Flexible Security for Your Peace of Mind

Neuf façons de contourner la MFA (et pourquoi les mots de passe restent importants)

De toutes les recommandations en matière de sécurité d’accès, l’authentification multifacteur (MFA) est sans doute la plus importante. Ce n’est pas pour rien que de nombreuses bonnes pratiques et standards de conformité placent désormais la MFA en tête de liste des configurations de sécurité nécessaires pour se protéger contre les compromissions. La MFA peut être ce niveau de sécurité crucial qui empêche une violation – les mots de passe seuls ne demandant bien souvent que peu de travail aux pirates pour être décodés. Cependant, la MFA n’est pas infaillible – et un mot de passe faible ou compromis reste presque toujours un facteur clé lorsqu’un utilisateur est victime d’une attaque.

Comment la MFA peut être compromise

Les organisations doivent être conscientes que la MFA n’est pas une solution miracle face à des mots de passe inadéquats. Elle peut être contournée et cela arrive féquemment. Nous allons passer en revue neuf façons dont la MFA peut être compromise et les raisons pour lesquelles les organisations doivent rester conscientes du fait que la MFA ajoute généralement une protection supplémentaire à un élément crucial : le mot de passe.

1.      Le bombardement d’invite MFA

L’une des caractéristiques des applications d’authentification modernes est qu’elles fournissent une notification push qui invite l’utilisateur à accepter ou à refuser la demande de connexion. Bien que cela soit pratique pour l’utilisateur final, les attaquants peuvent l’utiliser à leur avantage. S’ils ont déjà compromis un mot de passe, ils peuvent tenter de se connecter et de générer une invite MFA sur l’appareil de l’utilisateur légitime. Ils espèrent alors que l’utilisateur pensera qu’il s’agit d’une invite légitime et l’acceptera ou qu’il se lassera des invites continuelles et finira par l’accepter afin de stopper le flux de notifications qu’il reçoit sur son téléphone. C’est ce qu’on appelle le bombardement d’invite MFA – vous pourrez apprendre à vous prémunir contre ce phénomène en cliquant ici.

Les renseignements sur les menaces du KrakenLabs d’Outpost24 nous ont été communiqués pour montrer comment le groupe de pirates 0ktapus utilise avec succès le prompt bombing. Après avoir compromis les identifiants de connexion via hameçonnage par SMS, les pirates poursuivent le processus d’authentification à partir d’une machine qu’ils contrôlent et demandent immédiatement un code d’MFA. Ils génèrent ensuite une série infinie d’invites MFA jusqu’à ce que l’utilisateur en accepte une par lassitude ou frustration. Les attaquants peuvent également utiliser l’ingénierie sociale pour inciter une victime à accepter une invite. En 2022, un pirate s’est fait passer pour un membre de l’équipe de sécurité d’Uber sur Slack, obtenant un accès en convainquant un employé d’accepter une notification push sur son téléphone.

0ktapus est également connu pour recourir aux appels téléphoniques, aux SMS et/ou messages Telegram pour se faire passer pour des membres de l’équipe informatique. Ils demandent aux utilisateurs de se rendre sur un site web de collecte d’informations d’identification contenant le logo de l’entreprise ou de télécharger un outil d’administration à distance. Si la MFA est activée, l’adversaire peut soit « corrompre » la victime directement en la convainquant de partager son mot de passe à usage unique, soit indirectement en tirant parti de la fatigue des notifications push de la MFA.

2.      Ingénierie sociale auprès du helpdesk

Les attaquants peuvent recourir à l’ingénierie sociale pour inciter les helpdesks à contourner complètement la MFA en se faisant passer pour un membre de l’organisation ayant prétendument oublié son mot de passe et en obtenant un accès grâce à un appel téléphonique. Si les agents du helpdesk n’appliquent pas la vérification à ce stade, ils peuvent involontairement donner à un pirate un premier point d’ancrage dans l’environnement de leur organisation.

C’est exactement le scénario qui s’est déroulé la récente attaque contre le MGM Resorts. Après avoir obtenu un accès initial en appelant frauduleusement le helpdesk pour une réinitialisation de mot de passe, le groupe d’attaquants (Scattered Spider) a su tirer parti de son entrée dans l’environnement pour lancer une attaque par ransomware. Cela souligne l’importance pour les organisations de disposer des moyens nécessaires pour vérifier l’identité des utilisateurs qui appellent le helpdesk en prétendant avoir besoin de réinitialiser ou de déverrouiller leur compte.

Les 0ktapus sont également connus pour s’en prendre au helpdesk d’une organisation si le bombardement d’invite MFA s’avère infructueux. L’auteur de la menace contacte le helpdesk d’une organisation en prétendant être la victime, en indiquant que son téléphone est inutilisable ou égaré et en demandant à enregistrer un nouveau dispositif d’authentification MFA – contrôlé par l’attaquant.

