Double authentification : pas si infaillible !

double authentification

Formations : la pierre angulaire de la sécurité

Depuis 3 ans, je forme des utilisateurs pour les aider à mieux comprendre la sécurité de leur compte cloud, notamment Microsoft 365 mais aussi leur compte personnel comme Facebook, Twitter, Hotmail, Gmail, etc. J’explique de manière vulgarisée comment un pirate peut récupérer leur identifiant et mot de passe par différentes techniques d’hameçonnage et qu’il important d’activer la double authentification.

Depuis 3 ans, j’essaie aussi de convaincre les administrateurs que oui, il faut sécuriser les accès avec la double authentification mais que non, ce n’est pas suffisant. La prévention et la formation des utilisateurs est un élément indispensable de la sécurité.

Donc quand j’entends un administrateur me dire « Pas besoin de formations. Nous avons mis en place la double authentification, on est donc parfaitement sécurisé ! », je saute au plafond ! Et malheureusement même si j’explique que la double authentification n’est pas une solution parfaite et que celle-ci peut être contournée, par exemple avec un proxy, l’attitude la plus courante des administrateurs ou responsable (heureusement pas tous) est d’ignorer ma remarque en partant du postulat que ce n’est pas possible.

La double authentification de Microsoft mis à mal

Aujourd’hui je viens de lire un article intéressant publié par la firme de Redmond (https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-further-financial-fraud/). Et cet article explique justement comment des pirates ont mis en place un système d’hameçonnage et de proxy pour attaquer plus de 10 000 entreprises depuis septembre 2021. Un processus simple à mettre en œuvre et permettant justement de contourner le mécanisme de double authentification comme je l’explique régulièrement

L’objet de cet article n’étant pas d’être technique, je vous laisse consulter le billet de Microsoft pour les détails. Néanmoins, un peu d’explication reste nécessaire.

La double authentification (souvent abrégé par le A2F en français ou 2FA en anglais) est un mécanisme permettant de renforcer la sécurité des comptes cloud en les protégeant par une double preuve d’identité. En général, il s’agit de son mot de passe puis d’un second code limité dans le temps et reçu par SMS ou généré par une application. Ce système est aujourd’hui très connu car amplement utilisé par les banques françaises.

La technique mis en place par les pirates est simple et ne demande pas de compétences techniques extraordinaire. Par une technique de hameçonnage, ils parvenaient à entrainer les utilisateurs sur une fausse page d’authentification Microsoft 365. L’utilisateur inattentif saisissait son identifiant et mode passe que les pirates envoyaient sur la vraie page de Microsoft. Si une demande de double authentification, ils suffisaient de reproduire la même demande auprès de l’utilisateur à travers une nouvelle fausse fenêtre afin de les inviter à saisir leur code de double authentification. Code ensuite renvoyé à Microsoft permettant l’accès aux comptes.

source : Microsoft

A partir de ce moment tout est possible. Récupération de coordonnées, envoi de nouveau mail de hameçonnage depuis le compte le compte volé, vol de coordonnées bancaire, etc.

La solution ?

La simplicité de cette attaque peut prêter à sourire. Mais le risque est réel et ne doit pas être ignoré.

La double authentification reste une brique indispensable si vous souhaitez protéger votre système d’information. D’ailleurs Microsoft va abandonner l’authentification de base des le 1er octobre 2022, je vous encourage à lire l’article de Mickael à ce sujet : https://www.ylneo.com/2022/06/30/plus-que-3-mois-avant-larret-de-lauthentification-de-base-par-microsoft/). Quand Microsoft supprimera cette option (de manière progressive heureusement), les utilisateurs seront obligés d’utiliser une authentification moderne, une méthode plus sécurisée.

Mais comme nous pouvons le constatez, ces méthodes ne sont pas infaillibles.

La solution reste toujours la même. Informer et sensibiliser vos utilisateurs sur les risques cyber. Tous les moyens techniques mis en œuvre ne sont rien s’il n’y a aucune gestion de l’humain.

Ylneo peut vous accompagner en vous proposant des plans de formations ou de sensibilisation. N’hésitez pas à nous contacter.

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée.

Ecrit par Franck Lemarié

Franck a commencé sa carrière en tant qu'expert IBM/HCL Domino et sécurité réseau. Consultant senior reconnu, il est aussi aujourd'hui le responsable commercial et relations partenaires de la société Ylneo.

Publié le 15 juillet 2022

Nos derniers articles