Attaques visant le MFA

Date : 08 Septembre 2022

Alors que l’utilisation du MFA (Multi-Factors Authentification) se généralise pour renforcer la sécurité des accès, les attaquants progressent aussi dans ce domaine et mettent au point des attaques contre certains de ces systèmes MFA. Durant l’été 2022, deux attaques de ce type ont été médiatisées :

  • Des utilisateurs OKTA ont été visés par une large campagne de phishing (via des SMS les invitant à se connecter sur leur compte OKTA) qui a touché des sites comme Twilio, Cloudflare, Klaviyo MailChimp et Doordash. Nous avons consacré un article à ce sujet.
  • Un employé Uber a été visé par une attaque appelée « MFA fatigue » : son téléphone a été inondé de messages de notification MFA et il a fini par accepter l’un d’eux, ce qui a autorisé l’accès pour le pirate.

Nous avons publié en 2018 un article sur les attaques de « SIM swap » qui visaient à cette époque le MFA par SMS. Voici aujourd’hui une synthèse plus globale des techniques d’attaques connues contre les systèmes MFA.

 

Les différentes techniques de MFA :

Voici les 4 techniques de MFA actuellement utilisées.

1 : MFA par SMS : Un code secret est envoyé par SMS sur le téléphone de l’utilisateur au moment de sa connexion.

2 : MFA via une application « Authentificator » : Un code secret est généré toutes les 30 secondes par une application installée sur le téléphone de l’utilisateur. Ces applications (comme par exemple Google Authenticator, Authy, Duo ou Microsoft Authenticator) utilisent un algorithme T-OTP pour générer ce code secret.

3 : MFA par « Push notification » : Une fenêtre popup apparait sur le téléphone de l’utilisateur au moment où celui-ci se connecte sur le site. Il doit confirmer via cette popup qu’il autorise cet accès.

4 : MFA via une clé FIDO2 : Un algorithme cryptographique est utilisé pour réaliser l’authentification en suivant le protocole FIDO2. Ce type d’algorithme est implémenté par exemple par les clés hardware Ubikey.

Quelle que soit la technique MFA utilisée, pour éviter de redemander à chaque connexion une authentification complète, un mécanisme de cookie d’authentification est souvent mis en place : si l’utilisateur dispose déjà d’un cookie valide (non expiré), alors sa nouvelle connexion est acceptée sans aucune autre authentification (et il n’y a donc pas de MFA) : c’est la fonction « se souvenir de moi » qui est présente sur de très nombreux sites.

 

Les attaques connues

Voici les attaques connues.

SIM swap (vise le mécanisme 1) : L’attaquant se fait passer pour la victime auprès de l’opérateur téléphonique de cette dernière et demande une nouvelle carte SIM. Avec cette SIM, il reçoit désormais les SMS envoyés par le système MFA. L’attaque est plutôt complexe (il faut convaincre l’opérateur) et utilisée pour des cibles de valeurs, par exemple pour voler le portefeuille de crypto-monnaie de la victime.

Phishing MFA (vise les mécanismes 1 et 2) : L’attaquant attire la victime sur un faux site qui va relayer vers le vrai site, les données échangées lors de la connexion, y compris le code MFA. Il s’agit d’une attaque MiTM (Man in The Middle). Elle fonctionne pour les MFA de type SMS ou Authenticator. Il existe des outils pour implémenter cette attaque (comme par exemple le service payant EvilProxy, ou le projet open-source evilgophish).

Vol de cookie d’authentification (vise les mécanismes 1, 2, 3 et 4) : Si un malware (de type InfoStealer) a infecté le poste de la victime, alors il peut voler les cookies d’authentification et si ceux-ci ne sont pas expirés, se connecter sans authentification (et donc sans MFA). Ce type d’attaque semble gagner en popularité depuis le début de l’année 2022, probablement du fait de services illégaux de type BotShop comme Genesis (dont nous parlions dans notre article de mai 2022) qui vendent les données volées par les InfoStealers.

MFA fatigue (vise le mécanisme 3) : Il s’agit de la technique d’attaque la plus récemment documentée et que nous décrivons en début d’article pour l’attaque subie par Uber. Il est probable qu’elle deviendra rapidement obsolète grâce à l’amélioration des popups « Push notification » (par exemple il suffirait d’inclure une fonction « Mute », activée par l’utilisateur, qui bloquerait ces popups pour une durée donnée, par exemple une demi-heure).

 

Conclusion

Même s’ils sont attaqués, les mécanismes de MFA sont un progrès important pour la sécurité de l’authentification et il faut poursuivre les efforts pour les déployer. Pour les pirates, ils sont devenus un point de passage obligé lorsqu’ils attaquent des cibles bien défendues. Il est donc logique de voir des tentatives de contournement et les attaques contre les MFA.

 

Pour plus d’information

 

 

 

Précedent Précedent Suivant Suivant Imprimer Imprimer