Qu'est-ce que l'authentification défaillante ?
L’authentification défaillante est une classe de vulnérabilité qui permet aux attaquants de compromettre les identités des utilisateurs en exploitant des faiblesses dans la manière dont les applications vérifient qui vous êtes et maintiennent cet état vérifié. Lorsque les mécanismes de connexion, la gestion de session ou les processus de récupération d’identifiants comportent des failles, les attaquants peuvent usurper l’identité d’utilisateurs légitimes, escalader leurs privilèges et accéder aux systèmes sans autorisation.
Cette vulnérabilité figure dans chaque liste OWASP depuis les premières éditions du projet. OWASP a renommé et affiné la catégorie au fil du temps, reflétant une couverture plus large des faiblesses liées à l’authentification plutôt qu’une perte d’importance.
Le périmètre de l’authentification défaillante va bien au-delà du simple devinage de mot de passe. Il englobe le credential stuffing, la fixation de session, le contournement de MFA, la falsification de jetons, les identifiants codés en dur et l’absence d’authentification sur des fonctions critiques. Le CWE racine pour toute la catégorie est CWE-287, avec un large ensemble de CWE associés intégrés dans la catégorie dans les dernières classifications OWASP.
Selon le rapport DBIR, l’abus d’identifiants reste une méthode d’accès initiale majeure lors des violations. Comprendre le fonctionnement de l’authentification défaillante permet de mieux la contrer.
.jpg)
Comment fonctionne l’authentification défaillante ?
L’authentification défaillante exploite des failles dans deux domaines d’échec distincts : l’authentification, qui couvre la vérification de l’identité par les applications, et la gestion de session, qui couvre la manière dont elles maintiennent cette identité vérifiée pendant la durée de votre visite. Chaque domaine présente des surfaces d’attaque différentes, mais tous deux mènent au même résultat : un accès non autorisé.
Défaillances d’authentification
Lorsqu’une application ne vérifie pas correctement l’identité de l’utilisateur, les attaquants accèdent par la porte d’entrée. Une attaque de credential stuffing soumet des paires nom d’utilisateur/mot de passe volées à votre point de connexion. Si votre application n’applique pas de limitation de débit ou de verrouillage de compte, l’attaquant peut tester les identifiants à grande échelle jusqu’à trouver des paires valides.
Le déroulement de l’attaque est simple. L’attaquant obtient des bases d’identifiants issues de violations précédentes. Il injecte ces paires dans des outils automatisés ciblant votre page de connexion. L’application accepte chaque tentative sans limitation, verrouillage ou CAPTCHA. Lorsqu’une paire valide correspond, l’attaquant obtient un accès complet au compte.
La force brute suit un schéma similaire mais génère des combinaisons de mots de passe plutôt que de rejouer des identifiants connus. Le password spraying adopte l’approche inverse : tester un mot de passe courant sur de nombreux comptes simultanément pour éviter les seuils de verrouillage par compte.
Défaillances de gestion de session
Même après une authentification correcte, des failles dans la gestion de session peuvent transférer cet état authentifié à un attaquant. Lors d’une attaque de fixation de session (CWE-384), l’attaquant définit un identifiant de session connu avant votre connexion. Si votre application ne régénère pas l’ID de session après authentification, l’attaquant utilise l’ID prédéfini pour accéder à votre session authentifiée.
L’exposition du jeton de session crée une autre voie. Lorsque les ID de session apparaissent dans les URL, ils sont consignés dans les journaux d’accès serveur, l’historique du navigateur et les en-têtes HTTP referer. Un attaquant qui obtient l’URL obtient la session. Une expiration de session insuffisante (CWE-613) aggrave le problème : si vous fermez un onglet sans vous déconnecter, une personne utilisant le même navigateur plus tard peut trouver votre session toujours active.
Contournement du MFA
L’authentification multifacteur ajoute une seconde couche de vérification, mais les attaquants ont développé des techniques de contournement fiables. La fatigue MFA, parfois appelée prompt bombing, inonde l’appareil de l’utilisateur de notifications push jusqu’à ce qu’il en approuve une pour arrêter les interruptions. La violation Uber est souvent citée comme exemple de la manière dont des identifiants volés, des demandes MFA répétées et l’ingénierie sociale peuvent être enchaînés pour accéder à des systèmes internes.
Ces mécanismes fonctionnent car l’authentification défaillante n’est que rarement une faille unique. Il s’agit d’une chaîne de faiblesses, des identifiants faibles à l’absence de limitation de débit en passant par une mauvaise gestion de session, que les attaquants exploitent successivement.
