histats

Les pirates volent des cookies de session pour contourner l’authentification multifacteur

Les pirates volent des cookies de session pour contourner l’authentification multifacteur

Les cyber-attaquants continuent d’améliorer leur jeu. Une nouvelle tactique utilisée par les pirates consiste à voler les cookies des sessions Web en cours ou récentes pour contourner l’authentification multifacteur (MFA).

La nouvelle méthode d’attaque, rapportée hier par les chercheurs de Sophos, est déjà de plus en plus utilisée. “Le spectre des cybercrimes voleurs de cookies” est large, écrivent les chercheurs, allant des “criminels débutants” aux adversaires avancés, utilisant différentes techniques.

Les cybercriminels collectent des cookies ou achètent des identifiants volés “en gros” sur les forums du dark web. Les groupes de rançongiciels récoltent également des cookies et “leurs activités peuvent ne pas être détectées par de simples défenses anti-malware en raison de leur utilisation abusive d’exécutables légitimes, à la fois déjà présents et inclus en tant qu’outils”.

Ce n’est pas une cible surprenante pour les pirates étant donné que la grande majorité des activités sont désormais en ligne. Même les infrastructures cloud s’appuient sur les cookies pour authentifier les utilisateurs.

Il existe un vaste marché pour les informations d’identification volées et divers angles d’attaque pour cloner des sessions en ligne ou usurper des connexions existantes dans des cas spécifiques. Selon les objectifs, un tel accès initial peut être particulièrement attrayant pour les adversaires qui ont besoin d’exfiltrer des données précieuses, d’obtenir des secrets commerciaux ou d’extorquer les victimes pour qu’elles paient des rançons.

Comment les pirates volent les cookies

Les navigateurs permettent aux utilisateurs de maintenir l’authentification, de mémoriser les mots de passe et de remplir automatiquement les formulaires. Cela peut sembler pratique, mais les attaquants peuvent exploiter cette fonctionnalité pour voler les informations d’identification et ignorer le défi de connexion.

Dans les coulisses, les navigateurs utilisent des fichiers de base de données SQLite qui contiennent des cookies. Ces cookies sont composés de paires clé-valeur, et les valeurs contiennent souvent des informations critiques telles que des jetons et des dates d’expiration.

See also  Stay safe online ahead of the festive season

Les adversaires connaissent le nom et l’emplacement exacts de ces fichiers pour tous les principaux navigateurs tels que Chrome, Firefox et même Brave, sur différents systèmes d’exploitation. C’est pourquoi l’attaque peut être écrite. Il n’est pas rare de trouver de tels scripts avec d’autres modules dans le vol d’informations et d’autres logiciels malveillants.

Par exemple, la dernière version du botnet Emotet cible les cookies et les informations d’identification stockées par les navigateurs, qui incluent les cartes de crédit stockées. Selon les chercheurs de Sophos, “le navigateur Chrome de Google utilise la même méthode de cryptage pour stocker à la fois les cookies d’authentification multifacteur et les données de carte de crédit”.

Pour obtenir un accès initial, les attaquants peuvent également mener des campagnes de phishing et de spear-phishing pour implanter des droppers capables de distribuer furtivement des logiciels malveillants voleurs de cookies.

Les cookies sont ensuite utilisés pour une utilisation ultérieure et des mouvements de page. Les cybercriminels peuvent les utiliser pour modifier les mots de passe et les e-mails associés aux comptes d’utilisateurs, ou inciter les victimes à télécharger des logiciels malveillants supplémentaires, ou même distribuer d’autres outils d’exploitation tels que les kits Cobalt Strike et Impacket.

Lisez aussi : Comment Cobalt Strike est devenu l’outil préféré des hackers

Comment les utilisateurs peuvent protéger l’accès

Les utilisateurs ne doivent pas utiliser les fonctionnalités intégrées pour stocker les mots de passe à moins que le navigateur ne les crypte avec au moins un mot de passe principal. Il est recommandé aux utilisateurs de décocher le paramètre appelé “se souvenir du mot de passe” et les utilisateurs ne devraient probablement pas non plus autoriser les sessions persistantes.

