ink drop - stock.adobe.com

Authentification : Microsoft met en garde contre les attaques en détournement de jetons

L’éditeur indique observer une augmentation de 111 % sur un an du nombre d’attaques s’appuyant sur le détournement de jetons – de session comme d’accès – et permettant de contourner des mécanismes de sécurité comme l’authentification à facteurs multiples (MFA).

Le phénomène n’est pas nouveau ni même prédominant, mais il affiche une rapide progression : le détournement de jetons et, avec lui, le contournement de mécanismes d’authentification.

Selon Microsoft, le vol de jetons constitue moins de 5 % de toutes les compromissions d’identités, mais l’éditeur dit avoir récemment constaté une progression de 111 % sur un an des tentatives de rejeu de jetons.

Dans un billet de blog, Microsoft explique la menace, en s’appuyant sur des analogies simples : « lorsqu’un attaquant vole votre jeton de session, c’est comme s’il volait votre abonnement annuel à un parc de loisirs […] il peut l’utiliser pour obtenir un nombre illimité de nouveaux jetons d’accès à n’importe quelle attraction, sans payer ».

Mais puisqu’il s’agit de données numériques, il faut imaginer que l’attaquant remette la carte d’abonnement originale dans la poche de sa victime… Laquelle n’a dès lors aucune raison de soupçonner qu’une personne malveillante en profite à son insu.

Outre les mots de passe stockés dans les navigateurs Web, les maliciels dérobeurs de données, les infostealers, sont justement capables de voler des jetons de session et d’accès. De quoi permettre donc à un assaillant suffisamment rapide de contourner le processus d’authentification.

La pratique est désormais bien connue et aurait été utilisée par Lapsus$ pour accéder à l’instance Slack d’Electronic Arts. Début 2023, CircleCI dévoilait avoir été victime d’une compromission réalisée suivant le même procédé.

De quoi rappeler que, si l’authentification à facteurs multiples (MFAest devenue indispensable, elle n’en est pas moins contournable. Microsoft en profite pour promouvoir ses mécanismes de contrôle d’accès, liant notamment jeton et terminal sur lequel il est utilisé, afin d’empêcher le détournement de jetons. Mais l’éditeur est loin d’être le seul à proposer de telles solutions : la menace a été identifiée depuis longtemps et prise en compte par les acteurs de la gestion des identités et des accès (IAM).

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)