Types d’authentification défaillante
L’authentification défaillante n’est pas une vulnérabilité unique mais une catégorie couvrant six types d’échec distincts. Chacun cible une couche différente de la pile d’authentification et nécessite des contrôles spécifiques pour être stoppé.
| Type | Ce qui échoue | Méthodes d’attaque courantes | CWE principaux |
| Attaques basées sur les identifiants | Politique de mot de passe, limitation de débit | Credential stuffing, force brute, password spraying | CWE-307, CWE-521 |
| Défauts de gestion de session | Cycle de vie et stockage de l’ID de session | Fixation de session, détournement de session, vol de cookie | CWE-384, CWE-613 |
| Contournement du MFA | Mise en œuvre du second facteur | Fatigue MFA, relais TOTP, échange de carte SIM | CWE-308 |
| Falsification de jeton | Protection des clés cryptographiques | Falsification d’assertion SAML, manipulation JWT, vol de jeton OAuth | CWE-347, CWE-345 |
| Identifiants codés en dur | Gestion des identifiants dans le code | Extraction d’identifiants statiques depuis le code source ou les fichiers de configuration | CWE-798 |
| Absence d’authentification | Application de l’authentification sur les fonctions critiques | Accès direct à un objet, contournement d’API, accès par chemin alternatif | CWE-306, CWE-288 |
Comprendre le type présent dans une application donnée détermine les contrôles à appliquer et les indices forensiques à rechercher. Le credential stuffing nécessite limitation de débit et MFA ; l’absence d’authentification sur une API d’administration requiert une réponse fondamentalement différente.
Causes de l’authentification défaillante
L’authentification défaillante ne résulte pas d’une seule erreur de conception. Elle émerge de faiblesses cumulées dans quatre catégories que les recommandations OWASP identifient comme interconnectées avec d’autres risques du Top 10, notamment le contrôle d’accès défaillant, les échecs cryptographiques et les bibliothèques obsolètes.
Défaillances de politique d’identifiants
Autoriser des mots de passe faibles, par défaut ou bien connus reste la cause la plus fondamentale. Lorsque votre application accepte des mots de passe par défaut courants sans contrôle, vous offrez aux attaquants une porte d’entrée facile (CWE-521). NIST 63B-4 exige que les vérificateurs contrôlent les nouveaux mots de passe par rapport à des listes d’identifiants compromis, mais de nombreuses applications omettent encore cette étape.
La réutilisation des mots de passe amplifie le problème. Le rapport DBIR souligne que la réutilisation des mots de passe entre services reste courante, ce qui rend les identifiants volés bien plus utiles aux attaquants.
Défaillances de conception du flux d’authentification
L’absence de MFA (CWE-308) laisse les comptes protégés par un seul facteur qui peut être volé, deviné ou hameçonné. Des mécanismes de récupération d’identifiants faibles reposant sur des réponses à des questions de connaissance créent une voie d’authentification parallèle facilement devinable. L’absence de limitation de débit sur les tentatives de connexion (CWE-307) permet aux attaquants de tester un grand nombre de combinaisons sans conséquence.
Les identifiants codés en dur dans le code source ou les fichiers de configuration (CWE-798) représentent une défaillance complète de conception. Cette faiblesse figure dans les derniers classements CWE Top 25 et a été confirmée par une alerte CISA lors d’exploitations actives sur des systèmes de contrôle industriel.
Défaillances de gestion du cycle de vie de session
Trois défaillances du cycle de vie de session créent des voies d’exploitation directes :
- Ne pas régénérer l’ID de session après connexion permet les attaques de fixation de session
- Laisser les sessions persister sans délai d’inactivité ou d’expiration absolue prolonge la fenêtre de détournement de session
- Intégrer les jetons de session dans les URL plutôt que dans des cookies sécurisés divulgue les identifiants à chaque système qui journalise ou met en cache l’URL
Chacune de ces failles augmente indépendamment le risque ; combinées, elles offrent aux attaquants plusieurs options pour maintenir un accès non autorisé.
Défaillances cryptographiques et de transport
Stocker les mots de passe en clair, utiliser un chiffrement réversible ou appliquer des algorithmes de hachage faibles signifie qu’une violation de base de données expose directement les identifiants. Les défaillances de transport comme une validation incorrecte des certificats (CWE-295) permettent aux attaquants d’intercepter le trafic d’authentification. Ces causes recoupent souvent OWASP A02:2021 Cryptographic Failures, démontrant comment l’authentification défaillante croise d’autres catégories de vulnérabilités.
Ces quatre catégories apparaissent rarement isolément. Une politique d’identifiants faible rend le credential stuffing possible ; l’absence de limitation de débit le rend praticable ; une mauvaise gestion de session prolonge la fenêtre d’attaque une fois l’accès obtenu. Comprendre les causes présentes dans votre système détermine à la fois la gravité du risque et le point de départ de la remédiation.
Impact et risque de l’authentification défaillante
Les conséquences de l’authentification défaillante vont de la compromission d’un compte individuel à des violations à l’échelle de l’organisation, avec des répercussions réglementaires, financières et opérationnelles.
Prévalence des violations
Les défaillances d’authentification figurent parmi les chemins d’accès initial les plus exploités. Le rapport DBIR confirme que l’abus d’identifiants reste un moteur majeur de violation. Dans les attaques de base sur les applications web, les identifiants volés sont particulièrement fréquents dans les services financiers.
Conséquences financières
Le rapport IBM indique que le coût moyen mondial d’une violation de données a atteint 4,88 millions de dollars en 2024, soit une augmentation de 10 % par rapport à l’année précédente. Les organisations de services financiers ont enregistré une moyenne de 6,08 millions de dollars par violation, soit 22 % au-dessus de la moyenne mondiale. Au-delà des coûts directs, 70 % des organisations victimes ont signalé une perturbation opérationnelle significative ou modérée.
