histats

Une façon sinistre de battre l’authentification multifacteur est à la hausse

Une façon sinistre de battre l’authentification multifacteur est à la hausse

Authentification multifacteur (MFA) est une défense de base parmi les plus efficaces pour empêcher les prises de contrôle de compte. En plus d’exiger que les utilisateurs fournissent un nom d’utilisateur et un mot de passe, MFA garantit qu’ils doivent également utiliser un facteur supplémentaire, qu’il s’agisse d’une empreinte digitale, d’une clé de sécurité physique ou d’un mot de passe à usage unique, avant d’accéder à un compte. Rien dans cet article ne doit être interprété comme signifiant que l’AMF est tout sauf importante.

Cela dit, certaines formes de MFA sont plus fortes que d’autres, et les événements récents montrent que ces formes plus faibles ne sont pas vraiment un obstacle à surmonter pour certains pirates. Au cours des derniers mois, des script kids présumés comme le gang de rançongiciels Lapsus$ et des acteurs de la menace russe d’élite (comme Cozy Bear, le groupe à l’origine du piratage de SolarWinds) ont tous deux vaincu les protections.

Entrez le bombardement d’invite MFA

Les formes les plus solides de MFA sont basées sur un cadre appelé FIDO2, qui a été développé par un consortium d’entreprises pour équilibrer la sécurité et la facilité d’utilisation. Il donne aux utilisateurs la possibilité d’utiliser des lecteurs d’empreintes digitales ou des caméras intégrés à leurs appareils ou des clés de sécurité dédiées pour vérifier qu’ils sont autorisés à accéder à un compte. Les formes FIDO2 de MFA sont relativement nouvelles, de sorte que de nombreux services destinés aux consommateurs et aux grandes organisations ne les ont pas encore adoptés.

See also  Apple Cash, Cash App, Venmo, Zelle P2P payment apps compared

C’est là qu’interviennent les formes plus anciennes et plus faibles de MFA. Ils incluent des mots de passe à usage unique envoyés par SMS ou générés par des applications mobiles telles que Google Authenticator ou des messages push envoyés à un appareil mobile. Lorsqu’une personne se connecte avec un mot de passe valide, elle doit également saisir le mot de passe à usage unique dans un champ de l’écran de connexion ou appuyer sur un bouton qui apparaît sur l’écran du téléphone.

C’est cette dernière forme d’authentification qui, selon des rapports récents, est contournée. Un groupe utilisant cette technique, selon la société de sécurité Mandiant, est Cozy Bear, un groupe de pirates informatiques d’élite travaillant pour le service de renseignement étranger russe. Le groupe porte également les noms de Nobelium, APT29 et Dukes.

“De nombreux fournisseurs MFA permettent aux utilisateurs d’accepter une notification push d’application téléphonique ou de recevoir un appel téléphonique et d’appuyer sur une touche comme autre facteur”, ont écrit les chercheurs de Mandiant. “La [Nobelium] L’acteur de la menace a exploité cela et a envoyé plusieurs demandes MFA à l’appareil légitime de l’utilisateur final jusqu’à ce que l’utilisateur accepte l’authentification, permettant à l’acteur de la menace d’accéder éventuellement au compte.”

Lapsus$, un groupe de hackers qui a piraté Microsoft, Okta et Nvidia ces derniers mois, a également utilisé cette technique.

“Aucune limite n’est fixée au nombre d’appels pouvant être passés”, a écrit un membre de Lapsus$ sur la chaîne officielle Telegram du groupe. « Appelez l’employé 100 fois à 1 h du matin alors qu’il essaie de dormir, et il sera plus que probablement d’accord. Une fois que l’employé aura accepté le premier appel, vous pourrez accéder au portail d’inscription MFA et inscrire un autre appareil.

See also  Vous n'utilisez pas de gestionnaire de mots de passe ? Voici pourquoi vous devriez être... | Données et sécurité des données

Le membre de Lapsus$ a affirmé que la technique de bombardement rapide de la MFA était efficace contre Microsoft, qui a déclaré plus tôt cette semaine que le groupe de piratage avait pu accéder à l’ordinateur portable de l’un de ses employés.

“Même Microsoft !” la personne a écrit. “A pu se connecter au VPN Microsoft d’un employé depuis l’Allemagne et les États-Unis en même temps et il n’a même pas semblé s’en apercevoir. Il a également pu réenregistrer MFA deux fois.”

Mike Grover, un vendeur d’outils de piratage de l’équipe rouge pour les professionnels de la sécurité et un consultant de l’équipe rouge qui suit le pseudo Twitter _MG_a déclaré à Ars que la technique est “essentiellement une méthode unique qui prend plusieurs formes : inciter l’utilisateur à accuser réception d’une demande MFA. Le “bombardement MFA” est rapidement devenu une description, mais cela passe à côté des méthodes les plus furtives”.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *