Le FBI tire la sonnette d'alarme à propos d'attaques qui contournent l'authentification à plusieurs facteurs

Et donne des recommandations

L'authentification à plusieurs facteurs (MFA), qui consiste en l'utilisation d'un jeton secondaire ou d'un code à usage unique pour garantir l'identité de l'individu qui veut un accès à un compte, constitue une couche de défense supplémentaire dans la protection d'un compte. Toutefois, le FBI (Federal Bureau of Investigation) des États-Unis a envoyé le mois dernier un avis de sécurité aux partenaires du secteur privé concernant la menace croissante d'attaques contre des organisations et leurs employés, susceptibles de contourner les solutions d'authentification à plusieurs facteurs (MFA) : « Le FBI a observé des cyberacteurs contournant l'authentification multifactorielle par des attaques d'ingénierie sociale et techniques communes », a indiqué l'agence dans un PIN (Private Industry Notification) envoyé le 17 septembre.

Il faut dire que les attaques réussies face à une authentification multifacteurs ne sont pas légions. Selon Microsoft, l'utilisation de l'authentification multifacteur bloque 99,9% des piratages de comptes. Dans un billet de blog, Alex Weinert, Group Program Manager for Identity Security and Protection chez Microsoft, les utilisateurs qui activent l'authentification multifacteur (MFA) pour leurs comptes vont bloquer 99,9% des attaques automatisées, même si les pirates informatiques disposent d'une copie du mot de passe actuel de l'utilisateur. Le 0,1% représente des attaques plus sophistiquées qui utilisent des solutions techniques pour capturer les jetons MFA, mais ces attaques sont encore très rares.


« Votre mot de passe n’a pas d’importance en dehors du password spray (évitez les mots de passe les plus utilisés) ou du brute force (utilisez plus de 8 caractères, ou utilisez un gestionnaire de mot de passe si vous êtes vraiment inquiet). Cela ne veut pas dire que votre mot de passe n’est pas mauvais. Il est mauvais, étant donné la probabilité qu’il soit deviné, intercepté, pris via une attaque par hameçonnage ou réutilisé.

« Votre mot de passe importe peu, mais la MFA si ! Sur la base de nos études, votre compte a plus de 99,9% de moins de chances d'être compromis si vous utilisez la MFA ».

Malgré cela, l'utilisation de la MFA n'est pas répandue, Microsoft estime que « moins de 10% des utilisateurs par mois » utilisent la MFA pour leurs comptes d'entreprise.

Toutefois, selon le FBI, cette utilisation de jetons secondaires ou de codes uniques pour sauvegarder les noms d’utilisateur et les mots de passe n’est pas toujours suffisante. À moins que les entreprises n’utilisent des « informations biométriques ou comportementales, telles que l’heure, la géolocalisation ou l’adresse IP », il existe un risque qu’une attaque puisse amener un utilisateur à divulguer un code d’authentification à plusieurs facteurs ou utiliser une interception technique pour en créer un.

Et c’est cette sophistication croissante de la manipulation des employés, appelée ingénierie sociale, qui a déclenché l’avertissement. En septembre, Proofpoint a clairement averti que l'ingénierie sociale devenait incontrôlable, les criminels exploitant « des interactions humaines plutôt que des exploits automatisés pour installer des logiciels malveillants, lancer des transactions frauduleuses, voler des données et se livrer à d'autres activités malveillantes ».

Selon les recherches, 99% des cyberattaques reposent désormais sur une personne qui fait une action : cliquer sur un lien, ouvrir une pièce jointe, se laisser prendre à une arnaque. « Les instincts de curiosité et de confiance », explique Proofpoint, « incitent les personnes bien intentionnées à cliquer, télécharger, installer, ouvrir et envoyer de l’argent ou des données - au lieu d’attaquer les systèmes et les infrastructures, les acteurs malveillants se concentrent sur les individus, leurs rôles dans l'organisation, les données auxquelles ils ont accès et leur probabilité de "cliquer ici" ».