Effets d’entraînement sur l’activité
L’authentification défaillante reste rarement contenue. Un identifiant compromis devient un point de pivot pour le mouvement latéral, l’escalade de privilèges, l’exfiltration de données et le déploiement de ransomware. Le DBIR de Verizon a trouvé une corrélation entre la victimisation par ransomware et la présence de domaines victimes dans des bases d’identifiants, liant directement la faiblesse d’authentification au risque ransomware.
L’authentification défaillante n’est pas une préoccupation abstraite de la sécurité applicative. C’est un mécanisme principal par lequel débutent les violations.
Comment les attaquants exploitent l’authentification défaillante
Les attaquants choisissent leur approche en fonction de la faiblesse d’authentification spécifique découverte. Voici les principales techniques d’exploitation, associées aux CWE ciblés.
Fatigue MFA et ingénierie sociale
Lorsque le MFA bloque une tentative de credential stuffing, les attaquants passent à l’ingénierie sociale. La fatigue MFA envoie des notifications push répétées à l’utilisateur légitime jusqu’à ce qu’il en approuve une. L’avis CISA a documenté une technique connexe : après avoir forcé un mot de passe faible sur un compte dormant, les attaquants ont enrôlé un nouvel appareil MFA car la configuration par défaut de Duo permettait la réinscription pour les comptes inactifs, obtenant ainsi l’accès au réseau.
Falsification de jeton SAML
Lors de la campagne SolarWinds/SUNBURST, les attaquants ont extrait des clés de chiffrement privées depuis les conteneurs Active Directory Federation Services, puis forgé des assertions SAML reconnues comme valides par toute partie de confiance. Selon le rapport CISA, cette technique Golden SAML a contourné l’authentification sans posséder d’identifiants légitimes, donnant accès à des environnements cloud de plusieurs agences fédérales américaines.
Détournement de session via divulgation de jeton
CVE-2023-4966, connu sous le nom de Citrix Bleed, a permis aux attaquants d’extraire des jetons de session valides depuis des appliances d’accès à distance. Avec un jeton de session volé, l’attaquant usurpe un utilisateur déjà authentifié, contournant à la fois le mot de passe et le MFA. CISA a confirmé une exploitation active en zero-day avant la disponibilité d’un correctif [cite-19].
Contournement de l’authentification via chemin alternatif
Certaines vulnérabilités éliminent toute exigence d’authentification. Une faille sur un équipement réseau a permis un accès super-admin non authentifié via un websocket Node.js et a reçu une sévérité critique [cite-20]. Une autre faille d’interface de gestion a permis une élévation de privilèges admin sans authentification via l’interface web de gestion. Le problème d’interface de gestion correspond à CWE-306 : absence totale d’authentification sur une fonction critique, tandis que le problème websocket correspond à CWE-288 : contournement de l’authentification via un chemin ou canal alternatif.
Attaques de capture-rejeu
Les attaquants interceptent des jetons ou identifiants d’authentification en transit et les rejouent pour obtenir un accès (CWE-294). Sans jetons contraints à l’expéditeur comme spécifié dans la RFC 9700, les implémentations OAuth restent vulnérables à cette technique.
Chacune de ces techniques produit des signatures forensiques différentes, ce qui détermine comment les détecter et y répondre.
Qui est concerné par l’authentification défaillante ?
L’authentification défaillante concerne toute organisation qui s’appuie sur l’identité utilisateur pour le contrôle d’accès. Cependant, certains secteurs et types de systèmes présentent un risque accru.
Applications web et API
Toute application gérant sa propre authentification est directement exposée. OWASP traite explicitement l’authentification défaillante spécifique aux API dans le projet OWASP API Security, notant que les points de terminaison d’authentification nécessitent des protections contre la force brute plus strictes que la limitation de débit API standard.
Plateformes cloud et SaaS
La campagne Snowflake/UNC5537 a démontré que les plateformes cloud avec authentification à facteur unique sont des cibles de grande valeur, de nombreuses organisations ayant été compromises car les comptes concernés n’avaient pas de MFA. Les plateformes cloud qui délèguent l’authentification à des fournisseurs d’identité héritent des faiblesses de l’IdP.
Services financiers
Les institutions financières font face à un risque disproportionné. Le snapshot finance de Verizon montre que les identifiants volés dominent les violations d’applications web dans la finance. L’incident de credential stuffing chez PayPal a entraîné un règlement réglementaire et la mise en place du MFA obligatoire pour les comptes clients américains.
Infrastructures critiques et équipements réseau
Les passerelles VPN, pare-feu et interfaces de gestion réseau sont des cibles privilégiées. CVE-2019-11510, CVE-2024-55591 et CVE-2024-53704 représentent tous des vulnérabilités de contournement d’authentification sur des dispositifs périmétriques ajoutés au catalogue des vulnérabilités exploitées de CISA.
Santé et secteur public
Les organisations manipulant des données personnelles sensibles font face à la fois à un risque de violation et à des conséquences réglementaires, CISA documentant que l’authentification faible figure systématiquement parmi ses principales constatations selon l’évaluation de l’authentification de CISA pour les systèmes fédéraux à forte valeur.
