Aller au contenu

Authentification à deux facteurs (2FA) pour les analyses automatisées

Présentation

La plateforme prend en charge les applications protégées par une Authentification à deux facteurs (2FA).
Les analyses peuvent exécuter automatiquement les flux d'authentification nécessitant une vérification supplémentaire, permettant à l'évaluation de sécurité de se poursuivre sans intervention manuelle.

Les mécanismes d'authentification pris en charge incluent :

  • Mots de passe à usage unique (OTP) par SMS
  • Mots de passe à usage unique basés sur le temps (TOTP) générés par des applications d'authentification
  • Flux d'authentification sans mot de passe (Jetons par e-mail)
  • Mécanismes d'authentification basés sur le navigateur

Cela permet au scanner de s'authentifier de manière sécurisée et de poursuivre le test des zones protégées de votre application.

Ce que cela permet

  • Des analyses de sécurité entièrement automatisées, même avec une authentification à plusieurs étapes
  • Une couverture de bout en bout du flux de connexion complet
  • La gestion automatique des OTP via la récupération de SMS ou la génération de TOTP en temps réel
  • Une compatibilité avec la plupart des implémentations 2FA standards

Méthodes 2FA prises en charge

1. 2FA par SMS

Le 2FA par SMS est un mécanisme d'authentification qui sécurise l'accès à une application en demandant à l'utilisateur de saisir un mot de passe à usage unique (OTP) envoyé par SMS au numéro de téléphone enregistré.

La plateforme prend en charge l'automatisation complète de ce flux d'authentification. Elle permet au scanner de sécurité d'effectuer des analyses authentifiées sur les applications nécessitant une vérification par SMS en interceptant, extrayant et injectant automatiquement l'OTP, garantissant ainsi une couverture de bout en bout et sans interruption du flux de connexion.

Prérequis

Avant de configurer le 2FA par SMS dans la plateforme, assurez-vous d'avoir suivi ces étapes :

  1. Contacter le support : Contactez le Support Ostorlab pour demander votre numéro de téléphone de test dédié.
  2. Configurer un compte de test : Mettez à jour le compte de test de votre application pour utiliser ce numéro pour le 2FA.
  3. Identifier l'expéditeur : Déclenchez l'envoi d'un OTP vers le numéro de test via votre application pour identifier le Numéro de téléphone de l'expéditeur officiel (le numéro spécifique ou le code court à partir duquel votre application envoie les messages SMS OTP).

Configuration

Une fois que vous disposez de votre numéro de test dédié et que vous avez identifié le numéro de téléphone de l'expéditeur :

  1. Naviguer : Allez dans Scan > Test Credentials > New > 2FA SMS.
  2. Étiquette : Fournissez un nom descriptif pour cette information d'identification (par exemple, "Production SMS 2FA").
  3. Numéro de téléphone de l'expéditeur : Saisissez le Numéro de téléphone de l'expéditeur que vous avez identifié lors de l'étape des prérequis (par exemple, +15550001111).
  4. Enregistrer : Cliquez sur Add pour stocker les informations d'identification de manière sécurisée.

Dépannage

  • Configuration : Assurez-vous que le 2FA par SMS est activé sur le compte de test.
  • Filtrage : Confirmez que les stratégies de limitation de débit ou anti-spam de votre application autorisent les messages entrants provenant de la passerelle.
  • ID de l'expéditeur : Si le scanner ne parvient pas à capturer l'OTP, vérifiez que le "Numéro de téléphone de l'expéditeur" correspond exactement au numéro affiché sur l'appareil lors de la réception d'un OTP.
Capture d'écran : Configuration du 2FA par SMS

2. OTP par e-mail

Le 2FA par e-mail sécurise l'accès à une application en demandant à l'utilisateur de saisir un mot de passe à usage unique (OTP) envoyé à l'adresse e-mail enregistrée.

La plateforme automatise ce flux en surveillant de manière sécurisée une boîte de réception de test dédiée, en analysant l'e-mail entrant, en extrayant l'OTP et en l'injectant automatiquement dans le formulaire de connexion de l'application. Cela garantit que vos analyses de sécurité peuvent terminer le flux d'authentification sans intervention manuelle.

Prérequis

Avant de configurer le 2FA par e-mail, assurez-vous de disposer des éléments suivants :

  1. Boîte de réception dédiée : Un compte de test spécifiquement configuré pour recevoir des OTP.
  2. Identifier l'expéditeur : Déclenchez l'envoi d'un OTP vers votre compte de test et identifiez l'Expéditeur de l'e-mail officiel (l'adresse e-mail spécifique à partir de laquelle votre application envoie les messages OTP).
  3. Mot de passe d'application : Si votre fournisseur de messagerie (par exemple, Gmail) impose le 2FA sur le compte de messagerie, vous devez générer un Mot de passe d'application. N'utilisez pas le mot de passe habituel de votre compte, car il est souvent rejeté par les paramètres de sécurité des fournisseurs modernes.

