Authentification multifacteur (MFA) est une défense de base parmi les plus efficaces pour empêcher les prises de contrôle de compte. En plus d’exiger que les utilisateurs fournissent un nom d’utilisateur et un mot de passe, MFA garantit qu’ils doivent également utiliser un facteur supplémentaire, qu’il s’agisse d’une empreinte digitale, d’une clé de sécurité physique ou d’un mot de passe à usage unique, avant de pouvoir accéder à un compte. Rien dans cet article ne doit être interprété comme disant que MFA n’est rien d’autre qu’essentiel.
Cela dit, certaines formes de MFA sont plus fortes que d’autres, et les événements récents montrent que ces formes plus faibles ne sont pas vraiment un obstacle à surmonter pour certains pirates. Au cours des derniers mois, des script kiddies présumés comme le gang d’extorsion de données Lapsus$ et des acteurs de la menace d’élite de l’État russe (comme Cozy Bear, le groupe derrière le piratage de SolarWinds) ont tous deux réussi à vaincre la protection.
Entrez le bombardement rapide MFA
Les formes les plus solides de MFA sont basées sur un cadre appelé FIDO2, qui a été développé par un consortium d’entreprises pour équilibrer la sécurité et la simplicité d’utilisation. Il donne aux utilisateurs la possibilité d’utiliser des lecteurs d’empreintes digitales ou des caméras intégrés à leurs appareils ou des clés de sécurité dédiées pour confirmer qu’ils sont autorisés à accéder à un compte. Les formes FIDO2 de MFA sont relativement nouvelles, de sorte que de nombreux services destinés aux consommateurs et aux grandes organisations ne les ont pas encore adoptés.
C’est là qu’interviennent les formes plus anciennes et plus faibles de MFA. Elles incluent des mots de passe à usage unique envoyés par SMS ou générés par des applications mobiles telles que Google Authenticator ou des invites push envoyées à un appareil mobile. Lorsqu’une personne se connecte avec un mot de passe valide, elle doit également saisir le mot de passe à usage unique dans un champ de l’écran de connexion ou appuyer sur un bouton affiché sur l’écran de son téléphone.
C’est cette dernière forme d’authentification qui, selon des rapports récents, est contournée. Un groupe utilisant cette technique, selon la société de sécurité Mandiant, est Cozy Bear, un groupe de pirates informatiques d’élite travaillant pour le service russe de renseignement extérieur. Le groupe porte également les noms de Nobelium, APT29 et the Dukes.
“De nombreux fournisseurs MFA permettent aux utilisateurs d’accepter une notification push d’application téléphonique ou de recevoir un appel téléphonique et d’appuyer sur une touche comme deuxième facteur”, ont écrit les chercheurs de Mandiant. “Le [Nobelium] L’acteur de la menace en a profité et a envoyé plusieurs demandes MFA à l’appareil légitime de l’utilisateur final jusqu’à ce que l’utilisateur accepte l’authentification, permettant à l’acteur de la menace d’accéder éventuellement au compte.
Lapsus$, un gang de piratage qui a piraté Microsoft, Okta et Nvidia ces derniers mois, a également utilisé cette technique.
“Aucune limite n’est imposée au nombre d’appels pouvant être passés”, a écrit un membre de Lapsus$ sur la chaîne officielle Telegram du groupe. “Appelez l’employé 100 fois à 1h du matin alors qu’il essaie de dormir, et il l’acceptera très probablement. Une fois que l’employé a accepté l’appel initial, vous pouvez accéder au portail d’inscription MFA et inscrire un autre appareil. »
Le membre de Lapsus $ a affirmé que la technique de bombardement rapide de la MFA était efficace contre Microsoft, qui a déclaré plus tôt cette semaine que le groupe de piratage avait pu accéder à l’ordinateur portable de l’un de ses employés.
“Même Microsoft !” la personne a écrit. “Capable de se connecter au VPN Microsoft d’un employé depuis l’Allemagne et les États-Unis en même temps et ils n’ont même pas semblé s’en apercevoir. J’ai également pu me réinscrire au MFA deux fois.
Mike Grover, un vendeur d’outils de piratage de l’équipe rouge pour les professionnels de la sécurité et un consultant de l’équipe rouge qui passe par le pseudo Twitter _MG_, a déclaré à Ars que la technique est « fondamentalement une méthode unique qui prend plusieurs formes : inciter l’utilisateur à reconnaître une MFA demande. « MFA Bombing » est rapidement devenu un descripteur, mais cela passe à côté des méthodes les plus furtives.