Les violations suivantes illustrent la matérialisation de ces risques dans différents secteurs.
Exemples concrets d’authentification défaillante
Ces violations illustrent comment l’authentification défaillante se manifeste dans différents secteurs, techniques d’attaque et échelles d’impact.
23andMe : Credential Stuffing et exposition massive de données
Des attaquants ont utilisé le credential stuffing pour accéder à un sous-ensemble de comptes 23andMe dont les mots de passe correspondaient à ceux de violations précédentes. Grâce à la fonctionnalité DNA Relatives, ce point d’appui s’est étendu à un ensemble beaucoup plus large de profils exposés. Selon les dépôts SEC de 23andMe, l’entreprise a engagé des frais liés à l’incident. Le MFA n’était pas obligatoire au moment de la violation.
Snowflake/UNC5537 : Identifiants infostealer réutilisés ultérieurement
L’acteur UNC5537 a utilisé le vol d’identifiants via un infostealer pour compromettre des organisations via des comptes Snowflake. Selon l’enquête de Mandiant, aucun des comptes concernés n’avait le MFA activé. Les victimes incluent Ticketmaster, Santander Bank et Advance Auto Parts.
SolarWinds/SUNBURST : Falsification de jeton SAML
Des acteurs étatiques russes ont compromis le processus de build SolarWinds et utilisé cet accès pour voler les clés privées ADFS. Selon le rapport CISA, ils ont forgé des jetons SAML de confiance pour accéder à des environnements cloud de plusieurs agences gouvernementales américaines sans posséder d’identifiants légitimes.
PayPal : Credential Stuffing et conséquences réglementaires
Des attaquants ont utilisé le credential stuffing pour accéder à des comptes clients, exposant des données sensibles. Le DFS de New York a imposé un règlement réglementaire et exigé le MFA obligatoire pour les comptes clients américains.
GoDaddy : Compromission d’identifiants sur plusieurs années
Un mot de passe administrateur compromis a permis aux attaquants d’accéder à l’environnement Managed WordPress de GoDaddy, selon le rapport de violation GoDaddy. La violation a affecté de nombreux clients Managed WordPress actifs et inactifs, avec vol d’identifiants admin WordPress, comptes FTP et adresses e-mail. Les attaquants ont également installé des malwares et obtenu le code source.
Yahoo : Falsification de cookie à grande échelle
La violation Yahoo a finalement touché les 3 milliards de comptes utilisateurs, selon la couverture du New York Times. Les attaquants ont utilisé des cookies d’authentification falsifiés pour accéder aux comptes sans mot de passe. Une violation ultérieure impliquait du spear-phishing pour des identifiants administrateur, la falsification de cookie étant liée à un acteur étatique.
Ces incidents s’inscrivent dans un schéma historique plus large remontant à deux décennies.
Authentification défaillante : chronologie
L’histoire de l’authentification défaillante suit l’évolution même de la sécurité web, des premières failles de gestion de session aux attaques actuelles sur la couche identité.
| Année | Événement marquant |
| 2004 | Première publication OWASP Top 10 : « Broken Authentication and Session Management » nommé en A3. |
| 2012 | Violation LinkedIn : exposition massive d’identifiants via hachage SHA-1 sans sel. |
| 2013 | Violation Yahoo : tous les comptes affectés, code malveillant contournant les contrôles. OWASP classe l’authentification défaillante en A2. |
| 2017 | OWASP Top 10 maintient l’authentification défaillante en A2 et souligne la disponibilité de vastes collections d’identifiants pour le stuffing. |
| 2019 | CVE-2019-11510, Pulse Connect Secure, ajouté au CISA KEV. |
| 2020 | SolarWinds/SUNBURST : falsification de jeton SAML, compromission d’agences fédérales américaines. |
| 2021 | CISA documente le contournement du MFA Duo par des acteurs russes via réinscription de comptes dormants. OWASP reclasse la catégorie en A07. |
| 2022 | Violation Uber via fatigue MFA. Credential stuffing PayPal entraîne un règlement réglementaire. |
| 2023 | Credential stuffing 23andMe expose des millions de profils. Citrix Bleed permet le détournement de session. |
| 2024 | Campagne Snowflake/UNC5537 : violations multiples sur absence de MFA. |
| 2025 | OWASP Top 10:2025 élargit encore la catégorie. CVE-2024-55591 attire l’attention, et le DBIR Verizon confirme l’abus d’identifiants comme voie d’accès initiale majeure. |
L’authentification défaillante est passée d’une faille d’application web à un problème de sécurité des identités couvrant applications, infrastructures et environnements cloud.
Comment détecter l’authentification défaillante
La détection de l’authentification défaillante nécessite une approche multicouche couvrant les défauts de conception applicative, l’abus d’identifiants à l’exécution et les anomalies comportementales post-authentification.
Analyse des journaux et des sessions
La cheat sheet OWASP Authentication précise qu’il faut journaliser et examiner tous les échecs d’authentification, d’échec de mot de passe et de verrouillage de compte. Recherchez les schémas indiquant du credential stuffing : volumes élevés d’échecs de connexion sur différents comptes depuis la même plage IP, ou échecs sur un même compte depuis des localisations géographiques diverses.
