Chez Mantra, on nous demande souvent ce que nous pensons de l’authentification multifactorielle (MFA) et comment des hackers pourraient la battre. De manière générale, la MFA est indispensable. Mais ce n’est certainement pas une solution miracle contre les attaques de phishing car les hackers se sont adaptés et sont maintenant capables de s'en défaire. 

Commençons par définir ce qu’est la MFA. La MFA, qui est fournie par un nombre restreint d’acteurs (comme Microsoft Authenticator, Duo, Google Authenticator, Okta …) requiert de l’utilisateur qu’il fournisse deux (ou plus) éléments pour accéder à un service. La MFA la plus communément utilisée est l’authentification à deux facteurs (2FA) où un deuxième élément est demandé (comme un code envoyé par SMS ou la validation d’une notification push).

La MFA est une bonne pratique pour sécuriser l’accès à des sites et applications clés. Cependant, son usage ne doit pas induire un sentiment de sécurité déplacé : les hackers se sont adaptés et peuvent maintenant passer la barrière de la MFA de manière relativement facile et à une échelle industrielle. Cet article va détailler certaines des vulnérabilités que les hackers ont identifiées dans la MFA en examinant : 

  1. Comment les hackers ont réussi à battre la MFA 
  2. Quelles solutions sont à leur disposition pour la contourner

1. Battre la MFA 

Attaque de type “intermédiaire” (MITM, de Man-in-the-Middle en anglais)

Les attaques de type “intermédiaire” piègent l’utilisateur en le convainquant qu’il se connecte à un site légitime alors qu’il est, en fait, en train de fournir ses identifiants à un site proxy qui copie la page du vrai site. La connexion initiale découle souvent d'un email de phishing qui va mener l'utilisateur au site proxy. Les attaques MITM peuvent vaincre la MFA puisque les éléments saisis dans le site des hackers sont transmis automatiquement au véritable site : toute autorisation MFA leur sera également transmise.   

  • Transmission 2FA : Dans cet exemple, l’utilisateur est victime d’une attaque de spear-phishing et rentre ses identifiants dans une fausse page de login. Les hackers répliquent cette saisie dans le vrai site, générant une demande d’authentification MFA (comme l’envoi d’un code à usage unique ou la validation d’une notification push). Si l’utilisateur fournit cette méthode MFA (saisie du code, validation du push), il fournit aux hackers l’information ou l’accès dont ils ont besoin pour saisir son compte.
  • Vol de cookie : Ce qui est encore plus préoccupant, c’est que les hackers peuvent mener des attaques qui ciblent les tokens d’accès générés quand un utilisateur se connecte à une app ou un site. Ces attaques MITM peuvent être conduites à une échelle industrielle, standardisée et ne sont pas une “capacité réservées à de gros acteurs sophistiqués” (C. Guarnieri, spécialiste à Amnesty International). En effet, les hackers peuvent utiliser des outils clé en main disponibles sur le marché (comme Evilginx, qui permet aux hackers de répliquer facilement des pages web), ce qui augmente la facilité et l’efficacité de leurs attaques.
    Avec ces outils, l’attaque débute également par un email de phishing qui mène l'utilisateur à une copie exacte de la page de log in. Comme illustré ci-dessous, les identifiants saisis sont automatiquement répliqués, dans le vrai site, ainsi que l’élément 2FA. Le résultat final est que l’utilisateur est connecté mais que son token d’accès est intercepté par les hackers, leur permettant de répliquer la session.
Attaque de type "Man-in-the-middle

Comment les hackers peuvent obtenir les codes envoyés par SMS

Un nombre important de solutions MFA reposent sur l’envoi de codes à usage unique par SMS dont la saisie valide le log in. Le problème est que les hackers ont trouvé plusieurs solutions pour battre cette approche.

  • Social Engineering : L’approche la plus commune est d’avoir recours à des techniques de social engineering pour obtenir le code. Les hackers vont se connecter en utilisant le nom et le mot de passe de la cible (éléments acquis préalablement), ce qui va générer l’envoi d’un code à usage unique. Les hackers enverront, simultanément, un message spécialement conçu pour obtenir le code. Par exemple, le message indiquera qu’il y a une "vérification de sécurité en cours et que pour la valider l’utilisateur doit répondre par SMS avec le code qu’il vient de recevoir". Ce type de message peut atteindre des taux de succès de 50%. Et une fois que les hackers ont obtenu le code, ils peuvent terminer de s’identifier.
  • SIM Swapping : Une autre manière pour les hackers d’exploiter les faiblesses inhérentes à l’envoi de SMS est via le SIM swapping. Cette technique consiste à convaincre l'opérateur de transférer le numéro de téléphone de la cible sur une nouvelle carte SIM détenue par les hackers (en utilisant du phishing, du social engineering, des informations publiques…). Une fois ce transfert effectué, les hackers disposent d’une fenêtre (le temps que l’utilisateur se rende compte que sa ligne ne fonctionne plus) pour recevoir les communications à sa place. 

Vulnérabilités de la MFA qui peuvent être exploitées

Comme tous les software, les solutions MFA ont des failles qui peuvent être exploitées.

