Depuis plusieurs années, des attaques visant les méthodes d’authentification à facteur unique surviennent régulièrement. De ce fait, un mouvement à grande échelle entraînant les entreprises à considérer des solutions d’authentification multifacteurs (MFA) plus robustes est dorénavant constaté.
Mais qu’est-ce que l’authentification multifacteur ?
L’authentification multifacteur est une méthode d’authentification électronique dans laquelle un utilisateur n’est autorisé à accéder à un site Web ou à une application qu’après avoir présenté avec succès, deux éléments de preuve ou plus à un mécanisme d’authentification. Elle ajoute ainsi une couche de protection supplémentaire lors d’un processus de connexion. Cependant, bien qu’elle réduise considérablement les risques de sécurité informatique, elle n’est pas impossible à pirater pour autant.
Voici 3 façons connues de pirater différents types de MFA et comment se prémunir de ces types d’attaques potentielles :
1. Authentification fraudée
Dans ce scénario, toute l’expérience d’authentification à laquelle l’utilisateur est confronté sera complètement ou partiellement truquée par un faux site Web sosie. Le faux site Web simule alors toute l’expérience de connexion ‘’normale’’. L’utilisateur peut ainsi entrer un nom d’utilisateur et un mot de passe, puis être faussement invité à répondre à sa solution MFA. Le faux site Web agit alors comme si l’expérience de connexion avait réussi, puis redirige la victime vers la page souhaitée par l’attaquant.
L’utilisateur sera alors convaincu qu’il s’authentifie auprès d’un site Web participant à l’application, exemple Google Authenticator MFA. Cependant, lorsque l’utilisateur ouvre l’application Google Authenticator MFA, celle-ci présente un code à 6 chiffres, qui peut être utilisé et saisi sur n’importe quel site Web, que ce dernier participe réellement ou non à l’authentification Google Authenticator MFA. L’utilisateur est ainsi invité à saisir son code Google Authenticator et l’inscrira sans savoir que toute l’expérience a été truquée.
En utilisant ce type d’attaque, le faux site Web malveillant ne peut réagir au même titre que le site Web réel visé par l’utilisateur ou prendre le contrôle de la session réelle de ce dernier. Il est également impossible d’afficher le contenu ‘’normal’’ que l’utilisateur s’attend généralement à voir. Cependant, le site Web de l’attaquant peut agir comme si des informations de sécurité supplémentaires étaient nécessaires. Il invite alors l’utilisateur à entrer des informations « qualifiantes » supplémentaires que l’attaquant souhaite capturer, telles que des questions ou des réponses de réinitialisation de mot de passe, des informations de sécurité sociale, des informations de carte de crédit, etc. Après avoir capturé les informations confidentielles de l’utilisateur, l’attaquant peut enfin simplement donner l’impression que le site Web a rencontré une erreur et rediriger l’utilisateur vers le site Web réel, tout en ayant recueilli les informations cruciales permettant une fraude future.
2. Attaques de questions de récupération
Lorsque vous vous inscrivez sur de nombreux sites Web, ceux-ci exigent la création de plusieurs « questions de récupération » et réponses. Il vous sera souvent impossible de créer un compte initial sans accepter d’utiliser et de remplir les réponses à ces questions. Ces questions de récupération incluent majoritairement des questions telles que le « Nom de jeune fille de la mère », « Professeur préféré », « Première voiture », etc.
Le problème est que ces questions et réponses de récupération sont souvent facilement devinées et non mémorisées par les utilisateurs qui les ont publiées. Google* a révélé que les questions de récupération sont malheureusement trop faciles à deviner par de parfaits inconnus (par exemple, des pirates). Par exemple :
- Dans 20% des cas, les questions de récupération peuvent être répondues avec une seule tentative
- 40% des utilisateurs n’ont pas réussi à se souvenir de leurs propres réponses de récupération
- 6% des réponses aux questions de récupération ont pu être trouvées dans le profil d’une personne sur les réseaux sociaux
Remarque : Google, Microsoft et d’autres fournisseurs ayant compris à quel point les questions de récupération sont négligeables en matière d’authentification ne les utilisent tout simplement plus.
La solution serait donc de ne jamais utiliser ce mécanisme, si vous pouvez l’éviter. S’il s’avère obligatoire, l’idéal serait de ne jamais inscrire de vraies réponses aux questions. Au lieu de cela, créez quelque chose de similaire à un long mot de passe unique pour chaque réponse de récupération. Afin de ne rien oublier, vous pourrez également enregistrer ces mots de passe dans un gestionnaire de mots de passe sécurisé.
3. Détournement de session
Le détournement de session est une méthode de piratage dans laquelle, après une authentification réussie et légitime, la session de l’utilisateur est détournée par une partie tierce, non autorisée. Cela est souvent dû au vol de jeton de contrôle d’accès. Cette méthode peut être complètement transparente pour l’utilisateur au départ et ce dernier peut involontairement participer à son propre piratage en répondant simplement à un courriel d’hameçonnage traditionnel (hameçonnage dans lequel un attaquant envoie un message frauduleux afin d’obtenir des informations personnelles). Quelle que soit la manière dont cela est fait, dès que l’attaquant non autorisé aura pris le contrôle ou copié le jeton de contrôle d’accès, l’intrus pourra alors saisir la session loin de l’utilisateur ou la manipuler frauduleusement. Lorsqu’une session est ainsi piratée, l’attaquant assume essentiellement l’identité complète de l’utilisateur piraté, et ce, durant toute la session.
En résumé, bien qu’elle ne soit pas impossible à contourner, l’authentification multifacteur reste une méthode très sécuritaire et devrait toujours être utilisée pour se protéger contre d’éventuelles cyberattaques.
*Livre blanc de Google intitulé Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google
Information tirée du eBook: 12+ Ways to Hack Multi-Factor Authentication, Par Roger Grimes, KnowBe4 (2019). KnowBe4 est la plus grande plateforme intégrée de formation à la sensibilisation à la sécurité et d’hameçonnage simulé au monde.