Cybersécurité : l’authentification multifactorielle n’est pas un remède miracle

Pour protéger un compte, quel qu’il soit, l’une des mesures de protection les plus importantes est l’authentification multifactorielle (MFA). Cette méthode crée en effet une barrière supplémentaire, en plus du mot de passe, car l’utilisateur doit assurer à chaque connexion qu’il s’agit de lui-même. Cette vérification peut se faire par le biais d’un SMS, d’une application d’authentification ou même d’une clé de sécurité physique.

Car pour compromettre des comptes, les cybercriminels ont tendance à privilégier les attaques de phishing pour voler les mots de passe, ou encore à utiliser des techniques pour deviner les mots de passe faibles. Et espèrent utiliser ces mots de passe pour obtenir l’accès au compte ciblé. Si l’attaquant réussit à s’emparer du mot de passe d’un compte où l’authentification multifactorielle est activée, mais pas du message de vérification ou du dispositif physique, le système ne le laissera pas entrer et il ne pourra pas aller plus loin.

Si l’authentification multifactorielle a fait ses preuves et protège contre la majorité des tentatives de compromission des comptes, on assiste récemment à une recrudescence des attaques visant à contourner cette mesure de sécurité. Selon Microsoft, en une seule campagne, 10 000 organisations ont été ciblées de cette manière au cours de l’année dernière.

Contourner la MFA

Pour contourner l’authentification multifactorielle, certains cybercriminels utilisent la technique nommée « adversary-in-the-middle », ou AiTM, qui combine une attaque de phishing avec un serveur proxy entre la victime et le site web auquel elle tente de se connecter. Elle permet aux attaquants de voler le mot de passe et le cookie de session qui fournit le niveau d’authentification supplémentaire qu’ils peuvent exploiter – dans ce cas, pour voler des e-mails. L’utilisateur pense qu’il s’est connecté à son compte comme d’habitude.

« Notez qu’il ne s’agit pas d’une vulnérabilité de la MFA ; puisque le phishing AiTM vole le cookie de session, l’attaquant s’authentifie à une session au nom de l’utilisateur, quelle que soit la méthode de connexion utilisée par ce dernier », explique Microsoft à propos de cette campagne particulière.

Avec cette technique, les attaquants ne s’attaquent pas à l’authentification multifactorielle elle-même, ils la contournent en volant des cookies. Mais cela leur permet de pouvoir utiliser un compte comme s’ils en étaient l’utilisateur, y compris plus tard. Dans cette situation, la présence de la MFA devient inutile – et le compte ciblé et son utilisateur sont menacés.

Exploiter les faiblesses humaines

Pour contourner l’authentification multifactorielle, d’autres cybercriminels se concentrent sur l’aspect humain. En effet, lorsque cette mesure de sécurité est activée, un code est requis à chaque connexion. Et c’est un humain qui doit le saisir. Mais tout être humain peut être trompé ou manipulé.

« En fin de compte, qu’il s’agisse d’un numéro ou d’une information, à partir du moment où l’utilisateur connaît le code, l’attaquant peut le voler », met en garde Etay Maor, directeur principal de la stratégie de sécurité chez Cato Networks.

Les efforts fournis par l’attaquant devront être plus poussés, mais il pourra s’emparer du code demandé. Par exemple, si la MFA requiert un code envoyé par SMS – le SMS est couramment utilisé, encore aujourd’hui, notamment par les banques et les opérateurs – l’attaquant pourra contacter l’utilisateur en se faisant passer par un service d’assistance, par exemple, pour lui demander de lui communiquer le code en question.

Même si le processus peut être complexe, l’attaquant pourra contacter l’utilisateur en usurpant l’identité d’un employé d’un service d’assistance ou autre. La victime sera plus encline à communiquer le code confidentiel si elle pense parler à une personne qui est là pour l’aider. C’est pourquoi de nombreux services font précéder les codes reçus par SMS d’un avertissement indiquant qu’ils ne vous appelleront jamais pour vous le demander.

« Il n’est pas surprenant que les attaquants s’attaquent à l’aspect humain, aux composants humains du système. Les gens sont occupés, les gens sont stressés, toutes sortes de choses influencent les décisions que nous prenons », analyse Oz Alashe, PDG et fondateur de CybSafe.

Utiliser des malwares

Une troisième méthode peut être utilisée pour contourner l’authentification multifactorielle : elle consiste à utiliser des malwares voleurs d’informations. Par exemple, un attaquant peut utiliser un cheval de Troie pour surveiller un utilisateur lorsqu’il accède à son compte, puis accéder au compte via l’appareil infecté. Il peut aussi prendre le contrôle de l’appareil à l’insu de la victime, en utilisant l’application d’authentification et le code fourni pour accéder à distance au compte depuis une autre machine.

Du côté du réseau ou du compte, l’accès est légitime, puisque les bonnes informations d’authentification ont été utilisées. Pourtant, certains signes peuvent indiquer une activité suspecte. Et ces signes, les équipes chargées de la sécurité et les réseaux peuvent être formés à les rechercher.

« Le système lui-même doit alors se demander s’il est normal que l’utilisateur se connecte depuis cet endroit ou à cette heure-là. Et, par conséquent, il se demande s’il faut effectuer un autre niveau de vérification avant de donner l’accès », indique Oz Alashe.

Une méthode éprouvée, mais pas infaillible

L’authentification multifactorielle n’est pas infaillible : « même si les processus de sécurité comme l’authentification multifactorielle ajoutent une couche supplémentaire de sécurité, ils ne doivent pas être considérés comme des solutions miracles pour se protéger des attaques de phishing. Avec l’utilisation de kits de phishing avancés et de techniques astucieuses, les attaquants peuvent contourner les solutions de sécurité, tant traditionnelles qu’avancées », indiquait le mois dernier la société ZScaler lors de l’analyse d’une attaque de type AiTM.

Pour autant, cette mesure de sécurité est indispensable, car elle permet de se protéger de nombreuses cyberattaques, et notamment d’éviter la prise de contrôle de comptes à distance. Mais plus le temps passe, et plus les cybercriminels apprennent. Et plus ils vont s’attaquer à la MFA, plus ils vont réussir.

C’est pourquoi les responsables de sécurité des réseaux doivent dès à présent envisager des couches de sécurité supplémentaires. « C’est une bonne chose [que la MFA] soit recommandée. […] Mais il faut absolument l’accompagner de couches de sécurité supplémentaires, car, comme toute autre solution de sécurité cloisonnée, elle peut être contournée. Et il ne faut pas croire que tout est sécurisé simplement parce que vous avez mis en place une couche de sécurité », met en garde Etay Maor.

Tenir compte du facteur humain

La technologie ne peut pas tout faire. Surtout lorsque les attaquants ciblent l’humanité de leurs victimes en tentant de les manipuler pour qu’elles prennent de mauvaises décisions. « Les gens sont merveilleux, ils veulent être utiles, alors ils se font parfois piéger », estime Oz Alashe.

« Il s’agit là d’un défi important pour la société, car la numérisation est en marche et nous avons une occasion incroyable de continuer à utiliser la technologie à bon escient. Mais nous devons aussi relever ces défis en ce qui concerne la résilience et l’aspect humain », résume-t-il.

Comme pour illustrer cette menace, la société de cybersécurité Mitiga détaillait il y a quelques semaines des attaques ciblant des comptes Microsoft 365 pouvant contourner la MFA, et résultant d’une campagne combinant phishing et BEC.

Source : ZDNet.com

Cliquez ici pour lire l’article depuis sa source.

Laisser un commentaire