Pour gérer vos consentements :

Authentification : comment pirater les tokens

Pirater les tokens ou jetons d’authentification, ces petits dispositifs matériels qui attribuent un code unique à chaque session ? C’est le verrou que sont parvenus à forcer deux chercheurs en sécurité. Lors d’une présentation sur la Def Con, une conférence annuelle sur le hacking se tenant en ce moment à Las Vegas, Joe Fitzpatrick et Michael Leibowitz ont présenté plusieurs démos d’attaques contre des systèmes de token, comme ceux de YubiKey ou de RSA.

Sur GitHub, les deux chercheurs ont placé un code permettant d’émuler une clef YubiKey sur un Arduino, un pico-ordinateur s’apparentant au Raspberry Pi. Plus amusant, Fitzpatrick et Leibowitz ont aussi tenté de s’approcher de l’apparence de la YubiKey pour créer ce qu’ils appellent une DoobieKey. Lors d’une démo au Def Con, les deux chercheurs ont montré que cette dernière était reconnue comme une clef légitime par les serveurs YubiKey.

Modifier les tokens pour tromper les utilisateurs

En pratique, pour être menée à bien, l’attaque nécessiterait de fabriquer des dispositifs bien plus convaincants, capables de tromper des utilisateurs. Pour réussir, le détournement doit en effet amener ces derniers à penser qu’ils ont bien affaire à des clefs légitimes. L’objectif étant de les amener à se logger à leur compte avec les DoobieKey, l’assaillant ayant alors une copie du code fourni par le token. « Il s’agit d’une attaque par supply chain, explique Joe Fitzpatrick à nos confrères de Motherboard. Vous modifiez les dispositifs avant de les fournir aux utilisateurs. »

Les deux chercheurs se sont également attaqués aux tokens RSA, des dispositifs similaires qui affichent un code que les utilisateurs doivent entrer sur leur poste pour s’authentifier. Les faux jetons RSA communiquent avec les assaillants via Bluetooth, soit pour indiquer au dispositif contrefait quel code fournir à l’utilisateur, soit pour récupérer les sésames que le faux jeton RSA diffuse en permanence. Joe Fitzpatrick prévoit de mettre le design de cette copie des dispositifs RSA sur GitHub dans un futur proche.

Si les deux chercheurs montrent, via leur démo, que les tokens peuvent être contrefaits, leurs attaques restent complexes à mettre en œuvre. Et ces systèmes permettant une authentification à deux facteurs n’en demeurent pas moins une sécurité supplémentaire pour les entreprises. « Continuez d’utiliser les YubiKey, continuez d’utiliser vos tokens », a d’ailleurs martelé Joe Fitzpatrick lors de sa présentation.

A lire aussi :

Black Hat : des données personnelles expurgeables des serveurs cache

Microsoft ajoute une bague pour se connecter à Windows 10

Recent Posts

Cambridge Analytica, le retour : Zuckerberg poursuivi aux États-Unis

Un procureur américain considère Mark Zuckerberg personnellement responsable des conséquences de l’affaire Cambridge Analytica sur…

21 heures ago

ITSM : EasyVista change avec Patrice Barbedette CEO

Patrice Barbedette (ex-Oracle) pilote la nouvelle phase de croissance d'EasyVista en Europe et à l'international,…

21 heures ago

Gestion de données : Databricks muscle sa direction juridique

Databricks a recruté sa responsable juridique et vice-présidente chez DocuSign pour soutenir l'exigence de conformité…

23 heures ago

Microsoft Build 2022 : beaucoup d’IA…et du Metavers au menu

A l’occasion de Build, sa conférence annuelle dédiée aux développeurs, Microsoft a fait la part…

24 heures ago

Taxe GAFA : pas avant 2023…au mieux

Très attendue, la réforme de taxation internationale des géants du numérique - dite taxe GAFA…

1 jour ago

DevOps : GitLab 15 parie gros sur l’observabilité

Avec la v15 de sa plateforme, GitLab ambitionne d'améliorer sa proposition de valeur dans la…

2 jours ago