Quelques exemples donnés par le FBI

Dans sa notification au secteur privé, le FBI a présenté des exemples d’outils et de techniques utilisés pour vaincre la MFA, notamment des piratages Web, des outils de cyberattaque, tels que Muraen et NecroBrowser, et l’échange simple de cartes SIM. Il semble que le problème avec MFA est que c'est un réconfort trompeur pour l'institution elle-même. Une fois déployée, un utilisateur aura probablement plus de privilèges qu’il n'aurait eus sans cela :

• en 2019, un cyberattaquant a pris pour cible une institution bancaire américaine qui a su tirer parti d’une faille dans le site Web de la banque pour contourner l’authentification à deux facteurs mise en place pour protéger les comptes. Le cyberattaquant s'est connecté avec les identifiants de victime volés et, lorsqu'il a atteint la page secondaire où le client devrait normalement entrer un code confidentiel et répondre à une question de sécurité, il a saisi une chaîne manipulée dans l'URL Web, définissant ainsi son ordinateur comme étant reconnu pour avoir déjà été utilisé pour ouvrir le compte. Cela lui a permis de contourner les pages de code confidentiel et de questions de sécurité et d'initier des virements électroniques des comptes des victimes ;
• en 2016, les clients d'une institution bancaire américaine ont été ciblés par un cyberattaquant qui a transféré leurs numéros de téléphone sur un téléphone qu'il possédait, une attaque appelée échange de carte SIM. L’agresseur a appelé les représentants du service clientèle des compagnies de téléphone pour trouver ceux qui étaient plus disposés à lui fournir des informations pour compléter l’échange de la carte SIM. Une fois que l’attaquant a eu le contrôle des numéros de téléphone des clients, il a appelé la banque pour demander un virement télégraphique des comptes des victimes à un autre compte qu’il possédait. La Banque, reconnaissant le numéro de téléphone comme appartenant au client, ne posa pas de questions de sécurité complètes, mais demanda un code à usage unique envoyé au numéro de téléphone à partir duquel il appelait. Il a également demandé à modifier les codes PIN et les mots de passe et a été en mesure de joindre les numéros de carte de crédit des victimes à une application de paiement mobile ;
• au cours des exercices 2018 et 2019, le centre des plaintes contre la criminalité sur Internet du FBI et les plaintes de victimes déposées par le FBI ont observé que l’attaque susmentionnée - l’échange de la carte SIM - était une tactique courante utilisée par les cybercriminels cherchant à contourner l’authentification à deux facteurs. Les victimes de ces attaques se sont vu voler leurs numéros de téléphone, leurs comptes bancaires ont été vidés et leurs mots de passe et leurs codes confidentiels ont été modifiés. Nombre de ces attaques reposent sur des représentants du service clientèle issus de l'ingénierie sociale des grandes compagnies de téléphone, qui donnent des informations aux attaquants ;
• en février 2019, un expert en cybersécurité lors de la conférence RSA à San Francisco a démontré une grande variété de stratagèmes et d'attaques que les cyberacteurs pourraient utiliser pour contourner l'authentification multifactorielle. L’expert en sécurité a présenté des exemples en temps réel de la manière dont les cyberacteurs pourraient utiliser les attaques de type "man-in-the-middle" et le détournement de session pour intercepter le trafic entre un utilisateur et un site Web afin de mener ces attaques et de maintenir leur accès le plus longtemps possible. Il a également présenté des attaques d'ingénierie sociale, notamment des schémas d'hameçonnage ou des SMS frauduleux prétendant être une banque ou un autre service, afin de permettre à un utilisateur de se connecter à un faux site Web et de renoncer à ses informations personnelles ;
• lors de la conférence Hack-in-the-Box organisée à Amsterdam en juin 2019, des experts en cybersécurité ont présenté deux outils, Muraena et NecroBrowser, permettant d'automatiser un schéma de phishing contre les utilisateurs de l'authentification à plusieurs facteurs. L'outil Muraena intercepte le trafic entre un utilisateur et un site Web cible à qui il est demandé de saisir les informations d'identification de connexion et un code de jeton, comme d'habitude. Une fois authentifié, NecroBrowser stocke les données des victimes de cette attaque et pirate le cookie de session, permettant ainsi aux cyberacteurs de se connecter à ces comptes privés, de les reprendre, de modifier les mots de passe des utilisateurs et les adresses de messagerie de récupération tout en maintenant l'accès le plus longtemps possible.