La cheat sheet OWASP Session Management identifie les événements de session devant déclencher une réauthentification : connexions depuis de nouvelles IP, tentatives de changement de mot de passe, et finalisation de flux de récupération de compte. Faites la distinction entre une gestion de session permissive, qui accepte tout ID de session défini par l’utilisateur (vulnérable), et une gestion stricte, qui n’accepte que les ID générés côté serveur.
Tests dynamiques de sécurité applicative (DAST)
Le guide de test OWASP définit des procédures spécifiques à l’authentification dans la série WSTG-ATHN. Elles couvrent la recherche d’identifiants par défaut, de mécanismes de verrouillage faibles, de contournement de schéma d’authentification, de flux de réinitialisation de mot de passe vulnérables, de questions de sécurité faibles et de failles de mise en œuvre du MFA. Les outils comme les scanners DAST et les utilitaires de test de mot de passe exécutent ces tests sur des applications en fonctionnement.
Analyse statique pour identifiants codés en dur
Les outils d’analyse statique (SAST) analysent le code source avant déploiement pour détecter les mots de passe codés en dur (CWE-798), les implémentations cryptographiques faibles et la logique de session non sécurisée. Cela permet d’identifier des failles de gestion d’identifiants que le DAST ne peut pas atteindre car elles existent dans des chemins de code non exposés à l’interface externe de l’application.
Détection et réponse aux menaces sur l’identité (ITDR)
Les attaquants utilisant des identifiants volés valides échappent à la fois à la sécurité réseau et à la sécurité des endpoints car leur trafic paraît légitime et n’implique aucun malware. Les systèmes ITDR surveillent spécifiquement la couche identité, comparant les événements d’authentification à des bases comportementales. Les écarts signalés incluent des connexions depuis des localisations inhabituelles, des mouvements latéraux entre ensembles de données non liés et des demandes d’escalade de privilèges inhabituelles. L’architecture XDR étend cela en corrélant les anomalies d’authentification avec les mouvements latéraux réseau ultérieurs, révélant toute la chaîne d’attaque que des outils cloisonnés ne voient pas.
Comment prévenir l’authentification défaillante
La prévention s’aligne directement sur les causes racines. Chaque contrôle ci-dessous cible des sous-types spécifiques d’authentification défaillante avec des références aux standards applicables.
Déployer un MFA résistant au phishing
Les recommandations CISA identifient FIDO2/WebAuthn et les cartes à puce PIV/CAC comme référence pour un MFA résistant au phishing. Le MFA par push est vulnérable à la fatigue et au phishing en temps réel sollicitant des codes à usage unique. NIST SP 800-63B exige un MFA approuvé à des niveaux d’assurance renforcés.
Appliquer des politiques d’identifiants modernes
Alignez-vous sur les exigences NIST 63B-4 : vérifiez les nouveaux mots de passe par rapport à des listes d’identifiants compromis, autorisez tous les types de caractères y compris Unicode et espaces, appliquez une longueur minimale et n’exigez pas de rotation périodique. La cheat sheet OWASP Authentication recommande d’inclure un indicateur de robustesse et de ne faire tourner les identifiants qu’en cas de fuite confirmée.
Pour le stockage, la cheat sheet sur le stockage des mots de passe recommande Argon2id comme algorithme de hachage principal, avec scrypt, bcrypt et PBKDF2 comme alternatives acceptables. Incluez un salage, un peppering et une configuration du facteur de travail appropriés, avec des chemins de migration pour les anciens hachages.
Mettre en œuvre la limitation de débit et le verrouillage de compte
Appliquez des protections contre la force brute sur les points d’authentification, plus strictes que la limitation de débit API standard. Le projet OWASP API Security 2023 spécifie la mise en place de verrouillage de compte, CAPTCHA et délais progressifs. Le guide de test OWASP décrit aussi les seuils de verrouillage typiques utilisés en pratique.
Une fois l’utilisateur authentifié, la session devient la nouvelle surface d’attaque. Sécuriser la manière dont cette session est émise, stockée et expirée est un contrôle distinct et tout aussi important.
Sécuriser la gestion de session
Utilisez des ID de session générés côté serveur avec une forte entropie issue d’un générateur de nombres aléatoires cryptographiquement sécurisé. Régénérez l’ID de session après chaque connexion réussie. Définissez des délais d’inactivité et d’expiration absolue. N’intégrez jamais de jetons de session dans les URL. La cheat sheet OWASP Session Management recommande d’utiliser les frameworks de gestion de session intégrés (J2EE, ASP.NET, PHP) plutôt que des implémentations personnalisées.
Renforcer l’énumération et la récupération de compte
Utilisez des messages de réponse identiques pour tous les résultats d’authentification afin que les attaquants ne puissent distinguer les noms d’utilisateur valides des invalides. La cheat sheet forgot password précise que les questions de sécurité ne doivent jamais être le seul mécanisme de récupération et que les points de terminaison de récupération d’identifiants nécessitent les mêmes protections contre la force brute que les points de connexion.
Éliminer les identifiants par défaut
OWASP A07 indique explicitement : « Ne livrez ni ne déployez jamais avec des identifiants par défaut, en particulier pour les utilisateurs admin. » Intégrez la vérification des identifiants par défaut à votre checklist de déploiement.
