L’adoption croissante de l’authentification multifacteur (MFA)

L’authentification multifacteur (MFA) n’a pas seulement gagné en popularité suite à la transition rapide et en masse vers le télétravail. Elle a aussi et surtout été rendue obligatoire pour accéder à certains produits et pour répondre à des exigences réglementaires spécifiques à certains secteurs.

Les services financiers, par exemple, ont dû se conformer à la directive européenne DSP2 qui leur impose de mettre en place une authentification forte du client (SCA), par le biais d’une solution MFA, pour protéger l’accès aux services bancaires en ligne, les paiements et les transactions. De son côté, Google a récemment décidé de mettre en place une authentification à deux facteurs (2FA ou MFA) sur tous ses comptes, tandis que Salesforce vient de rendre obligatoire le MFA pour accéder à ses produits.

Rappelons qu’avec une solution de MFA, les utilisateurs finaux doivent fournir un second facteur d’authentification autre que le traditionnel login+mot de passe. Il peut alors s’agir d’un mot de passe à usage unique (OTP) envoyé par SMS / email, ou de ce qu’on appelle un token d’authentification (token logiciel ou matériel).

Les méthodes des attaquants par hameçonnage pour contourner le MFA

Par conséquent, les hackers ont été amenés à développer des solutions encore plus sophistiquées pour déjouer le MFA et poursuivre leurs attaques de phishing à l’aide d’outils de reverse proxy.

Depuis la publication du récent rapport de Proofpoint, le bruit court que le MFA est menacée par des solutions de reverse proxy adoptées par des attaquants en phishing.

Kit de phishing MFA

Comme le précise le rapport de Proofpoint, il est aujourd’hui assez facile pour les acteurs du phishing d’acheter des kits MFA pour un prix inférieur à celui d’un café. Plusieurs types de kits ont été identifiés par les chercheurs de Proofpoint : il peut s’agir de simples kit open-source, ou des kits plus sophistiqués permettant de voler des noms d’utilisateur, des mots de passe, des tokens d’authentification multifacteur (MFA), des numéros de sécurité sociale et des numéros de carte de crédit.

Outils de reverse proxy pour contourner le MFA

Le reverse proxy propose le même contenu sur une URL différente. Il change les URL à la volée et offre la même expérience utilisateur que l’application originale. Ainsi, l’utilisateur, ou dans ce cas la victime, a vraiment l’impression d’interagir avec l’application légitime.

L’attaquant n’a plus qu’à intercepter tout élément partagé entre l’application et l’utilisateur, comme les mot de passes et surtout les cookies de session. Une fois le cookie de session volé, l’attaquant peut l’injecter dans son propre navigateur pour voler la session de l’utilisateur et interagir avec l’application comme s’il était l’utilisateur légitime sans avoir besoin de se réauthentifier.

Ces nouvelles générations de kits de phishing utilisant le reverse proxy permettent de contourner la saisie du login/mot de passe mais aussi toute autre méthode d’authentification telle que le 2FA ou le MFA. Par conséquent, et comme le soulignent les chercheurs de Proofpoint, ces kits de phishing vont connaître une recrudescence et nous pouvons nous attendre à ce que les hackers les adoptent assez rapidement à mesure que le MFA se généralise.

Deviceless MFA, LE token pour se protéger contre les kits de phishing ciblant le MFA

Deviceless MFA, de quoi s’agit-il ?

Le Deviceless MFA est une technologie d’authentification multifacteurs qui permet aux utilisateurs finaux de s’authentifier et d’accéder en toute sécurité à leurs applications, leur réseau et leurs données depuis n’importe quel navigateur. Plus besoin de posséder un smartphone, ni d’avoir une clé physique, un smartphone professionnel ou un ordinateur ou encore d’installer une application spécifique.

« Avec le Deviceless MFA, c’est le navigateur web qui devient le « token » de confiance.”

Token navigateur pour contrer les kits de phishing qui ciblent le MFA

Le Deviceless MFA est le token le plus fiable pour se protéger des attaques de phishing. Il permet de vérifier que le device de confiance est utilisé avec une application légitime, bloquant ainsi toute tentative de phishing effectuée sur une version de l’application légitime modifiée par le reverse proxy en utilisant une autre URL que celle qui est légitime.