Cyber-attaques contre le MFA : comment s’en protéger

En 2018, plus de deux millions de cyber-attaques ont visé les entreprises et organisations dans le monde. L’enquête menée par la Online Trust Alliance, une organisation qui oeuvre pour la promotion des bonnes pratiques en matière de sécurité et de privacy sur Internet, estime à plus de 45 milliards de dollars le coût de ces attaques pour les cibles affectées(1).

C’est donc bel et bien à un enjeu majeur de sécurité que sont confrontés les acteurs, publics et privés, de l’écosystème digital. En Europe, avec le RGPD, la défense s’organise autour de la mise en place d’une réglementation contraignante en matière de comportements, de sécurisation des données, et d’information en cas d’attaque subie. Aux Etats-Unis, le FBI surveille de près les stratégies développées par les hackers comme par leurs cibles. A ce titre, la police fédérale américaine vient d’envoyer une alerte(2) à l’ensemble des acteurs économiques américains, une Private Industry Notification, qui a pris tout le monde de court. Dans cette note, le FBI souligne que la principale défense érigée contre les cyber-attaques, à savoir l’authentification multi-facteurs (MFA), est désormais elle-même la cible d’attaques spécifiquement destinées à la contourner.

Pour nous, inWebo, spécialistes de l’authentification forte, cette alerte vient confirmer la valeur que nous apportons au marché depuis des années. Notre conviction forte est que la simple existence d’un second et même d’un troisième facteur d’authentification n’est pas suffisante en soi. Encore faut-il que les facteurs utilisés soient vraiment sécurisés. Voyons comment cela se traduit en partant du constat établi par le FBI.

Les attaques relevées par le FBI et les solutions préconisées pour les contrer

L’alerte du FBI donne cinq exemples d’attaques récentes ainsi que le processus d’authentification concerné.
Voici un tableau récapitulatif des 5 cas exposés :

CasType de protectionType d’attaque
1. 2019 – une institution bancaire américaine

Login/mot de passe + 2nd facteur avec PIN et question de sécurité

  • Vol de credentials des victimes
  • Faille dans le site web de la banque permettant de contourner l’authentification 2-facteurs
2. 2016 – clients d’une institution bancaire américaine
  • Reconnaissance du numéro de téléphone appelant
  • Confirmation virement par envoi d’un code par SMS
  • SIM swapping
  • Sociale/usurpation d’identité : appeler la banque avec le numéro SIM swappé
3. 2018/2019 – Constat de l’Internet Crime Complaint Center (IC3)Login/mot de passe + 2nd facteur avec code reçu par SMS
  • SIM swapping
  • Sociale/usurpation d’identité
4. Février 2019 – démonstration d’un expert en cybersécurité à la conférence RSAInconnu
  • phishing
  • man-in-the-middle + session hijacking
5. Juin 2019 – démonstration à la conférence Hack-in-the-BoxInconnu
  • phishing
  • man-in-the-middle + session hijacking

Dans l’ensemble de ces cas, on observe que le contournement des mécanismes de sécurité ou du MFA (authentification multi-facteurs) est rendu possible soit par des failles d’implémentation de ces mécanismes (cas 1), soit par les faiblesses désormais connues (cas 2 et 3) du SMS, soit enfin grâce à des techniques de phishing, MITM (man-in-the-middle) et vol de sessions (cas 4 et 5). Dans ce dernier cas le maillon faible est avant tout l’utilisateur.

Aussi diverses que soient ces attaques, leur analyse fait néanmoins ressortir un enseignement unique : toutes les solutions de MFA ne se valent pas et nombre de celles couramment déployées ne permettent pas de se protéger contre ces techniques, alors même que les attaques se multiplient de manière exponentielle de l’avis unanime des experts de la cybersécurité.

Il est aujourd’hui acquis que l’authentification renforcée par les OTP SMS est condamnée à courte échéance car devenue trop facilement attaquable : aux États-Unis, le NIST en prône la dépréciation depuis 2016 de même que, plus proche de nous et plus récemment en Europe, la DSP2 dans le secteur des paiements. Mais la plupart des autres solutions, plus sophistiquées, restent pourtant, elles aussi, vulnérables aux attaques de type phishing/MITM/reverse proxy.

