWeaver AS Java LM Configuration Wizard n'effectue pas de vérification d'authentification, permettant à des attaquants non authentifiés de créer des utilisateurs administrateurs ("RECON" vulnerability). (CISA KEV)	10.0 Critique (CWE-306)	SAP NetWeaver Application Server Java	2020
CVE-2020-10148	Contournement de l'authentification dans l'API SolarWinds Orion permettant à des attaquants distants non authentifiés d'exécuter des commandes API, pouvant entraîner la compromission totale de l'instance Orion. (CISA KEV)	9.8 Critique (CWE-306/288)	SolarWinds Orion Platform	2020
CVE-2020-12812	Authentification incorrecte dans Fortinet FortiOS SSL VPN permettant aux utilisateurs de contourner le MFA (FortiToken) en changeant la casse de leur nom d'utilisateur. (CISA KEV)	9.8 Critique (CWE-287)	Fortinet FortiOS SSL VPN	2020
CVE-2020-6207	Authentification manquante dans SAP Solution Manager User Experience Monitoring entraînant la compromission totale de tous les SMDAgents connectés au Solution Manager. (CISA KEV)	9.8 Critique (CWE-306)	SAP Solution Manager	2020
CVE-2020-13927	La configuration par défaut de l'API expérimentale Apache Airflow permet toutes les requêtes API sans authentification, autorisant un accès distant non authentifié aux fonctions critiques de workflow. (CISA KEV)	9.8 Critique (CWE-306)	Apache Airflow	2020
CVE-2019-11510	Lecture de fichiers arbitraires pré-authentification dans Ivanti Pulse Connect Secure VPN permettant à des attaquants distants non authentifiés de lire les fichiers d'identifiants de session. (CISA KEV)	10.0 Critique (CWE-22)	Ivanti Pulse Connect Secure	2019
CVE-2018-13379	Path traversal dans le portail web Fortinet FortiOS SSL VPN permettant à des attaquants non authentifiés de télécharger des fichiers système, y compris les magasins d'identifiants VPN. (CISA KEV, lié au ransomware)	9.8 Critique (CWE-22)	Fortinet FortiOS SSL VPN	2018

Conclusion

Le contournement de l'authentification supprime la vérification d'identité entre les utilisateurs externes et les utilisateurs de confiance. Une fois cette barrière franchie, les attaquants peuvent prendre le contrôle de comptes, obtenir un accès administratif, se déplacer latéralement, voler des données et déployer des ransomwares. Vous réduisez ce risque en renforçant les flux d'authentification, en sécurisant les sessions, en validant chaque chemin d'accès et en utilisant des outils qui relient l'identité, le endpoint et l'activité réseau.

FAQs

Le contournement de l'authentification est une faille qui permet à un attaquant d'accéder à un système sans identifiants valides. En pratique, l'application peut ignorer une vérification de connexion, faire confiance à des données client altérées, accepter une session volée ou exposer un chemin alternatif jamais protégé.

Elle est généralement regroupée sous CWE-287 et des faiblesses associées telles que l'absence d'authentification, le contournement par chemin alternatif et la fixation de session.

Oui. Le contournement de l'authentification correspond principalement à A07:2025. Certaines variantes, telles que la navigation forcée ou la manipulation de paramètres, peuvent également recouper le contrôle d'accès défaillant. Si un utilisateur peut accéder à une fonctionnalité protégée sans les vérifications d'identité prévues, le problème relève de la catégorie des échecs d'authentification de l'OWASP.

Oui. De nombreux cas de gravité élevée sont exploitables à distance sur des systèmes exposés à Internet tels que les VPN, les applications web et les interfaces de gestion.

Si la faille se situe dans un flux de connexion accessible au réseau, une API ou un canal alternatif, un attaquant peut n'avoir besoin que d'une simple accessibilité au service. C'est pourquoi les dispositifs en périphérie et les plateformes d'accès à distance sont si souvent ciblés lors des principales campagnes d'exploitation.

La plus grande exposition concerne généralement les services exposés à Internet : VPN, périphériques en périphérie, applications web, services cloud, API et infrastructures d'identité. Les interfaces d'administration et les canaux secondaires sont particulièrement à risque car ils sont souvent ajoutés ultérieurement et peuvent ne pas hériter des mêmes contrôles que le chemin de connexion principal.

Les appareils non gérés créent également des angles morts lorsque des identifiants compromis sont impliqués.

Les attaquants recherchent généralement des incohérences. Ils énumèrent les répertoires et les API, sondent des routes alternatives, testent le comportement des sessions et comparent la manière dont différentes interfaces appliquent l'authentification. Les divulgations publiques de CVE les aident également à cibler des produits et des schémas spécifiques.

Dans d'autres cas, des identifiants ou des jetons précédemment volés sont utilisés pour vérifier si une récupération ou une gestion de session faible peut être exploitée.

Les signes d'alerte courants incluent des changements de mot de passe ou d'e-mail sans réauthentification, la réutilisation de session depuis une adresse IP différente, des sessions simultanées pour le même compte, des connexions depuis un nouvel appareil sans vérification supplémentaire, et des modifications de facteurs MFA sans nouvelle vérification d'identité.

Des échecs de faible volume répartis sur de nombreux comptes peuvent également indiquer une attaque par pulvérisation de mots de passe plutôt que de simples erreurs de connexion.

Il s'agit de l'une des classes de vulnérabilités les plus impactantes car elle peut supprimer le contrôle qui sépare les utilisateurs externes des utilisateurs de confiance. Une fois cette barrière franchie, les attaquants peuvent directement prendre le contrôle de comptes, accéder à des fonctions administratives, effectuer des mouvements latéraux et lancer des activités de ransomware.

Les exemples de cet article montrent que le contournement de l'authentification apparaît régulièrement dans des CVE critiques et des chaînes d'exploitation à fort impact.

Oui. Le contournement de l'authentification est souvent le premier maillon d'une chaîne d'attaque plus large. Après l'accès initial, les attaquants peuvent collecter des identifiants, élever leurs privilèges, se déplacer latéralement, exfiltrer des données ou déployer un ransomware.

Dans les campagnes en chaîne, le contournement n'est pas une fin en soi ; il constitue le raccourci qui donne à l'attaquant un point d'entrée de confiance dans l'environnement.

Pas toujours. Les failles connues d'absence d'authentification et les points de terminaison exposés sont souvent identifiables avec des scanners, mais les failles logiques, les chemins alternatifs et l'abus de session peuvent être plus difficiles à détecter automatiquement.

C'est pourquoi une analyse en couches est essentielle : la détection de vulnérabilités, l'analyse comportementale, la surveillance des sessions et les tests structurés identifient chacun des aspects différents du problème.

L'industrie manufacturière, la santé, le secteur public, la finance et les infrastructures critiques présentent tous un risque accru selon les rapports cités ici. Le point commun est la dépendance aux services exposés à Internet, aux systèmes d'identité et à la continuité opérationnelle.

Là où les attaquants peuvent transformer un contournement en vol de données, perturbation ou accès à un ransomware, l'impact métier devient particulièrement grave.