Chez Mantra, on nous demande souvent ce que nous pensons de l’authentification multifactorielle (MFA) et comment des hackers pourraient la battre. De manière générale, la MFA est indispensable. Mais ce n’est certainement pas une solution miracle contre les attaques de phishing car les hackers se sont adaptés et sont maintenant capables de s'en défaire.
Commençons par définir ce qu’est la MFA. La MFA, qui est fournie par un nombre restreint d’acteurs (comme Microsoft Authenticator, Duo, Google Authenticator, Okta …) requiert de l’utilisateur qu’il fournisse deux (ou plus) éléments pour accéder à un service. La MFA la plus communément utilisée est l’authentification à deux facteurs (2FA) où un deuxième élément est demandé (comme un code envoyé par SMS ou la validation d’une notification push).
La MFA est une bonne pratique pour sécuriser l’accès à des sites et applications clés. Cependant, son usage ne doit pas induire un sentiment de sécurité déplacé : les hackers se sont adaptés et peuvent maintenant passer la barrière de la MFA de manière relativement facile et à une échelle industrielle. Cet article va détailler certaines des vulnérabilités que les hackers ont identifiées dans la MFA en examinant :
Les attaques de type “intermédiaire” piègent l’utilisateur en le convainquant qu’il se connecte à un site légitime alors qu’il est, en fait, en train de fournir ses identifiants à un site proxy qui copie la page du vrai site. La connexion initiale découle souvent d'un email de phishing qui va mener l'utilisateur au site proxy. Les attaques MITM peuvent vaincre la MFA puisque les éléments saisis dans le site des hackers sont transmis automatiquement au véritable site : toute autorisation MFA leur sera également transmise.
Un nombre important de solutions MFA reposent sur l’envoi de codes à usage unique par SMS dont la saisie valide le log in. Le problème est que les hackers ont trouvé plusieurs solutions pour battre cette approche.
Comme tous les software, les solutions MFA ont des failles qui peuvent être exploitées.
Les hackers ont trouvé des solutions innovantes pour battre les protections MFA. Mais ils ont aussi, dans leur arsenal, ajouté des solutions pour la contourner.
L’installation réussie de malware sur un terminal résultera évidemment en une vulnérabilité, et ce malgré la MFA, puisque le hacker a directement accès à la machine de l'utilisateur. Elle permettra aux hackers de créer des sessions parallèles suite au log in de l’utilisateur, de voler et d’utiliser le cookie de session, ou d’accéder à des ressources additionnelles.
Les moyens les plus couramment utilisés pour installer du malware sur un terminal (ordinateur ou portable) sont par le biais d’attaques de phishing, via le téléchargement de pièces jointes comme des fichiers Word ou Excel ou de drive-by download. Une attaque de ce type rendra donc inopérantes les protections MFA.
L’utilisation de solutions SaaS hébergées dans le cloud a entraîné l’émergence d’attaques de consent phishing. Ces attaques diffèrent des attaques de phishing traditionnelles : au lieu de chercher à obtenir de l’information ou des credentials, l'objectif des hackers est de piéger l’utilisateur en l’amenant à donner des accès à une application tierce malveillante. Il est probable que ce type d’attaque augmentera en fréquence.
Dans un exemple, les utilisateurs reçoivent un lien vers une page de connexion Office 365 légitime. L’objectif de cette connexion n’est pas de récupérer les identifiants des cibles, mais de les amener à accorder des accès, autorisations read/write et même un accès hors ligne aux hackers. la MFA est contournée dans la mesure où c’est l’utilisateur qui accorde, involontairement, ces permissions.
Le Single Sign-on (SSO) est utilisé pour faciliter l’expérience des utilisateurs qui ne doivent s’authentifier qu’une fois. Cependant, si il est mal paramétré, il peut permettre aux hackers de contourner la MFA lorsqu’une connexion réussie (sans MFA) à un site entraîne, via le SSO, l’autorisation d’accès à un site protégé par la MFA. Dans ce cas de figure, l’accès au premier site, moins protégé, par les hackers leur permettrait de contourner la MFA.
Un autre exemple d’attaque (bien plus sophistiquée) qui s’appuie sur des logiques similaires et l’attaque Golden SAML dont a été victime SolarWinds en 2020. SAML est une méthode d’échange d’authentification entre plusieurs parties qui permet au SSO de fonctionner. Dans ce type d’attaque, les hackers, après avoir préalablement pénétré le réseau et obtenu des accès privilégiés via des techniques conventionnelles, peuvent accéder aux certificats utilisés pour authentifier les objets SAML. Avec ces certificats, ils peuvent émuler n’importe quel utilisateur avec les accès qu’ils souhaitent, et se connecter aux ressources en SSO.
La MFA est évidemment une bonne pratique et devrait être utilisée pour protéger l’accès à des sites et applications sensibles. Les solutions MFA sont efficaces, notamment contre les attaques basiques comme le mass phishing, et protègent avant tout très efficacement contre la réutilisation d’identifiants. L’implémentation d'approches comme les outils de gestion des terminaux (MDM) ou, idéalement, l’emploi de clés de sécurité U2F permet de contrer un grand nombre d’attaques visant à récupérer les identifiants des utilisateurs.
Cependant, les hackers se sont adaptés. Ils ont intégré la MFA dans leurs stratégies et déployé des solutions innovantes pour la contrer. L’installation de malware étant le plus efficace, car leur permet de contourner les protections les plus fortes, comme la présence de clés de sécurité U2F.
L’utilisation de la MFA ne doit donc pas générer un faux sentiment de confiance dans l’entreprise : elle ne peut se substituer à une vigilance constante et au développement, en interne, des réflexes de cybersécurité.
Qui sont les courtiers en accès initial et que font-ils ? Quelles sont certaines de leurs techniques, et comment pouvez-vous protéger votre entreprise contre elles ?
Qu'est-ce que l'OSINT (Open Source INtelligence) et comment les hackers l'utilisent-t-ils pour leurs attaques de phishing ?
Que sont SPF, DKIM et DMARC ? Comment contribuent-ils à la mise en place d'une protection contre les attaques de phishing et comment pouvez-vous les configurer pour le domaine de votre entreprise ?