Concrètement, quel est le problème ?

Le phishing, tout comme les attaques Man In the Middle, consiste à tromper l’utilisateur pour l’amener à saisir ses informations de connexion dans un environnement maîtrisé par le pirate afin de lui dérober ses facteurs d’identification.

Qu’elles soient software ou hardware, toutes les solutions qui demandent nativement à l’utilisateur de ressaisir un OTP généré préalablement sont donc particulièrement vulnérables aux attaques de phishing ou MITM. Pire, celles qui n’offrent qu’un deuxième facteur, typiquement dans un scénario en 2 étapes (2SV soit 2-step verification) exposent forcément les identifiants de l’utilisateur saisis à la première étape.

Seulement deux types de solutions MFA offrent à ce jour une protection contre les attaques de phishing et de MITM : les solutions basées sur des tokens FIDO U2F et inWebo. Les solutions FIDO s’appuient sur des tokens hardware, ce qui pose des problèmes de disponibilité, et ne sont à ce jour pas compatibles avec l’environnement Apple.

 

Pourquoi et comment la solution inWebo permet de lutter contre les principales attaques visant les solutions de MFA

inWebo, pour sa part, a été le premier acteur à proposer une sécurité contre le phishing en vérifiant systématiquement, conformément au principe de Zero Trust, que la page appelante est bien la page légitime et non une page sur laquelle l’utilisateur aurait été détourné pour entrer ses identifiants et/ou son second facteur d’authentification, généralement l’OTP.

Avec inWebo, l’utilisateur ne peut pas être soumis à une demande de saisie de code PIN sur une autre page d’authentification que la page légitime. Cette approche présente un double avantage : d’une part, le code PIN de l’utilisateur ne peut pas être « phishé » et, d’autre part, aucun OTP ne peut être généré, et donc encore moins intercepté puis rejoué par l’attaquant, dans un autre contexte que celui attendu.

Autre avantage important de la solution inWebo, celle-ci est nativement multi-facteurs, contrairement à d’autre solutions qui n’apportent qu’un deuxième facteur et qui inscrivent donc l’utilisateur dans un scénario d’authentification dit en deux étapes (2SV) où, pour rappel, ce dernier fournit d’abord son login/mot de passe habituel puis, dans un deuxième temps, la preuve d’un quelque chose qu’il possède (OTP généré par un device ou un soft, carte à puce, etc.).

inWebo permet au contraire de réaliser une authentification multi-facteurs en une seule étape. Ce point est fondamental car il simplifie le parcours d’authentification et l’expérience utilisateur tout en présentant l’avantage majeur de ne pas exposer les credentials de l’utilisateur. La combinaison entre une sécurité très élevée et une expérience utilisateur fluidifiée est donc bel et bien une réalité pour les clients d’inWebo.

 

Conclusion

La note du FBI vient rappeler à point nommé, dans un contexte de forte pression en faveur d’une généralisation de l’authentification multi-facteurs à l’ensemble des acteurs du monde digital, que la MFA recouvre des technologies très différentes, offrant des niveaux de sécurité variés.
L’agence fédérale américaine alerte en réalité sur un point fondamental : pour garantir efficacement la sécurité de ses outils internes et/ou de ses applications grand public, mieux vaut choisir un spécialiste dont la solution a fait la preuve de sa solidité par sa longévité sur le marché, sa base de clients installés, les multiples audits passés avec succès et les certifications obtenues. D’autant que, contrairement à ce qu’indique le FBI, ce choix ne se fait pas au détriment de l’expérience utilisateur. Avec le passwordless et la prise en compte automatique de l’OTP sans ressaisie manuelle, on peut même parler d’une amélioration majeure de l’expérience utilisateur favorisant l’adoption rapide de cette technologie par le grand public.

Sources :
(1) : https://www.itproportal.com/news/the-world-has-seen-more-than-two-billion-attacks-last-year/
(2) : https://info.publicintelligence.net/FBI-CircumventingMultiFactorAuthentication.pdf

Nos dernières actualités

Essai gratuit