Pour les applications utilisant OAuth et OIDC, des identifiants robustes et une hygiène de session ne suffisent pas à elles seules. Les contrôles au niveau du jeton préviennent les attaques de rejeu et de falsification opérant au-dessus de la couche identifiant.
Renforcer la sécurité des jetons pour OAuth/OIDC
La RFC 9700 exige des jetons d’accès contraints à l’expéditeur, la rotation des jetons de rafraîchissement pour les clients publics et le TLS mutuel selon la RFC 8705 pour prévenir les attaques de rejeu de jeton.
La mise en œuvre de ces contrôles nécessite les bons outils sur plusieurs couches de sécurité.
Outils de détection et de prévention
Stopper l’authentification défaillante nécessite une couverture sur plusieurs catégories d’outils, aucune ne couvrant à elle seule toute la surface d’attaque.
| Catégorie d’outil | Fonction principale | Attaques d’authentification traitées |
| Outils DAST | Test des flux d’authentification à l’exécution | Contournement, verrouillage faible, exposition de jeton de session, identifiants par défaut |
| Outils SAST | Analyse du code source avant déploiement | Identifiants codés en dur, crypto faible, logique de session non sécurisée |
| ITDR | Surveillance comportementale de la couche identité | Credential stuffing, mouvement latéral post-compromission, escalade de privilèges |
| XDR avec corrélation identité | Télémétrie inter-couches : endpoint, réseau, cloud, identité | Mouvement latéral post-authentification, déplacement impossible, reconstruction complète de la chaîne d’attaque |
| IA comportementale / UEBA | Anomalie statistique sur les flux d’événements d’authentification | Abus d’identifiants, activité anormale de comptes de service |
Aucun outil ne couvre à lui seul toute la surface d’attaque. Une couverture efficace combine tests pré-déploiement, surveillance comportementale à l’exécution et corrélation identité sur toutes les sources. Voici comment SentinelOne couvre toute la pile de bout en bout.
Comment SentinelOne peut-il aider ?
Quand des attaquants volent des identifiants, ils agissent vite. SentinelOne vous aide à détecter et stopper les attaques basées sur l’identité sur l’ensemble de votre environnement en temps réel. Voici comment nos solutions fonctionnent ensemble et vous aident.
Singularity™ AI SIEM : visibilité large sur les menaces
Commencez avec Singularity™ AI SIEM. Il ingère la télémétrie d’authentification des endpoints, réseaux, services cloud et fournisseurs d’identité, puis corrèle tout en un seul endroit. Son analyse comportementale détecte les déplacements impossibles (même jeton à New York et Tokyo à quelques minutes d’intervalle), les anomalies de session concurrentes et l’escalade de privilèges via manipulation de jeton. Lors des MITRE ATT&CK Evaluations 2024, la plateforme Singularity a détecté 100 % des étapes d’attaque sans délai et 88 % d’alertes en moins que la médiane—votre équipe n’est donc pas noyée sous le bruit.
Singularity™ Identity : identifiez les faiblesses avant vos attaquants
Singularity™ Identity vous offre une détection et réponse continue aux menaces sur l’identité (ITDR). Il analyse les identifiants faibles, exposés ou compromis sur Active Directory local et les fournisseurs cloud comme Entra ID, Okta, Ping, Duo et SecureAuth. Vous visualisez les pics inhabituels d’échecs de connexion, les connexions depuis des localisations anormales et les tentatives de Kerberosting sur les comptes de service. Il inclut aussi la gestion de posture de sécurité des identités (ISPM), pour une évaluation continue de votre posture identité—pas seulement des audits ponctuels.
Purple AI : posez vos questions en langage naturel, obtenez des réponses rapides
Lorsqu’une alerte se déclenche, Purple AI accélère l’investigation. Posez simplement une question en langage naturel comme « montre-moi tous les systèmes auxquels ce compte compromis a accédé ces 72 dernières heures ». Vous obtenez des résultats corrélés avec le contexte tactique MITRE ATT&CK. Selon une étude IDC Business Value, les équipes sécurité utilisant Purple AI identifient les menaces 63 % plus vite et les remédient 55 % plus rapidement.
Utilisez Singularity™ Data Lake et Storyline™
Toutes les données d’événements sont centralisées dans le Singularity™ Data Lake, normalisées selon l’Open Cybersecurity Schema Framework (OCSF). Les requêtes s’exécutent jusqu’à 100x plus vite que sur les SIEM traditionnels. La technologie Storyline reconstitue ensuite toute la chaîne d’attaque—reliant le vol initial d’identifiants à chaque mouvement latéral, escalade de privilèges et accès aux données—pour une chronologie complète sans corrélation manuelle.
Demandez une démo SentinelOne pour voir Singularity AI SIEM et Singularity Identity en action.
Réduire les risques liés à l'identité dans l'ensemble de votre organisation
Détecter et répondre aux attaques en temps réel grâce à des solutions globales pour Active Directory et Entra ID.