Mitigation

Bien que les risques restent rares, il ne serait pas naïf de penser que le recours croissant à la MFA entraînera des attaques croissantes contre la MFA, ce qui aura des conséquences pour des millions de personnes à mesure qu'elles dépendront d'une forme de vérification secondaire (vulnérable). C’est le cas des numéros de téléphone mobile utilisés pour vérifier des personnes : le récent détournement du compte du PDG de Twitter, Jack Dorsey, a davantage fait connaître les faiblesses de cette vérification que de nombreux autres avertissements.

Les pirates ont eu accès au compte de Jack Dorsey par l'intermédiaire du service de publication de tweets par SMS via Cloudhopper, un service de messagerie texte mobile que Twitter a acquis en 2010. À l'aide de Cloudhopper, les utilisateurs de Twitter peuvent envoyer des tweets sur leur profil en envoyant des messages texte à un numéro de code court, habituellement 40404. C'est un procédé utile pour les utilisateurs des téléphones simples ou pour ceux qui n’ont pas accès à l'application Twitter.

Pour utiliser le service, le système exige seulement que l’utilisateur relie son numéro de téléphone à son compte Twitter, ce que la plupart des utilisateurs font déjà pour des raisons de sécurité distinctes. Cependant, le contrôle d’un tel numéro de téléphone est généralement suffisant pour envoyer des tweets sur le compte lié, ce que la plupart des utilisateurs ignorent.

Le FBI recommande ceci :

• la défense contre les attaques par authentification multifactorielle nécessite une prise de conscience des attaques qui contournent la sécurité et une vigilance constante à l'égard des attaques d'ingénierie sociale ;
• apprenez aux utilisateurs et aux administrateurs à identifier les astuces d'ingénierie sociale - comment reconnaître des sites Web factices, ne pas cliquer sur des liens non autorisés dans un courrier électronique, ou les bloquer complètement - et apprenez-leur comment réagir face aux tactiques d'ingénierie sociale courantes ;
• envisagez d'utiliser des formes supplémentaires ou plus complexes d'authentification multifacteur pour les utilisateurs et les administrateurs, telles que les méthodes d'authentification biométrique ou comportementale, bien que cela puisse créer un inconvénient supplémentaire pour ces utilisateurs.

Selon le FBI, « l'authentification multifactorielle reste une mesure de sécurité forte et efficace pour protéger les comptes en ligne ». En d'autres termes, les entreprises devraient toujours déployer cette seconde couche de défense chaque fois que possible. Mais ces entreprises doivent également « prendre des précautions pour ne pas être victimes de ces attaques ». En d’autres termes, toutes les solutions d’authentification multifactorielles ne sont pas identiques et l’utilisation de telles défenses n’atténue pas le besoin de formation des utilisateurs.

En attendant, malgré ce dernier avertissement, étant donné que MFA bloque presque toutes les attaques et que tout ce qui est au-dessus d’une simple combinaison nom d’utilisateur / mot de passe dissuade tous les attaquants, sauf les plus déterminés et les plus capables, vous devriez l’utiliser autant que possible.

Source : FBI

Et vous ?

Comment protégez-vous vos comptes ?
Si vous utilisez un second facteur pour accéder à vos comptes, quel est-il ?
La MFA à tous les types de comptes ou seulement pour certains ? Lesquels et pourquoi ?
Selon-vous les seconds facteurs se valent-ils ? Sinon, quelles seraient les plus difficiles à contourner ?
Que pensez-vous des recommandations du FBI ? Auriez-vous quelque chose à y ajouter ou à modifier ?

Voir aussi :

Le FBI a essayé d'installer une porte dérobée dans Phantom Secure, un réseau téléphonique chiffré axé sur la protection de la vie privée, mais qui approvisionnait le marché criminel
Le FBI veut renforcer son niveau de surveillance des médias sociaux en collectant plus de données dont les identifiants et les numéros de téléphone
Le FBI a saisi Deep Dot Web, un important annuaire du Dark Web, et a arrêté ses administrateurs
Les gains totaux de la cybercriminalité ont grimpé en flèche à 2,7 milliards de dollars, avec au total 351 936 plaintes reçues en 2018, selon le FBI