Comment les pirates contournent l’authentification multifacteur (et comment les arrêter) ?
Nous sommes nombreux à considérer l’authentification multifacteur (MFA) comme l’une des stratégies de sécurité fondamentales, si ce n’est la plus importante. Le fonctionnement du MFA est très simple mais il renforce considérablement la sécurité d’une entreprise : très basiquement, le MFA signifie qu’il faut plus d’un facteur d’authentification pour identifier un utilisateur. Ainsi, si un facteur est compromis, une deuxième, voire une troisième étape d’authentification fera barrière entre les pirates et les données d’une entreprise.
Toutefois, si l’authentification forte est effectivement la pierre angulaire d’une bonne stratégie de sécurité, il reste important de noter qu’il n’existe aucune solution miracle dans ce secteur et que des cybercriminels ont trouvé des moyens de contourner les protections MFA. L’Agence de cybersécurité américaine, le CISA, a par exemple récemment fait état de plusieurs cyberattaques réussies dans lesquelles le MFA a été habilement contourné pour compromettre les solutions hébergées dans le Cloud de différentes entreprises.
Quelles sont les principales méthodes utilisées par les pirates pour contourner le MFA et que peut-on faire pour les arrêter ? Il est intéressant d’examiner de plus près les différentes approches de l’authentification, ainsi que certaines des techniques les plus couramment employées pour la contourner.
- Envoi de SMS : la plupart des utilisateurs de téléphone portable ayant toujours leur appareil avec eux ou à proximité, l’envoi de SMS est l’une des technologies MFA les plus employées. En réponse à cette protection, le « SIM swapping » (ou échange de cartes SIM) est une technique couramment utilisée par les attaquants pour contourner le MFA par SMS. L’escroquerie SIM Swapping ne nécessite pas de grandes compétences techniques : le pirate contacte l’opérateur de sa cible, se fait passer pour elle, et au prétexte d’un vol ou d’un disfonctionnement de sa carte SIM, demande à ce que le numéro de téléphone soit associé à une nouvelle carte SIM et un nouveau téléphone. Une fois la migration effectuée, le pirate peut intercepter tous les codes d’authentification à deux facteurs envoyés par SMS. Les applications d’authentification peuvent contribuer à prévenir les techniques de détournement de SMS et d’échange de cartes SIM.
- Mots de passe à usage unique (OTP, de l’anglais One-Time Password) : cette méthode consiste à générer un mot de passe (token d’authentification) qui sera valable une seule fois, lors d’une session de connexion sur un téléphone, une transaction sur un système informatique, etc. Mais elle peut être compromise grâce à l’ingénierie sociale. Un cyber-attaquant en possession d’identifiants dérobés pourra ainsi appeler une personne et la convaincre de communiquer l’OTP indiqué sur son token ou recourir à une attaque par phishing pour l’attirer sur une fausse page Web de connexion afin qu’elle entre ses identifiants de connexion (y compris son OTP) pour ce compte. Les outils anti-phishing et l’éducation des utilisateurs sont les meilleurs moyens pour déjouer ces techniques de contournement du MFA. Une autre protection efficace consiste à s’assurer que la solution OTP est valable uniquement pendant un bref laps de temps avant d’expirer à nouveau. Une fois générés, il est possible d’utiliser des OTP basés sur des événements à tout moment (tant que l’ordre de création est respecté), ce qui implique que les attaquants peuvent les contourner en utilisant des attaques moins sophistiquées.
- Tokens USB. Les tokens USB/FIDO2 constituent une solution de plus en plus prisée parmi les initiatives de sécurité sans mot de passe. Certains reprochent aux tokens USB leur coût élevé, les difficultés de déploiement et de gestion associées ou encore le fait qu’ils représentent « un élément matériel de plus à transporter ». Néanmoins, ils peuvent offrir une expérience utilisateur satisfaisante en remplacement des mots de passe (même si cela peut se compliquer lorsqu’ils sont utilisés avec un smartphone). Il convient de noter que l’utilisation de tokens USB comme substitution aux mots de passe ne constitue pas une solution MFA mais une solution 1FA, comportant les mêmes risques qu’un mot de passe en tant que forme unique d’authentification. Toute personne possédant ce token peut accéder à l’ordinateur qu’il est censé authentifier. Il est donc recommandé d’utiliser au moins deux facteurs d’authentification : par exemple dans ce cas, un code PIN ou des données biométriques en plus des tokens USB.