Obtenir une démonstrationVulnérabilités associées
L’authentification défaillante croise et permet plusieurs autres classes de vulnérabilités :
- Contrôle d’accès défaillant (OWASP A01:2021) : L’authentification vérifie qui vous êtes ; le contrôle d’accès vérifie ce que vous pouvez faire. Une faille d’authentification qui accorde à l’attaquant l’accès à un compte valide hérite des permissions de ce compte, rendant le contrôle d’accès caduc.
- Défaillances cryptographiques (OWASP A02:2021) : Un hachage de mot de passe faible, un stockage en clair ou une validation de certificat incorrecte sont des échecs cryptographiques qui permettent directement la compromission de l’authentification.
- Mauvaise configuration de sécurité (OWASP A05:2021) : Identifiants par défaut, paramètres de réinscription MFA trop permissifs et délais de session trop longs sont des erreurs de configuration créant des faiblesses d’authentification.
- Server-Side Request Forgery (SSRF) : Le SSRF peut être combiné à un contournement d’authentification pour accéder à des services internes faisant confiance aux requêtes du serveur compromis.
- Vulnérabilités d’injection : L’injection SQL sur les requêtes d’authentification peut contourner toute la logique de connexion en manipulant la requête de validation des identifiants.
- Vol d’identifiants (MITRE ATT&CK T1078 Valid Accounts) : L’utilisation de comptes valides obtenus par n’importe quel mécanisme de vol correspond directement à la phase post-exploitation de l’authentification défaillante.
Traiter l’authentification défaillante ne réduit pas seulement le risque identité isolément. Des politiques d’identifiants renforcées, un MFA imposé et des sessions durcies réduisent la surface d’attaque partagée sur laquelle reposent le contrôle d’accès défaillant, les échecs cryptographiques et la mauvaise configuration.
CVEs associés
| ID CVE | Description | Gravité | Produit affecté | Année |
| Contournement de l’authentification API dans une plateforme de gestion de terminaux mobiles permettant un accès non authentifié à des fonctionnalités restreintes | ÉLEVÉE | Ivanti Endpoint Manager Mobile | 2025 | |
| Absence d’authentification sur un point d’exécution de code permettant l’injection de code à distance sans authentification | CRITIQUE | Langflow AI workflow platform | 2025 | |
| Absence d’authentification sur l’interface web de gestion permettant un accès administratif non authentifié | ÉLEVÉE | Palo Alto PAN-OS | 2025 | |
| Authentification incorrecte dans le composant SSLVPN permettant aux attaquants de détourner des sessions VPN actives | ÉLEVÉE | SonicWall SonicOS | 2024 | |
| Contournement de l’authentification de la console d’administration permettant à des attaquants distants non authentifiés d’obtenir un accès administratif complet | CRITIQUE | Ivanti Cloud Services Appliance | 2024 | |
| Contournement de l’authentification via un chemin alternatif permettant la prise de contrôle complète non authentifiée d’une plateforme de support à distance | CRITIQUE | ConnectWise ScreenConnect | 2024 | |
| Divulgation de jeton de session en mémoire permettant aux attaquants de détourner des sessions authentifiées et de contourner le MFA (Citrix Bleed) | CRITIQUE | Citrix NetScaler ADC and Gateway | 2023 | |
| Contournement de l’authentification sur des points d’API critiques menant à l’exécution de code à distance non authentifiée sur un serveur CI/CD | CRITIQUE | JetBrains TeamCity | 2023 | |
| Contournement de l’authentification API permettant un accès non authentifié à des points de terminaison restreints et à des données sensibles | CRITIQUE | Ivanti Endpoint Manager Mobile | 2023 | |
| Contournement de l’authentification SAML via une bibliothèque Apache xmlsec obsolète permettant l’exécution de code à distance non authentifiée | CRITIQUE | Zoho ManageEngine (20+ produits) | 2022 | |
| Contournement de l’authentification via un chemin ou canal alternatif permettant à des attaquants non authentifiés d’effectuer des opérations privilégiées | CRITIQUE | Fortinet FortiOS / FortiProxy / FortiSwitchManager | 2022 | |
| Absence d’authentification sur l’API iControl REST permettant à des attaquants non authentifiés d’exécuter des commandes système arbitraires | CRITIQUE | F5 BIG-IP | 2022 | |
| Absence d’authentification sur le composant OpenSSO Agent permettant la prise de contrôle complète du système via HTTP sans authentification | CRITIQUE | Oracle Access Manager (Fusion Middleware) | 2021 | |
| Vulnérabilité SSRF permettant le contournement de l’authentification et l’exécution de code à distance non authentifiée (ProxyLogon) | CRITIQUE | Microsoft Exchange Server | 2021 | |
| Contournement de l’authentification via les fonctions Windows File Share Browser et Collaboration permettant une exécution de code à distance non authentifiée | CRITIQUE | Ivanti Connect Secure (Pulse Connect Secure) | 2021 | |
| Compte codé en dur non documenté avec mot de passe non modifiable accordant un accès admin complet non authentifié via SSH et interface web | CRITIQUE | Zyxel USG / ATP / VPN firmware | 2020 | |
| Absence d’authentification sur l’API expérimentale permettant un accès distant non authentifié et l’exécution de code arbitraire | CRITIQUE | Apache Airflow | 2020 | |
| Mauvaise gestion de la casse du nom d’utilisateur permettant aux attaquants de contourner l’authentification à deux facteurs sur SSL VPN sans FortiToken | CRITIQUE | Fortinet FortiOS SSL VPN | 2020 | |
| Contournement de l’authentification sur le point wsdReadForm permettant la récupération et le déchiffrement de tous les identifiants utilisateurs via une clé XOR codée en dur | MOYENNE | eWON Firmware 12.2–13.0 | 2019 | |
| Injection SQL sur le point de connexion contournant totalement l’authentification et accordant un accès non authentifié au tableau de bord | CRITIQUE | E Learning Script 1.0 | 2019 | |
| Injection SQL via un paramètre POST permettant le contournement de l’authentification et un accès non autorisé à la base de données | ÉLEVÉE | Simplejobscript | 2019 |
Conclusion
L’authentification défaillante demeure l’un des chemins d’accès initial les plus exploités lors des violations en entreprise. Si vos contrôles d’authentification échouent, les attaquants peuvent transformer des mots de passe faibles, des sessions fragiles, un contournement de MFA ou des contrôles manquants en compromission complète de compte.
