L’authentification à facteurs multiples : indispensable, mais pas infaillible

La faiblesse des mots de passe les plus robustes contre le détournement de comptes n’est plus à démontrer, surtout face à la menace des infostealers. La MFA s’impose, mais pas n’importe comment.

Cet article est extrait d'un de nos magazines. Téléchargez gratuitement ce numéro de : Information Sécurité: Information sécurité 26 – MFA : une option indispensable

Okta lançait l’alerte à l’automne dernier : les cybercriminels font preuve d’une agressivité croissante à l’encontre des mécanismes d’authentification à facteurs multiples (MFA).

L’équipe Auth0 d’Okta a observé deux techniques de contournement de la MFA : l’attaque en force brute et la tentative de deviner le code à usage unique, ou le recours à l’ingénierie sociale pour inciter un utilisateur ciblé à générer le code et à approuver une demande d’accès frauduleuse.

Dans ce dernier cas, les attaquants cherchent surtout à fatiguer leur cible en la noyant sous les demandes répétées de code – prétendant souvent provenir du personnel informatique ou d’assistance – via des SMS ou d’autres outils de messagerie. Finalement, l’utilisateur cède et approuve le défi MFA, ce qui permet à l’attaquant d’accéder au système.

Une approche comparable a été employée par le groupe Lapsus$ contre Uber et Rockstar Games, mais pas pour pousser un utilisateur final à approuver un challenge MFA : pour obtenir d’un membre de l’équipe IT l’enrôlement d’un terminal étranger dans le système d’authentification forte.

Début 2022, Proofpoint alertait de son côté sur l’évolution de kits de phishing – ou hameçonnage, en français – s’adaptant à l’adoption croissante de l’authentification à facteurs multiples, en misant simplement sur une interposition transparente pour la victime. L’été dernier, c’était au tour de Microsoft d’alerter sur une vaste campagne de détournement de comptes de messagerie conduite suivant ce mode opératoire : plus de 10 000 organisations dans le monde auraient été concernées depuis septembre 2021.

Mais ce n’est pas tout. À cela s’ajoute la menace des dérobeurs de données, les infostealers. Outre les mots de passe, ceux-ci permettent de voler des cookies associés à des sessions Web actives ou récentes. De quoi permettre à un assaillant de contourner le processus d’authentification. La pratique est désormais bien connue et aurait été utilisée par Lapsus$ pour accéder à l’instance Slack d’Electronic Arts. Plus récemment, CircleCI dévoilait avoir été victime d’une compromission réalisée suivant le même procédé.

En fait, les techniques de contournement de la MFA ne manquent pas. Elles ont été regroupées dans une carte mentale pour inventaire et sensibilisation.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)