Détection de robots
Before you start
Pour utiliser l’une des intégrations CAPTCHA tierces prises en charge, vous avez besoin des informations de configuration de son fournisseur. Pour en savoir plus, voir Configurer les intégrations de fournisseur CAPTCHA tierces.
La détection de robots limite les attaques par script en détectant les requêtes susceptibles de provenir d’un robot. Ces types d’attaques sont parfois appelés « attaques par bourrage d’identifiants » (credential stuffing) ou encore « attaques par validation de liste » (list validation attack). La détection de robots permet de lutter contre certaines attaques et apporte très peu d’inconvénients aux utilisateurs légitimes. Auth Challenge est notre solution de détection des robots par défaut, qui permet une vérification de l’utilisateur sans CAPTCHA.
Pour en savoir plus, lisez Attaques par bourrage d’identifiants : de quoi s’agit-il et comment les combattre?
Auth0 utilise une grande quantité de données et de modèles statistiques pour identifier des modèles qui signalent quand des rafales de trafic de connexion, d’inscription ou de réinitialisation de mot de passe sont susceptibles de provenir d’un robot ou d’un script. Les utilisateurs qui tentent de se connecter, de créer des comptes ou de réinitialiser des mots de passe à partir d’adresses IP susceptibles de faire partie d’une attaque de type « bourrage d’identifiants » sont tenus d’effectuer une étape de vérification supplémentaire. Les déclencheurs détectent le trafic lié à ces attaques tout en évitant d’alourdir inutilement la tâche des utilisateurs légitimes.
Configurer la détection de robots
Auth0 active par défaut la détection de robots à chaque connexion.
Si les paramètres de réponse ne sont pas configurés alors que la détection de robots est activée, celle-ci fonctionne en mode surveillance. En mode surveillance, les événements liés (avec des informations sur l’évaluation des risques) sont enregistrés dans votre journal de locataires pour que vous puissiez les consulter. Pour en savoir plus, lisez Voir les événements de journaux de la protection contre les attaques.
Vous pouvez activer les journaux de locataire pour l’évaluation des risques dans Auth0 Dashboard.
Allez dans Dashboard > Sécurité > Protection contre les attaques et sélectionnez Détection de robots.
Dans la section Détection, activez le bouton bascule.
Si vous ne voyez pas le bouton d’activation des journaux de clients pour l’évaluation des risques, vous devrez peut-être mettre à niveau votre plan.
Dans la section Réponse, choisissez une réponse à la détection de robots.
Si vous utilisez Auth Challenge, le bouton Fail open est désactivé par défaut.
Auth Challenge est la réponse par défaut à la détection des robots, offrant une expérience web sans CAPTCHA avec une meilleure protection de la vie privée et une meilleure expérience utilisateur.
Comme indiqué sur le Dashboard, cette expérience de connexion nécessite Javascript; si votre expérience de connexion doit fonctionner sans Javascript, sélectionnez Simple CAPTCHA.
Sélectionnez le moment où vous souhaitez exiger un CAPTCHA pour les flux de mots de passe, les flux sans mot de passe et les flux de réinitialisation de mot de passe.
Jamais : ne jamais demander à vos utilisateurs de remplir un CAPTCHA pour se connecter.
En cas de risque : ne demander à vos utilisateurs de remplir un CAPTCHA que si la connexion correspond au niveau de détection de robots que vous avez défini.
Toujours : exiger toujours de vos utilisateurs qu’ils remplissent un CAPTCHA pour se connecter.
Si vous choisissez En cas de risque ou Toujours, le champ Fournisseurs CAPTCHA s’affiche dans la section Réponse. Sélectionnez Auth Challenge (fourni par Auth0), Simple CAPTCHA (fourni par Auth0), ou l’une des intégrations de fournisseurs tiers prises en charge (nécessite une configuration et un enregistrement externes).