  • Défauts du software : Tous les logiciels ont des bugs et des faiblesses, et la MFA ne fait pas exception à la règle. La plupart des solutions MFA ont eu des vulnérabilités qui ont été identifiées et qui ont pu offrir temporairement des opportunités aux hackers (par exemple, une red team a récemment identifié une vulnérabilité chez un fournisseur de solution d’authentification 2FA qui permettait aux hackers de recevoir les notifications push de validation plutôt que l’utilisateur).
  • Paramètres de récupération : La MFA partage une vulnérabilité avec d’autres software au niveau du paramétrage de la récupération de compte. Les utilisateurs oublient leurs mots de passe, ou de nouveaux accès doivent être régulièrement créés ou modifiés. Alors que la MFA permet de sécuriser les connexions, les procédures de back-up en place sont souvent bien moins sécurisées. Par exemple, une méthode de récupération classique est d’envoyer un lien email à une deuxième adresse (ou un SMS avec un lien), comme l’indique le schéma ci-dessous. Pour peu que cette adresse ou le numéro de téléphone ait été compromis par les hackers, cette procédure leur permettra d’accéder au compte de leur cible. Des études ont par ailleurs montré que l’usage, fréquent, de questions de vérification (comme le nom d’un animal de compagnie ou d’une équipe préférée) pour sécuriser une récupération de compte pouvait être contourné, notamment par des recherches d’informations publiques (réseaux sociaux).

2. Contourner la MFA

Les hackers ont trouvé des solutions innovantes pour battre les protections MFA. Mais ils ont aussi, dans leur arsenal, ajouté des solutions pour la contourner. 

Terminal compromis (Attaque par Malware)

L’installation réussie de malware sur un terminal résultera évidemment en une vulnérabilité, et ce malgré la MFA, puisque le hacker a directement accès à la machine de l'utilisateur. Elle permettra aux hackers de créer des sessions parallèles suite au log in de l’utilisateur, de voler et d’utiliser le cookie de session, ou d’accéder à des ressources additionnelles. 

Les moyens les plus couramment utilisés pour installer du malware sur un terminal (ordinateur ou portable) sont par le biais d’attaques de phishing, via le téléchargement de pièces jointes comme des fichiers Word ou Excel ou de drive-by download. Une attaque de ce type rendra donc inopérantes les protections MFA.

 Consent phishing

L’utilisation de solutions SaaS hébergées dans le cloud a entraîné l’émergence d’attaques de consent phishing. Ces attaques diffèrent des attaques de phishing traditionnelles : au lieu de chercher à obtenir de l’information ou des credentials, l'objectif des hackers est de piéger l’utilisateur en l’amenant à donner des accès à une application tierce malveillante. Il est probable que ce type d’attaque augmentera en fréquence.

Dans un exemple, les utilisateurs reçoivent un lien vers une page de connexion Office 365 légitime. L’objectif de cette connexion n’est pas de récupérer les identifiants des cibles, mais de les amener à accorder des accès, autorisations read/write et même un accès hors ligne aux hackers. la MFA est contournée dans la mesure où c’est l’utilisateur qui accorde, involontairement, ces permissions.

Exploiter des faiblesses de la configuration du SSO

Le Single Sign-on (SSO) est utilisé pour faciliter l’expérience des utilisateurs qui ne doivent s’authentifier qu’une fois. Cependant, si il est mal paramétré, il peut permettre aux hackers de contourner la MFA lorsqu’une connexion réussie (sans MFA) à un site entraîne, via le SSO, l’autorisation d’accès à un site protégé par la MFA. Dans ce cas de figure, l’accès au premier site, moins protégé, par les hackers leur permettrait de contourner la MFA.

Un autre exemple d’attaque (bien plus sophistiquée) qui s’appuie sur des logiques similaires et l’attaque Golden SAML dont a été victime SolarWinds en 2020. SAML est une méthode d’échange d’authentification entre plusieurs parties qui permet au SSO de fonctionner. Dans ce type d’attaque, les hackers, après avoir préalablement pénétré le réseau et obtenu des accès privilégiés via des techniques conventionnelles, peuvent accéder aux certificats utilisés pour authentifier les objets SAML. Avec ces certificats, ils peuvent émuler n’importe quel utilisateur avec les accès qu’ils souhaitent, et se connecter aux ressources en SSO.  

Quelles stratégies de défense?

La MFA est évidemment une bonne pratique et devrait être utilisée pour protéger l’accès à des sites et applications sensibles. Les solutions MFA sont efficaces, notamment contre les attaques basiques comme le mass phishing, et protègent avant tout très efficacement contre la réutilisation d’identifiants. L’implémentation d'approches comme les outils de gestion des terminaux (MDM) ou, idéalement, l’emploi de clés de sécurité U2F permet de contrer un grand nombre d’attaques visant à récupérer les identifiants des utilisateurs.

Cependant, les hackers se sont adaptés. Ils ont intégré la MFA dans leurs stratégies et déployé des solutions innovantes pour la contrer. L’installation de malware étant le plus efficace, car leur permet de contourner les protections les plus fortes, comme la présence de clés de sécurité U2F.

L’utilisation de la MFA ne doit donc pas générer un faux sentiment de confiance dans l’entreprise : elle ne peut se substituer à une vigilance constante et au développement, en interne, des réflexes de cybersécurité.