Vous êtes préoccupé par les lacunes en matière de sécurité des helpdesks ? Découvrez comment sécuriser le vôtre dès aujourd’hui.

3.      Attack -in-the-middle (AITM)

Les attaques AITM consistent essentiellement à faire croire à un utilisateur qu’il se connecte à un réseau, une application ou un site web légitime, alors qu’en réalité, il confie ses données à un espace frauduleux. Cela signifie que les pirates peuvent intercepter les mots de passe et manipuler les invites MFA et d’autres éléments relatifs à la sécurité.

Par exemple, un courriel de spear phishing peut arriver dans la boîte de réception d’un employé après avoir usurpé l’identité d’une source connue. Le lien sur lequel clique son destinataire l’emmène sur un faux site où les pirates récupèrent ses informations d’identification pour les réutiliser. En théorie, la MFA devrait empêcher cela en exigeant une deuxième forme d’authentification. Cependant, les pirates utilisent une tactique appelée « 2FA pass-on » consistant aussitôt que la victime a saisi ses informations d’identification sur le faux site, à saisir ces mêmes informations sur le site légitime. Cela déclenche une demande de MFA, à laquelle la victime s’attend et qu’elle acceptera probablement, donnant ainsi un accès complet à l’attaquant.

Le groupe de menace Storm-1167 est connu pour créer des pages de phishing qui imitent la page d’authentification de Microsoft afin d’inviter la victime à ajouter ses informations d’identification sur ce site web. Ensuite, une autre page de phishing, imitant cette fois l’étape MFA du processus de connexion de Microsoft, s’affiche pour la victime, qui saisit le code MFA permettant ainsi aux pirates d’accéder à son compte. À partir de là, les pirates ont un accès complet à un compte de messagerie légitime et peuvent l’utiliser comme plateforme pour une attaque de phishing en plusieurs étapes.

4.      Détournement de session

Le détournement de session est similaire à une attaque AITM car il implique qu’un attaquant s’immisce au milieu d’un processus légitime et l’exploite. Lorsqu’un utilisateur s’authentifie à l’aide de son mot de passe et de la MFA, de nombreuses applications utilisent un cookie ou un jeton de session pour se souvenir que l’utilisateur est authentifié et lui accorder l’accès aux ressources protégées. Le cookie ou le jeton évite à l’utilisateur de devoir s’authentifier plusieurs fois. Mais si un pirate utilise un outil tel qu’Evilginx pour voler le jeton de session ou le cookie, il peut se faire passer pour un utilisateur authentifié, contournant ainsi la MFA configurée sur le compte.

5.      SIM swap

Les attaquants savent que la MFA repose souvent sur les téléphones portables utilisés comme « chose que vous possédez » pour compléter un processus d’authentification. Dans le cadre d’une attaque par échange de cartes SIM, les cybercriminels incitent les fournisseurs de services à passer à une carte SIM qu’ils contrôlent, détournant ainsi le service cellulaire et le numéro de téléphone de la victime. Cela permet aux attaquants de recevoir les invites MFA du service détourné et de s’y octroyer l’accès.

Après avoir été compromis au début de l’année 2022, Microsoft a publié un rapport détaillant les tactiques employées par le groupe de menace LAPSUS$. D’aprèsce rapport, LAPSUS$ mène devastes campagnes d’ingénierie sociale pour s’implanter dans les organisations. L’une de ses techniques favorites consiste à cibler les utilisateurs avec des attaques de substitution de carte SIM, ainsi que par bombardement d’invites MFA et avec la réinitialisation des informations d’identification d’une cible par le biais de l’ingénierie sociale auprès du helpdesk.

6.      Exportation des jetons générés

Une autre tactique que les attaquants peuvent utiliser consiste à compromettre le système dorsal qui génère et valide la MFA. Lors d’une attaque audacieuse en 2011, des attaquants ont réussi à voler les « graines » détenues par RSA pour générer des jetons SecurID (des porte-clés générateurs de codes utilisés pour la MFA ). Une fois les valeurs des graines compromises, les attaquants ont pu cloner les jetons SecurID et même créer les leurs.

Parfois, les attaquants sollicitent l’aide d’initiés malveillants, payés pour fournir des jetons de session pour l’approbation MFA. Le canal Telegram du groupe de menace LAPSUS$ a confirmé qu’il avait effectivement acheté des accès à un employé d’une entreprise par le passé – et qu’il recherchait activement d’autres initiés pour travailler en tant que fournisseurs. Microsoft a également indiqué que LAPSUS$ avait réussi à obtenir des mots de passe et des jetons de session à l’aide du RedLine stealer. Ces informations d’identification et ces jetons de session sont ensuite vendus sur des forums clandestins.

