Microsoft a présenté plusieurs mesures pour se protéger des attaques par vol de tokens qui visent à contourner la sécurité de l’authentification multifactorielle.
Ce type d’attaque, si rare il y a trois ans qu’elles n’apparaissaient pas dans les statistiques, est en augmentation, avertit Microsoft dans un billet de blog.
I am very excited to have a blog published by @MicrosoftDART and @MsftSecIntel that I was one of the major contributors to. I would love for you to have a read! The use of cloud token theft is on the rise; learn how to prevent, detect and respond – https://t.co/hB0GdPOxBW
— Matt Zorich (@reprise_99) November 16, 2022
Contournement de l’authentification multifactorielle
La raison est simple : de plus en plus d’organisations ont mis en place l’authentification multifactorielle. Ce qui a poussé des attaquants à s’appuyer sur le vol de tokens pour contourner cette sécurité.
Dans ces attaques, l’attaquant compromet un jeton délivré à une personne qui a déjà effectué la procédure d’authentification à deux facteurs. Le pirate informatique rejoue alors le token pour obtenir un accès à partir d’un autre appareil.
Ces tokens sont pourtant centraux sur les plateformes d’identité de Microsoft, dont par exemple Azure Active Directory (AD). Ces dernières visent à rendre l’authentification plus simple et plus rapide pour les utilisateurs, mais d’une manière qui reste résistante aux attaques par mot de passe. Selon Microsoft, le vol de tokens est dangereux car il ne nécessite pas de compétences techniques élevées. La détection de ces vols est également difficile. Enfin, comme cette technique est relativement récente, peu d’organisations ont mis en place des mesures pour la contrer.
Attention également à « Pass-the-cookie »
L’équipe de détection et de réponse aux menaces de l’éditeur américain remarque qu’un attaquant ayant mis la main sur des informations d’identification et un token peut les réutiliser dans de nombreuses attaques. Comme le rappelle Microsoft, les intrusions dans les messageries électroniques professionnelles sont la principale cause des pertes financières liées à la cybercriminalité.
L’éditeur met également en garde contre les attaques de type « Pass-the-cookie », au cours desquelles un attaquant compromet un appareil et extrait les cookies de navigateur créés après l’authentification à Azure AD à partir d’un navigateur. L’attaquant transmet alors le cookie à un navigateur sur un autre système pour contourner les contrôles de sécurité.
Préconisations
« Les utilisateurs qui accèdent aux ressources de l’entreprise sur des appareils personnels sont particulièrement à risque », avertit Microsoft. « Ces appareils personnels ont souvent des contrôles de sécurité plus faibles que les appareils gérés par l’entreprise et le personnel informatique n’a pas de visibilité sur ces appareils pour déterminer leur compromission. »
Pour la firme de Redmond, il est recommandé de limiter les durées des sessions et des tokens, même si cela oblige les utilisateurs à devoir se réauthentifier régulièrement pour contrer ce type d’attaque. L’éditeur suggère également de mettre en place un contrôle d’accès conditionnel aux applications et de mettre à disposition des administrateurs des identités distinctes réservées à l’infonuagique, une manière de réduire la surface d’attaque exposée aux pirates.
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));