Configuration

  1. Naviguer : Allez dans Scan > Test Credentials > New > 2FA Email.
  2. Étiquette : Fournissez un nom descriptif pour cette information d'identification (par exemple, "Production Email 2FA").
  3. Expéditeur de l'e-mail : Saisissez l'adresse de l'Expéditeur de l'e-mail que vous avez identifiée lors de l'étape des prérequis (par exemple, noreply@yourdomain.com).
  4. E-mail et mot de passe : Saisissez l'adresse e-mail de la boîte de réception de test et le Mot de passe d'application correspondant.
  5. Enregistrer : Cliquez sur Add pour stocker les informations d'identification de manière sécurisée.

Dépannage

  • Erreurs d'analyse : Si le scanner ne parvient pas à extraire l'OTP, assurez-vous que le corps de l'e-mail contient le code dans un format clair et lisible.
  • Connectivité : Vérifiez que l'accès IMAP/SMTP est activé dans les paramètres de votre boîte de réception et que les informations d'identification (en particulier le mot de passe d'application) sont correctes.
  • Blocages de sécurité : Assurez-vous que le compte de messagerie n'est pas protégé par une couche 2FA supplémentaire qui empêcherait le scanner de se connecter à la boîte de réception elle-même.
Capture d'écran : Configuration du 2FA par e-mail

3. TOTP (Applications d'authentification)

L'authentification basée sur TOTP génère des codes de vérification basés sur le temps qui s'actualisent toutes les 30 secondes.

La plateforme prend en charge l'automatisation complète de TOTP en agissant comme un périphérique d'authentification virtuel, générant des codes valides en temps réel à partir de la clé secrète partagée.

Prérequis

  1. Configurer un compte de test : Activez le 2FA basé sur TOTP sur votre compte de test.
  2. Sécuriser le secret : Récupérez la Clé secrète TOTP (graine) depuis votre application d'authentification lors de la configuration.

Configuration

  1. Naviguer : Allez dans Scan > Test Credentials > New > 2FA TOTP.
  2. Nom de l'information d'identification : Fournissez un nom descriptif pour cette information d'identification.
  3. Secret TOTP : Collez la graine TOTP encodée en Base32 (par exemple, JBSWY3DPEHPK3PXP).
  4. Enregistrer : Cliquez sur Add pour stocker les informations d'identification de manière sécurisée.

Remarque de sécurité

Toutes les graines TOTP sont chiffrées au repos et ne sont jamais exposées dans les journaux d'analyse ou les résultats. Cette implémentation est entièrement conforme à la norme TOTP RFC 6238.

Capture d'écran : Configuration du 2FA TOTP

4. 2FA manuel

Le 2FA manuel est idéal pour les flux d'authentification propriétaires, complexes ou hérités qui ne peuvent pas être entièrement automatisés.

Lorsque le scanner rencontre une étape 2FA, il se met automatiquement en pause, affichant une fenêtre modale pour la saisie manuelle du code. Lors de la soumission, l'analyse reprend.

Configuration

  1. Naviguer : Allez dans Scan > Test Credentials > New > 2FA Manual.
  2. Nom de l'information d'identification : Fournissez un nom descriptif pour cette information d'identification.
  3. Expéditeur : Saisissez une étiquette de référence (par exemple, helpdesk) pour identifier la source de la requête manuelle.
  4. Enregistrer : Cliquez sur Add pour stocker les informations d'identification.
Capture d'écran : Configuration du 2FA manuel

Conseil opérationnel

Assurez-vous d'être disponible pour surveiller la progression de l'analyse, car le scanner restera dans un état "en pause" en attendant une intervention manuelle jusqu'à ce que le code soit fourni.

Saisie du jeton

Lorsque l'analyse se met en pause pour une intervention manuelle, suivez ces étapes pour saisir le jeton :

  1. Détails de l'analyse : Cliquez sur les détails de l'analyse en cours.

    Capture d'écran : Configuration du 2FA manuel

  2. Sélectionner l'OTP : Cliquez sur l'information d'identification OTP manuelle que vous avez créée précédemment.

    Capture d'écran : Configuration du 2FA manuel

  3. Cliquer sur OTP manuel : Cliquez sur le bouton MANUAL OTP.

    Capture d'écran : Configuration du 2FA manuel

  4. Soumettre : Saisissez le jeton reçu (par exemple, 751629) et soumettez-le pour reprendre l'analyse.

    Capture d'écran : Configuration du 2FA manuel

Validation des résultats

Une fois l'analyse terminée, vous pouvez vérifier que le scanner a correctement navigué dans le flux d'authentification 2FA en inspectant la section Call Coverage :

  1. Accédez à la page Scan Details.
  2. Sélectionnez l'onglet Call Coverage.
  3. Examinez les requêtes pour confirmer que le scanner a réussi à effectuer la connexion et à contourner l'étape 2FA pour accéder aux zones protégées de l'application.