Il existe des marchés en ligne entièrement consacrés à l’achat et à la vente de données d’utilisateurs. Vous souhaitez savoir combien de vos employés utilisent actuellement un mot de passe qui a fait l’objet d’une violation ou d’une compromission ? Lancez une analyse rapide en lecture seule de votre Active Directory avec notre outil gratuit : Specops Password Auditor.

7.      Compromission des points d’accès

L’un des moyens d’éviter complètement la MFA est de compromettre un point d’accès avec un logiciel malveillant. L’installation d’un logiciel malveillant sur un appareil permet aux pirates de créer des sessions fantômes après une connexion réussie, de voler et d’utiliser des cookies de session ou d’accéder à des ressources supplémentaires. Si le système en question permet aux utilisateurs de rester connectés après une authentification initiale (en générant un cookie ou un jeton de session), les pirates pourraient alors conserver leur accès pendant un long moment.

Les pirates peuvent également chercher à exploiter les paramètres de récupération et les procédures de sauvegarde qui pourraient être moins sûres que les processus MFA. Les gens oublient souvent leurs mots de passe et ont régulièrement besoin de nouveaux accès ou d’accès modifiés. Par exemple, une méthode de récupération courante consiste à envoyer un lien par courrier électronique à une adresse secondaire (ou un SMS contenant un lien). Si cette adresse ou ce téléphone de secours est compromis, les pirates obtiennent un accès complet à leur cible.

8.      Exploiter la SSO

L’authentification unique (Single Sign-on ou SSO) est pratique pour les utilisateurs car ils ne doivent s’authentifier qu’une seule fois. Cependant, elle peut être exploitée par des pirates qui s’en servent pour se connecter à un site nécessitant uniquement un mot de passe compromis, puis utilisent l’authentification unique pour accéder à d’autres sites et applications qui nécessiteraient normalement une MFA. Une forme sophistiquée de cette technique a été utilisée dans le piratage de SolarWinds en 2020, dans lequels les attaquants ont exploité SAML (une méthode d’échange d’authentification entre plusieurs parties dans la SSO). Les pirates ont pris pied dans le système, puis ont eu accès aux certificats utilisés pour signer les objets SAML. Grâce à ces certificats, ils ont pu se faire passer pour n’importe quel utilisateur, avec un accès complet à toutes les ressources SSO. 

9.      Constatation de déficiences techniques

Comme tout logiciel, la technologie MFA comporte des bogues et des faiblesses qui peuvent être exploités. La plupart des solutions de MFA ont fait l’objet de publications d’exploits qui ont temporairement révélé des possibilités de piratage. Par exemple, 0ktapus a utilisé la CVE-2021-35464 pour exploiter un serveur d’application ForgeRock OpenAM, qui sert d’interface aux applications web et aux solutions d’accès à distance au sein de nombreuses organisations. Cela souligne l’importance d’encourager les employés à mettre à jour et à patcher régulièrement leurs appareils. Ces risques devraient également influencer les politiques des organisations en matière d’informatique parallèle et de BYOD (bring your own devices).

Pourquoi les mots de passe ont-ils encore de l’importance ?

Pour la plupart des organisations, se passer totalement de mots de passe n’est pas une option envisageable. Et comme nous l’avons souligné, la MFA ne suffit pas pour faire l’impasse sur la sécurité des mots de passe. Souvent, la compromission d’un compte commence par un mot de passe faible ou compromis. Une fois qu’un attaquant dispose d’un mot de passe, il peut se concentrer sur la mise en échec de la MFA. Les mots de passe faibles augmentent considérablement les chances que les cybercriminels arrivent à pénétrer les comptes qu’ils visent – des mots de passe forts n’offrant aucune protection s’ils ont déjà été compromis.

Specops Password Policy vous permet non seulement d’appliquer des politiques Active Directory fortes pour éliminer les mots de passe faibles mais également de rechercher en permanence les mots de passe qui ont été compromis, en raison de fuites de données, de hameçonnage ou de réutilisation de mots de passe. La MFA agit alors comme le niveau de sécurité supplémentaire qu’elle est censé être, plutôt que comme une solution miracle dont vous dépendez entièrement.

Vous souhaitez découvrir comment Specops Password Policy pourrait fonctionner au sein de votre organisation ? Vous avez des questions sur la façon dont vous pourriez l’adapter à vos besoins ? N’hésitez pas à nous contacter.

(Dernière mise à jour le 19/03/2024)

Revenir sur le blog