Si vous choisissez Auth Challenge ou Simple CAPTCHA, cela suffit. Si votre expérience de connexion ne prend pas en charge JavaScript, vous devez sélectionner Simple CAPTCHA.
Si vous choisissez l’une de nos intégrations de fournisseurs tiers, saisissez les détails de configuration du fournisseur. Pour en savoir plus, voir Configurer les intégrations de fournisseur CAPTCHA tierces.
Si vous choisissez En cas de risque, le champ Bot Niveau de détection de robots s’affiche dans la section Réponse. Sélectionnez le niveau de sécurité qui correspond le mieux à votre cas d’utilisation. Pour plus d’informations, voir Configurer le niveau de détection de robots.
Sélectionnez Enregistrer.
Configurer le niveau de détection des robots
Configurez le niveau de détection de robots en fonction de votre tolérance au risque et des besoins de votre entreprise.
Choisissez parmi ces trois réglages :
Faible : déclenche le CAPTCHA lorsqu’il y a un risque élevé d’activité de robots, permettant ainsi aux utilisateurs réels de bénéficier d’une expérience relativement fluide.
Moyen : par défaut. Déclenche le CAPTCHA lorsqu’il y a un risque modéré d’activité de robots, ce qui permet d’équilibrer la sécurité et l’expérience des utilisateurs réels.
Élevé : déclenche le CAPTCHA lorsqu’il y a un faible risque d’activité de robots, offrant ainsi plus de sécurité mais potentiellement plus de frictions pour les utilisateurs réels.
Autoriser les adresses IP de confiance à contourner la détection de robots
Vous pouvez autoriser jusqu’à 100 adresses IP discrètes et/ou plages CIDR (IPv4 ou IPv6) à contourner la détection de robots en les ajoutant au champ Liste blanche d’adresses IP. Auth0 ne bloque pas et n’envoie pas d’alertes aux adresses IP ou aux plages CIDR figurant sur cette liste.
Allez dans Dashboard > Sécurité > Protection contre les attaques, et sélectionnez Détection de robots.
Dans le champ Liste blanche d’adresses IP, entrez les adresses IP et/ou les plages CIDR que vous souhaitez contourner pour la détection de robots. Séparez les adresses ou plages d’adresses multiples par des virgules.
Configurer le modèle de détection d’inscription pour la page de connexion personnalisée et l’expérience de connexion classique
Auth0 propose un modèle d’apprentissage automatique pour la détection d’inscription, différent du modèle de connexion, qui cible diverses formes d’attaques en examinant des signaux uniques.
Ce modèle permet au CAPTCHA de fonctionner différemment pour les inscriptions et les connexions, ce qui renforce la protection contre les attaques par inscription, tout en suivant les dernières tendances en matière de sécurité.
Assurez-vous que toutes les applications utilisant Auth0.js et/ou Lock utilisent la version la plus récente de la bibliothèque avant d’activer ce modèle :
Auth0.js : 9.28.0+
Lock : 13.0+
Si vous activez ce modèle alors que vous utilisez une bibliothèque obsolète, votre application risque de rencontrer des erreurs.
Vous pouvez configurer le modèle de détection utilisé par la détection de robots pour les flux d’inscription lors de l'utilisation d’une page de connexion personnalisée ou de l'expérience de connexion classique dans Auth0 Dashboard.
Allez dans Dashboard > Sécurité > Protection contre les attaques, et sélectionnez Détection de robots.
Localisez la section Detection Models (Modèles de détection).
Activez le bouton bascule pour les Signup detection models for custom and classic login pages (Modèles de détection de l’inscription pour les pages de connexion personnalisées et classiques).
Restrictions et limites
Limitations du flux
La détection de robots fonctionne pour les applications Web et mobiles qui utilisent la Connexion universelle Auth0. Pour les applications qui n’utilisent pas la connexion universelle, les niveaux de prise en charge sont limités, notamment pour les flux qui ne prennent pas en charge un CAPTCHA ou un reCAPTCHA.