- Mobile Push. Le Mobile Push MFA est une évolution de l’authentification par SMS qui ne dépend pas des données de l’opérateur et peut également fonctionner via le Wi-Fi. Il s’agit sans doute de la voie la plus sûre abordée ici car elle se connecte directement à l’application qui reçoit les informations Push. Le Mobile Push peut également offrir une meilleure expérience utilisateur, puisque celui-ci peut tout simplement approuver ou refuser l’accès lorsqu’il y est invité. Cependant, il est possible qu’un acteur malveillant utilise des tactiques d’ingénierie sociale pour convaincre les utilisateurs d’approuver un Push non sollicité. Pour éviter que cela ne se produise, il est préférable de s’assurer que la solution Mobile Push adoptée indique spécifiquement le lieu d’origine de la demande et la ressource dont l’accès doit être approuvé. Cela permet à la fois d’aider l’utilisateur à vérifier les demandes qu’il a lui-même initiées et de détecter et bloquer les tentatives malveillantes d’accès non autorisé.
Quelle que soit la technologie d’authentification utilisée, les défauts de mise en œuvre et les mauvaises configurations peuvent conduire à des attaques contournant le MFA. Cela dit, il existe également des scénarios plus complexes.
L’attaque « pass-the-cookie » abordée dans le rapport de l’Agence de cybersécurité américaine mentionné plus haut, en est un exemple. Son fonctionnement est particulier : une fois qu’un utilisateur s’authentifie, son navigateur crée un cookie afin de supprimer la nécessité d’une réauthentification en permanence. Ce cookie reste généralement valable pour cette seule session ou pendant une durée très courte. En fonction de l’implémentation, un attaquant pourrait dérober un cookie pour accéder aux services d’un utilisateur sans avoir à s’authentifier à nouveau.
Pire encore, après une première authentification, certaines applications de bureau créent un « token » à longue durée de vie (à ne pas confondre avec le token d’authentification), ce qui permet aux utilisateurs d’accéder à l’application pendant des mois avant de devoir se réauthentifier. Pour réduire les risques de subir une attaque de type « pass-the-cookie », la meilleure solution consiste à réduire la durée de vie de ces cookies ou tokens (sans pour autant contraindre les utilisateurs à s’authentifier plusieurs fois par jour).
Après le récent piratage de SolarWinds, l’attaque « Golden SAML » est un autre exemple de tactique complexe de contournement du MFA. Le SAML permet aux employés d’utiliser l’authentification unique (Single-Sign-On) pour plusieurs applications en créant une relation de confiance entre eux et le fournisseur d’identité. C’est très utile, surtout si l’on active la fonctionnalité MFA dans le fournisseur d’identité. Toutefois, si un attaquant obtient un accès administrateur au serveur du fournisseur d’identité et accède à la clé privée, les jeux sont faits. Il peut en effet utiliser cette clé volée pour signer la réponse SAML et contraindre le fournisseur d’identité à autoriser l’authentification et ce, même si les informations d’identification sont fausses. Aussi, pour mettre en œuvre le SAML, il faudra s’assurer que les clés privées et l’accès au serveur d’un utilisateur son parfaitement protégés.
Le rôle majeur du MFA dans la sécurité moderne
Dans le sillage de la pandémie mondiale, le modèle Zero-Trust et la sécurité du travail à distance occupent le premier rang des préoccupations des entreprises. L’identification des utilisateurs qui accèdent aux données et ressources de valeur d’une organisation est la première étape pour que les efforts de celle-ci dans ce domaine portent leurs fruits. Plus précisément, selon un rapport récent du cabinet Gartner, les entreprises qui ne disposent pas d’une protection MFA pour l’accès à distance sont susceptibles de connaître cinq fois plus d’incidents de prise de contrôle de comptes.
L’époque où les entreprises pouvaient se permettre de considérer le MFA comme une option, et non comme une obligation, est révolue. Cela étant dit, il est également important de comprendre que le MFA n’est pas parfait. Si l’on commence à explorer ou à réexaminer le MFA, il faut soigneusement peser le pour et le contre des options disponibles en fonction de chaque profil de déploiement et de risque unique.
Et surtout, il est nécessaire de garder à l’esprit que l’efficacité d’un outil dépend de la manière et du contexte dans lesquels il est utilisé. La mise en œuvre correcte du déploiement MFA est essentielle, mais pour autant, il faut privilégier une approche multiniveau de la sécurité en prévoyant des protections supplémentaires, sans négliger la sensibilisation et l’information des utilisateurs.