Le pré-détournement a été identifié pour la première fois comme un groupe de vulnérabilités informatique en 2022, sur la base de recherches financées par le Centre de réponse aux problèmes de sécurité de Microsoft[4].
Par exemple, le hacker peut créer un compte sur un site avec l'adresse email de la victime. Si la victime crée ensuite un compte sur le même site mais en utilisant un système d'authentification unique, et si le site ne gère pas bien les doublons dans les bases d'identification, le hacker et la victime finissent par avoir accès au compte créé par la victime. Le scénario inverse (hacker pré-crée le compte avec authentification unique, victime crée son compte avec adresse email) fonctionne également. Le hacker peut truffer le compte pré-créer d'une adresse email secondaire ou d'un numéro de téléphone qui sont sollicités pour effectuer un changement de mot-de-passe une fois le compte créé par la victime. Cette méthode permet aussi au hacker d'activer des cookies d'accès au compte pré-créé[1].
Comme l'ont expliqué les chercheurs de l'étude qui a mis le pré-détournement en évidence : « De nombreux services requièrent de s'identifier, mais cette identification est parfois asynchrone, permettant aux utilisateurs (ou hackers) de modifier la configuration d'un compte avant que la vérification de l'identité soit effectuée. Cela améliore l'usabilité, mais cela crée également une faille de vulnérabilité via le pré-détournement[1]. »
Sur les 75 sites internet étudiés, 35 s'avèrent être vulnérables à cette faille grâce à diverses méthodes. Les services vulnérables incluent notamment Dropbox, Instagram, LinkedIn, WordPress ou Zoom. L'existence de cette vulnérabilité a été signalée à tous ces fournisseurs de services avant la publication d'un article en faisant état[5].