Assurez-vous que toutes vos expériences de connexion sont prises en charge avant d’activer la détection des robots, au risque d’introduire des erreurs dans votre application.
| *Flux | Limitation |
|---|---|
| Connexion universelle | Prise en charge par défaut. |
| Connexion Classique (pas de personnalisation) | Prise en charge par défaut. |
| Connexion Classique (page de connexion personnalisée à l’aide du modèle Lock ) | Pris en charge si vous utilisez la trousse SDK ‘lock.js’ version 12.4.0 ou ultérieure. |
| Connexion Classique (page de connexion personnalisée à l’aide du modèle Custom Login Form ) | Pris en charge si vous utilisez la trousse SDK ‘auth0.js’ version 9.24 ou ultérieure et que vous améliorez votre code pour gérer un défi CAPTCHA ou reCAPTCHA. |
| Applications natives | Prise en charge si vous utilisez l’une des trousses SDK suivantes :
|
| Applications Web ou natives ordinaires utilisant le flux de mot de passe du propriétaire de ressource | Prise en charge dans une capacité limitée. Réponse de détection de robots tel que CAPTCHA nécessite un flux interactif et n’est donc pas pris en charge. Si la trousse SDK renvoie l’erreur `requires_verification’, vous devez déclencher un processus de connexion sur le Web pour que l’utilisateur s’authentifie. |
| Flux non hébergés par Auth0 à l’aide des trousses SDK ‘lock.js’ ou ‘auth0.js’, qui effectue une authentification croisée des origines (point de terminaison ‘co/authenticate’) | Non pris en charge. |
Limitations des types de connexion
En fonction des types de connexion que vous utilisez, la détection des robots présente les limitations suivantes.
| Type de connexion | Limitation |
|---|---|
| Database (Base de données) | Pris en charge si la connexion utilise un flux de connexion compatible comme décrit dans le tableau Limitations de flux. |
| Custom database (Base de données personnalisée) | Pris en charge si la connexion utilise un flux de connexion compatible comme décrit dans le tableau Limitations de flux. |
| Active Directory/LDAP | Pris en charge si la connexion utilise un flux de connexion compatible comme décrit dans le tableau Limitations de flux. |
| Enterprise | Non pris en charge. |
| Social Login (Connexion sociale) | Non pris en charge. |
| Passwordless (Sans mot de passe) | Pris en charge si la connexion utilise un flux de connexion compatible comme décrit dans le tableau Limitations de flux. |
Prise en charge des pages de connexion personnalisées
Si vous créez une page de connexion personnalisée en utilisant Auth0.js, vous pouvez activer la détection de robots pour rendre une étape CAPTCHA dans les scénarios où une demande de connexion est déterminée par Auth0 comme étant à haut risque.
Le code de votre formulaire de connexion personnalisé doit gérer les scénarios dans lesquels l’utilisateur est invité à passer une étape CAPTCHA. Pour en savoir plus, consultez Ajouter la détection de robots aux pages de connexion personnalisées.
Prise en charge des applications natives
Si vous créez des applications natives utilisant une trousse SDK Auth0 pour le flux de connexion, vous pouvez activer la détection de robots pour rendre une étape CAPTCHA dans les scénarios où une demande de connexion est déterminée par Auth0 comme étant à haut risque.
Le code de votre formulaire de connexion personnalisé doit gérer les scénarios dans lesquels l’utilisateur est invité à passer une étape CAPTCHA. Pour en savoir plus, consultez Ajouter la détection de robots aux applications natives.
En savoir plus
- Configuration des intégrations de fournisseurs CAPTCHA tierces
- Ajouter la détection de robots aux pages de connexion personnalisées
- Ajouter la détection des robots aux applications natives
- Détection de violation de mot de passe
- Protection contre les attaques exhaustives
- Filtrage des adresses IP suspectes