Ce n’est pas le comportement par défaut, mais il est généralement possible d’ajuster les paramètres pour empêcher le navigateur de vous demander d’enregistrer votre mot de passe à chaque fois que vous vous connectez. Vous pouvez également supprimer automatiquement tous les cookies lorsque vous fermez votre navigateur.

See also  Bitwarden vs LastPass | TechRadar

Bien que cela puisse sembler plutôt gênant, les gestionnaires de mots de passe peuvent simplifier la saisie de vos informations d’identification car vous devez ré-authentifier les sessions. Gardez à l’esprit qu’il n’est pas à l’épreuve des balles, car certains logiciels malveillants peuvent toujours installer des extensions ou des processus malveillants capables d’intercepter le trafic local et les données envoyées par votre gestionnaire de mots de passe.

Même ainsi, c’est toujours une bien meilleure stratégie que d’utiliser votre navigateur pour maintenir l’authentification pendant des jours, même si vous utilisez des solutions sécurisées comme Brave.

Les chercheurs ont noté que certaines applications telles que Slack utilisent des cookies persistants et restent ouvertes indéfiniment dans certains environnements, même si les cookies spécifiques à la session sont supprimés lorsque le navigateur est fermé.

D’autres applications peuvent être vulnérables au vol de cookies car elles utilisent leurs propres magasins de cookies, parfois sans date d’expiration.

Voir les meilleurs logiciels et outils de gestion de mots de passe

Les cookies du point de vue du développeur

Certaines implémentations MFA sont médiocres, exposant le système à divers types d’usurpation d’identité. Les développeurs peuvent faire partie du problème s’ils ne sécurisent pas correctement les capsules d’authentification.

Ces cookies doivent avoir une date d’expiration courte. Sinon, l’authentification persistante peut devenir une menace persistante.

Vous pouvez avoir de bons processus de sécurité et être piraté parce que les cookies n’ont pas les indicateurs nécessaires (par exemple HttpOnly, attribut Secure). Par exemple, les cookies d’authentification doivent être envoyés via les canaux SSL/TLS. Sinon, les données peuvent être envoyées en texte brut et les attaquants n’ont qu’à renifler le trafic pour capturer les informations d’identification.

Certaines applications stockent des informations dans des cookies avec des hachages réversibles, permettant aux cybercriminels de prédire et de falsifier des jetons. Il n’y a aucun moyen pour l’application de faire la distinction entre les demandes provenant d’un utilisateur légitime ou d’un faux si l’algorithme a été piraté.

See also  Optus Hack révèle les données de près de 2,1 millions de clients télécoms australiens

Il est important d’avoir une politique CORS appropriée pour empêcher les injections malveillantes qui peuvent être réalisées à distance.

Voir Principaux outils de débogage de code et de sécurité du code

La sécurité comme partie intégrante de la culture d’entreprise

Une partie importante de la cybersécurité repose davantage sur le bon sens que sur des connaissances techniques approfondies. La formation en cybersécurité peut enseigner à de nombreux employés de meilleures pratiques.

Par exemple, ils peuvent ne pas mettre fin à la session pour “accélérer” le travail, mais il est facile de comprendre pourquoi il s’agit d’un risque majeur pour la sécurité. Chaque fois que les employés sacrifient la sécurité au détriment de la commodité, il y a un obstacle de moins pour les attaquants.

Les points d’authentification sont des endroits dangereux par nature, et les organisations doivent activer l’authentification MFA dans la mesure du possible, même si elle peut être contournée. Les techniques peuvent varier considérablement, mais c’est toujours la même tactique.

Si un système de sécurité est trop fort, des adversaires déterminés se concentreront sur le facteur humain. La ré-authentification n’est pas la tâche la plus chronophage en réalité, et de nombreuses opérations peuvent être automatisées grâce à des techniques telles que les mots de passe principaux, le remplissage automatique et la suppression automatique.

Lire ensuite : La formation et la technologie en matière de cybersécurité ne suffisent pas ; Un “changement de culture” est nécessaire

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *