Comment les pirates contournent la MFA grâce à l’ingénierie sociale
En matière de sécurité d’accès, une recommandation se distingue des autres : l’authentification multifacteur (MFA). Les mots de passe étant à eux seuls un jeu d’enfant pour les pirates, la MFA
En matière de sécurité d’accès, une recommandation se distingue des autres : l’authentification multifacteur (MFA). Les mots de passe étant à eux seuls un jeu d’enfant pour les pirates, la MFA constitue une couche de protection essentielle contre les compromissions. Cependant, il est important de garder à l’esprit que la MFA n’est pas infaillible. Elle peut être contournée, et c’est bien souvent le cas.
Si un mot de passe est compromis, plusieurs options s’offrent aux pirates qui cherchent à contourner le niveau de protection supplémentaire que représente la MFA. Nous explorerons quatre tactiques d’ingénierie sociale que les pirates utilisent avec succès pour compromettre la MFA et soulignerons l’importance d’avoir un mot de passe fort dans le cadre d’une défense à plusieurs niveaux.
1. Les attaques de type « Adversary-in-the-middle » (AITM)
Les attaques AITM consistent à tromper les utilisateurs en leur faisant croire qu’ils se connectent à un réseau, une application ou un site web authentique. Alors qu’en réalité, ils donnent leurs informations à un sosie frauduleux. Cela permet aux pirates d’intercepter les mots de passe et de manipuler les mesures de sécurité, y compris les invites MFA. Par exemple, un courriel de spear-phishing peut arriver dans la boîte de réception d’un employé avec l’apparence d’une source fiable. En cliquant sur le lien intégré, l’utilisateur est dirigé vers un faux site web où les pirates collecteront ses identifiants de connexion.
Alors que la MFA devrait idéalement empêcher ces attaques en exigeant un facteur d’authentification supplémentaire, les pirates emploient une technique connue sous le nom de « 2FA pass-on ». Une fois que la victime a saisi ses informations d’identification sur le faux site, l’attaquant saisit rapidement les mêmes détails sur le site légitime. Cela déclenche une demande légitime de MFA, que la victime anticipe et approuve facilement, accordant involontairement un accès complet à l’attaquant.
Il s’agit d’une tactique courante pour les groupes de menace comme Storm-1167 par exemple, connus pour créer de fausses pages d’authentification Microsoft afin de collecter des informations d’identification. Ils créent également une deuxième page de phishing qui imite l’étape MFA du processus de connexion à Microsoft, invitant la victime à saisir son code MFA et ainsi accorder l’accès aux attaquants. De là, les pirates accèdent à un compte de courrier électronique légitime et peuvent l’utiliser comme plateforme pour une attaque de phishing en plusieurs étapes.
2. Le bombardement rapide de la MFA
Cette tactique tire parti de la fonction de notification push des applications d’authentification modernes. Après avoir compromis un mot de passe, les attaquants tentent de se connecter, ce qui envoie une invite MFA à l’appareil de l’utilisateur légitime. Les pirates s’appuient sur le fait que l’utilisateur les prend pour des messages authentiques et les accepte, ou bien qu’il se sent frustré par les messages incessants et en accepte un pour mettre fin aux notifications. Cette technique, connue sous le nom de MFA prompt bombing, représente une menace importante.
Lors d’un incident notable, des pirates du groupe 0ktapus ont compromis les identifiants de connexion d’un prestataire d’Uber par le biais d’un hameçonnage par SMS, puis ont poursuivi le processus d’authentification à partir d’une machine qu’ils contrôlaient et ont immédiatement envoyé une demande pour obtenir un code d’authentification multifacteur (MFA). Ils ont ensuite usurpé l’identité d’un membre de l’équipe de sécurité d’Uber sur Slack, convainquant le prestataire d’accepter la notification push MFA sur son téléphone.
3. Les attaques du service desk
Les attaquants trompent les agents du helpdesk afin qu’ils contournent la MFA en simulant un oubli de mot de passe et en obtenant un accès par le biais d’un appel téléphonique. Si les agents du helpdesk n’appliquent pas les procédures de vérification appropriées, ils peuvent, sans le savoir, offrir aux pirates un premier point d’entrée dans l’environnement de leur organisation. Un exemple récent est l’attaque de MGM Resorts, dans laquelle le groupe de pirates Scattered Spider a frauduleusement contacté le helpdesk au sujet d’une réinitialisation de mot de passe, ce qui leur a ensuite permis de se connecter et de lancer une attaque par ransomware.
Les pirates essaient également d’exploiter les paramètres de récupération et les procédures de sauvegarde en manipulant les services d’assistance à des fins de contournement de la MFA. 0ktapus est connu pour s’en prendre aux services d’assistances des organisations si leur bombardement d’invite MFA s’avère infructueux. Ils contactent les services d’assistance en prétendant que leur téléphone est inutilisable ou perdu, puis demandent à enregistrer un nouveau dispositif d’authentification MFA – contrôlé par l’attaquant. Ils peuvent ensuite exploiter le processus de récupération ou de sauvegarde de l’organisation en obtenant un lien de réinitialisation du mot de passe envoyé à l’appareil compromis. Les lacunes en matière de sécurité des service desks vous inquiètent ? Apprenez comment sécuriser le vôtre.
4. L’échange de cartes SIM
Les cybercriminels ont bien compris que la MFA repose souvent sur les téléphones portables comme moyen d’authentification. Ils peuvent exploiter cette situation avec une technique appelée « échange de carte SIM », dans laquelle les pirates incitent les fournisseurs de services à transférer les services d’une cible vers une carte SIM sous leur contrôle. Ils peuvent alors prendre le contrôle du service cellulaire et du numéro de téléphone de la cible, ce qui leur permet d’intercepter les invites MFA et d’obtenir un accès non autorisé aux comptes.
Après un incident survenu en 2022, Microsoft a publié un rapport détaillant les tactiques employées par le groupe de menace LAPSUS$. Le rapport explique comment LAPSUS$ met en place de vastes campagnes d’ingénierie sociale afin de s’implanter dans les organisations cibles. L’une de leurs techniques favorites consiste à cibler les utilisateurs par le biais d’attaques par échange de cartes SIM, en parallèle d’un bombardement d’invites MFA et la réinitialisation des informations d’identification d’une cible via l’ingénierie sociale auprès d’un helpdesk.
Vous ne pouvez pas vous fier entièrement à la MFA – la sécurité des mots de passe reste importante
Les 4 points abordés ne sont pas la liste exclusive des moyens de contourner la MFA. Il existe également d’autres façons de procéder, en compromettant notamment les terminaux, en exportant les jetons générés, en exploitant le SSO ou en tirant parti de lacunes techniques non corrigées. Il est clair que la mise en place de la MFA ne signifie pas que les organisations peuvent oublier complètement la sécurisation des mots de passe.
La compromission d’un compte commence encore bien souvent par des mots de passe faibles ou compromis. Une fois qu’un attaquant s’est emparé d’un mot de passe valide, il peut alors se concentrer sur le contournement du mécanisme de la MFA. Même un mot de passe fort ne suffit pas à protéger les utilisateurs s’il a été compromis lors d’une fuite de données ou lors de la réutilisation d’un mot de passe. Pour la plupart des organisations, se passer totalement de mot de passe ne constitue pas une option pratique.
Avec un outil comme Specops Password Policy, vous pouvez mettre en œuvre des politiques Active Directory robustes afin d’éliminer les mots de passe faibles et rechercher en permanence les mots de passe compromis à la suite de fuite de données, les mots de passe réutilisés ou bien encore vendus à la suite d’une attaque par hameçonnage. Cela permet de s’assurer que la MFA sert bien de niveau de sécurité supplémentaire, comme prévu, et qu’une organisation ne se repose pas sur elle comme une solution miracle.
