Authentification : comment pirater les tokens

Reynald Fléchaux,

Lors de la Def Con, deux chercheurs montrent qu’il est possible de contrefaire des jetons d’authentification courants, comme ceux de YubiKey ou de RSA.

Pirater les tokens ou jetons d’authentification, ces petits dispositifs matériels qui attribuent un code unique à chaque session ? C’est le verrou que sont parvenus à forcer deux chercheurs en sécurité. Lors d’une présentation sur la Def Con, une conférence annuelle sur le hacking se tenant en ce moment à Las Vegas, Joe Fitzpatrick et Michael Leibowitz ont présenté plusieurs démos d’attaques contre des systèmes de token, comme ceux de YubiKey ou de RSA.

Sur GitHub, les deux chercheurs ont placé un code permettant d’émuler une clef YubiKey sur un Arduino, un pico-ordinateur s’apparentant au Raspberry Pi. Plus amusant, Fitzpatrick et Leibowitz ont aussi tenté de s’approcher de l’apparence de la YubiKey pour créer ce qu’ils appellent une DoobieKey. Lors d’une démo au Def Con, les deux chercheurs ont montré que cette dernière était reconnue comme une clef légitime par les serveurs YubiKey.

Modifier les tokens pour tromper les utilisateurs

En pratique, pour être menée à bien, l’attaque nécessiterait de fabriquer des dispositifs bien plus convaincants, capables de tromper des utilisateurs. Pour réussir, le détournement doit en effet amener ces derniers à penser qu’ils ont bien affaire à des clefs légitimes. L’objectif étant de les amener à se logger à leur compte avec les DoobieKey, l’assaillant ayant alors une copie du code fourni par le token. « Il s’agit d’une attaque par supply chain, explique Joe Fitzpatrick à nos confrères de Motherboard. Vous modifiez les dispositifs avant de les fournir aux utilisateurs. »

Les deux chercheurs se sont également attaqués aux tokens RSA, des dispositifs similaires qui affichent un code que les utilisateurs doivent entrer sur leur poste pour s’authentifier. Les faux jetons RSA communiquent avec les assaillants via Bluetooth, soit pour indiquer au dispositif contrefait quel code fournir à l’utilisateur, soit pour récupérer les sésames que le faux jeton RSA diffuse en permanence. Joe Fitzpatrick prévoit de mettre le design de cette copie des dispositifs RSA sur GitHub dans un futur proche.

Si les deux chercheurs montrent, via leur démo, que les tokens peuvent être contrefaits, leurs attaques restent complexes à mettre en œuvre. Et ces systèmes permettant une authentification à deux facteurs n’en demeurent pas moins une sécurité supplémentaire pour les entreprises. « Continuez d’utiliser les YubiKey, continuez d’utiliser vos tokens », a d’ailleurs martelé Joe Fitzpatrick lors de sa présentation.

A lire aussi :

Black Hat : des données personnelles expurgeables des serveurs cache

Microsoft ajoute une bague pour se connecter à Windows 10