Vous réduisez ce risque avec un MFA résistant au phishing, des politiques d’identifiants modernes, une gestion de session sécurisée et une visibilité sur la couche identité montrant comment les identifiants volés sont utilisés.
FAQ
L'authentification défaillante est une défaillance de la confiance dans l'identité. Elle survient lorsqu'une application ne peut pas vérifier de manière fiable l'identité d'un utilisateur ou ne peut pas maintenir cette identité de façon sécurisée après la connexion.
En pratique, cela inclut des vérifications d'identifiants faibles, des flux de récupération fragiles et des défauts de gestion de session permettant aux attaquants d'agir comme des utilisateurs légitimes.
Oui. L'OWASP inclut cette catégorie depuis la première version du Top 10 en 2004. Les changements de nom sont importants : le passage de « Broken Authentication » à « Identification and Authentication Failures » puis « Authentication Failures » montre que le risque englobe désormais les mots de passe, la MFA, l'état de session, la fédération et les chemins d'accès alternatifs.
Généralement oui. La frontière de confiance se situe souvent sur une connexion exposée à Internet, une API, une passerelle VPN, un compte SaaS ou une interface de gestion.
Les attaquants peuvent réutiliser des identifiants valides, abuser des chemins d'authentification exposés ou détourner des sessions, ce qui peut faire passer l'activité pour un accès normal plutôt qu'une exploitation traditionnelle.
Les systèmes les plus à risque sont ceux qui prennent des décisions d'identité pour d'autres systèmes : applications web, API, consoles cloud, services connectés SSO et équipements de périmètre.
Une règle simple s'applique : plus un compte peut pivoter largement après connexion, plus une défaillance d'authentification devient dommageable.
Ils combinent généralement des tests et de la réutilisation. Les tests révèlent des verrouillages faibles, des défauts de récupération, de MFA ou de gestion de session. La réutilisation applique des identifiants volés, des jetons ou des CVE connus qui fonctionnent déjà.
Cela rend la découverte relativement peu coûteuse car les attaquants n'ont souvent pas besoin d'une exploitation inédite pour accéder.
Les premiers signes sont généralement des schémas, pas des alertes uniques. Les indicateurs courants incluent des échecs de connexion distribués, des déplacements impossibles, une activité de récupération inhabituelle, des demandes MFA répétées et de nouveaux comportements de session après une connexion réussie.
Le signal clé est une séquence qui traverse les événements d'authentification, de session et de privilèges.
Elle est grave car elle compromet le contrôle qui conditionne tous les autres contrôles. Lorsqu'une authentification échoue, un attaquant peut hériter d'un accès utilisateur normal, d'un accès privilégié ou d'une confiance fédérée vers des systèmes en aval.
Ce rayon d'impact élargi explique pourquoi l'abus d'identifiants et les défauts de contournement d'authentification sont liés à des compromissions majeures.
Oui. L'échec de l'authentification est souvent le point d'entrée, pas l'état final. Une fois à l'intérieur, les attaquants peuvent se déplacer latéralement, élever leurs privilèges, accéder à des ressources cloud ou persister via des canaux d'identité de confiance.
Un seul compte compromis peut rapidement devenir un problème d'accès à l'échelle de l'organisation.
Seulement en partie. Les tests automatisés sont utiles pour détecter les verrouillages faibles, les défauts de récupération, les contrôles manquants et les identifiants codés en dur. Ils sont moins efficaces lorsque les attaquants utilisent des identifiants valides ou des jetons volés, car ces actions peuvent sembler légitimes.
C'est pourquoi la surveillance de l'identité et la corrélation inter-couches sont importantes.
Les secteurs les plus exposés sont ceux où l'accès authentifié donne directement accès à des données réglementées, des mouvements de fonds, un contrôle administratif ou des opérations critiques. Les services financiers, le secteur public, la santé, les entreprises fortement orientées cloud et les opérateurs d'infrastructures correspondent à ce profil.
Le facteur de risque commun est la valeur et la portée de ce qu'un compte de confiance peut débloquer.
