A07:2021 - Échecs d'identification et d'authentification

Les échecs d'authentification surviennent lorsqu'une application implémente incorrectement la gestion des sessions ou les fonctions d'identité, permettant aux attaquants de compromettre les comptes utilisateurs.

Vulnérabilités d'authentification clés

1. Faible gestion des mots de passe : Autoriser des mots de passe courts et courants, ou utiliser un hachage obsolète (MD5).
2. ID de session exposés : Stocker des jetons de session (cookies) sans les drapeaux Secure ou HttpOnly, les rendant vulnérables au XSS ou au sniffing réseau.
3. Vulnérabilité à la force brute : Ne pas implémenter de politiques de verrouillage de compte après plusieurs échecs, rendant les attaques par dictionnaire triviales.
4. Récupération d'identifiants incorrecte : Failles dans la fonctionnalité « Mot de passe oublié » (ex : envoi du mot de passe en clair par email).

Défense : Implémenter la MFA, utiliser des algorithmes d'étirement de clé robustes (Bcrypt) et s'assurer que les jetons de session ont une durée de vie courte et sont transmis de manière sécurisée.