alphaspirit - Fotolia
Des pirates détournent OAuth pour prendre le contrôle de comptes Gmail
Une attaque par hameçonnage est utilisée par des acteurs malveillants afin de profiter du standard OAuth pour accéder à leurs comptes de messagerie Google.
Il n’aura fallu qu’une heure à Google pour reconnaître et bloquer une attaque par hameçonnage s’appuyant sur son service Google Docs. Décrite initialement par l’utilisateur de Reddit répondant au pseudonyme JakeStream, cette attaque commence de manière somme toute classique : la cible reçoit un courriel reprenant les codes graphiques associés au partage d’un document hébergé sur la plateforme de Google. Lorsque l’internaute clique sur le lien associé, il est renvoyé à la page d’authentification – ou de sélection de compte – Google. Une fois l’authentification effectuée – avec double facteur pour les comptes pour lesquels il a été activé –, une page demande la permission pour Google Docs d’accéder à la messagerie électronique et aux contacts de l’utilisateur. Comme le font certaines applications.
C’est que ce prétendu Google Docs utilise les mécanismes permettant de délivrer des autorisations spéciales à des applications tierces tout à fait légitimes. Las, dans le cas présent, il ne s’agit pas d’une application légitime : c’est une fausse application, malicieuse, mettant à profit les mécanismes du standard OAuth.
Charles Rami, responsable de l’ingénierie commerciale pour l’Europe du Sud chez Proofpoint, cette attaque met à profit « certaines techniques qui, auparavant, étaient plutôt associées à des cyberattaques liées à des gouvernements ». Trend Micro décrit d’ailleurs le procédé dans son tout récent rapport sur les activités qu’il attribue au groupe Pawn Storm, aussi connu sous les noms de Fancy Bear, APT28, Sofacy ou encore Strontium. Et le développeur André DeMarre décrivait déjà le concept à l’automne 2011.
Rapidement, Google a indiqué avoir « pris des mesures pour protéger les utilisateurs contre les e-mails usurpant l’identité de Google Docs et désactivé les comptes en infraction. Nous avons supprimé les fausses pages, poussé des mises à jour via Safe Browsing [les listes d’URL malveillantes, NDLR], et nos équipes travaillent pour prévenir ce type d’usurpation à l’avenir ».
Mounir Hahad, directeur senior chez Cyphort Labs, doute toutefois que la réponse soit très efficace : « cela change la donne, dans la mesure où il y a peu de chose à mettre à l’index comme malicieux. N’importe quelle application peut utiliser l’API de Google pour l’authentification. Les attaques en masse seront relativement faciles à identifier et à traiter, mais les plus ciblées passeront inaperçues pour un moment ».
Pour Travis Smith, ingénieur senior en recherche en sécurité chez Tripwire, les mesures prises par Google devraient être porter leurs fruits pour un temps. Mais d’autres campagnes utilisant les mêmes procédés pourraient avoir lieu.
Près d’un million de personnes pourraient avoir été affectées par cette attaque. C’est peu rapporté à la base installée de Google, grâce à sa rapidité, mais c’est déjà beaucoup. Le géant du Web a réagi vite, limitant le nombre des victimes.
Mais en décembre dernier, Webroot soulignait que, de toute façon, « 84 % des sites de phishing existent pour moins de 24h ». Qui plus est, « le cycle de vie moyen était de moins de 15h [entre septembre et octobre dernier] ». Dans son rapport sur les tendances en matière de hameçonnage, Webroot ajoutait que « vingt sites sont restés en ligne moins d’une heure, dont un qui n’a duré que seulement 15 minutes ». Un délai qui peut être suffisant pour siphonner les données personnelles d’un utilisateur de Gmail…
Pour Amichai Shulman, cofondateur et directeur technique d’Imperva, c’est bien simple : « il n’est plus possible pour les entreprises combattre les tentatives de phishing au niveau des logiciels clients car les utilisateurs continuent de cliquer sur des liens malveillants dans les e-mails ». Le filtrage, donc ? Mais l’on en revient à la question de la base sur laquelle filtrer… A moins que la situation ne souligne l’importance de la formation. Même si elle ne produit pas 100 % de résultats probants. Comme pour les rançongiciels ou encore la fraude au président.