Comment protéger son MFA contre les attaques de phishing basées sur des outils de reverse-proxy

L’adoption croissante de l’authentification multifacteur (MFA) a incité les auteurs d’hameçonnage (phishing) à développer des solutions encore plus sophistiquées pour poursuivre leurs opérations malveillantes, notamment des outils de reverse-proxy. Il existe cependant une information qui mérite d’être soulignée : ce ne sont pas seulement les solutions MFA, mais les tokens eux-mêmes qui ne présentent pas les mêmes caractéristiques et le même niveau de protection contre les attaques de phishing.
phishing-mfa-cyberattack

L’adoption croissante de l’authentification multifacteur (MFA)

L’authentification multifacteur (MFA) n’a pas seulement gagné en popularité suite à la transition rapide et en masse vers le télétravail. Elle a aussi et surtout été rendue obligatoire pour accéder à certains produits et pour répondre à des exigences réglementaires spécifiques à certains secteurs.

Les services financiers, par exemple, ont dû se conformer à la directive européenne DSP2 qui leur impose de mettre en place une authentification forte du client (SCA), par le biais d’une solution MFA, pour protéger l’accès aux services bancaires en ligne, les paiements et les transactions. De son côté, Google a récemment décidé de mettre en place une authentification à deux facteurs (2FA ou MFA) sur tous ses comptes, tandis que Salesforce vient de rendre obligatoire le MFA pour accéder à ses produits.

Rappelons qu’avec une solution de MFA, les utilisateurs finaux doivent fournir un second facteur d’authentification autre que le traditionnel login+mot de passe. Il peut alors s’agir d’un mot de passe à usage unique (OTP) envoyé par SMS / email, ou de ce qu’on appelle un token d’authentification (token logiciel ou matériel).

Les méthodes des attaquants par hameçonnage pour contourner le MFA

Pour un hameçonneur (attaquant par phishing), l’étape supplémentaire que représente le second facteur du MFA implique que le vol des informations traditionnelles du compte (c’est-à-dire le login + le mot de passe) ne suffisent plus pour prendre le contrôle.

Par conséquent, les hackers ont été amenés à développer des solutions encore plus sophistiquées pour déjouer le MFA et poursuivre leurs attaques de phishing à l’aide d’outils de reverse proxy.

Depuis la publication du récent rapport de Proofpoint, le bruit court que le MFA est menacée par des solutions de reverse proxy adoptées par des attaquants en phishing.

Kit de phishing MFA

Comme le précise le rapport de Proofpoint, il est aujourd’hui assez facile pour les acteurs du phishing d’acheter des kits MFA pour un prix inférieur à celui d’un café. Plusieurs types de kits ont été identifiés par les chercheurs de Proofpoint : il peut s’agir de simples kit open-source, ou des kits plus sophistiqués permettant de voler des noms d’utilisateur, des mots de passe, des tokens d’authentification multifacteur (MFA), des numéros de sécurité sociale et des numéros de carte de crédit.

Outils de reverse proxy pour contourner le MFA

Plus tard, les chercheurs de Proofpoint ont repéré un nouveau type de kit. Celui-ci utilise un reverse proxy transparent présentant à la victime une page ayant exactement le même look & feel que l’application légitime. Autrement dit, ces nouveaux kits sont conçus pour présenter une version très fiable du site Web d’origine.

Le reverse proxy propose le même contenu sur une URL différente. Il change les URL à la volée et offre la même expérience utilisateur que l’application originale. Ainsi, l’utilisateur, ou dans ce cas la victime, a vraiment l’impression d’interagir avec l’application légitime.

L’attaquant n’a plus qu’à intercepter tout élément partagé entre l’application et l’utilisateur, comme les mot de passes et surtout les cookies de session. Une fois le cookie de session volé, l’attaquant peut l’injecter dans son propre navigateur pour voler la session de l’utilisateur et interagir avec l’application comme s’il était l’utilisateur légitime sans avoir besoin de se réauthentifier.

Ces nouvelles générations de kits de phishing utilisant le reverse proxy permettent de contourner la saisie du login/mot de passe mais aussi toute autre méthode d’authentification telle que le 2FA ou le MFA. Par conséquent, et comme le soulignent les chercheurs de Proofpoint, ces kits de phishing vont connaître une recrudescence et nous pouvons nous attendre à ce que les hackers les adoptent assez rapidement à mesure que le MFA se généralise.

Deviceless MFA, LE token pour se protéger contre les kits de phishing ciblant le MFA

Il n’y a pas que les solutions MFA, mais aussi les tokens eux-mêmes qui n’ont pas les mêmes caractéristiques et le même niveau de protection contre les attaques de phishing.

Deviceless MFA, de quoi s’agit-il ?

Le Deviceless MFA est une technologie d’authentification multifacteurs qui permet aux utilisateurs finaux de s’authentifier et d’accéder en toute sécurité à leurs applications, leur réseau et leurs données depuis n’importe quel navigateur. Plus besoin de posséder un smartphone, ni d’avoir une clé physique, un smartphone professionnel ou un ordinateur ou encore d’installer une application spécifique.

« Avec le Deviceless MFA, c’est le navigateur web qui devient le « token » de confiance.”

Token navigateur pour contrer les kits de phishing qui ciblent le MFA

Le Deviceless MFA est le token le plus fiable pour se protéger des attaques de phishing. Il permet de vérifier que le device de confiance est utilisé avec une application légitime, bloquant ainsi toute tentative de phishing effectuée sur une version de l’application légitime modifiée par le reverse proxy en utilisant une autre URL que celle qui est légitime.

Qu’est ce qu’une attaque de Phishing ? Exemples de phishing ?
Le phishing, ou en français “hameçonnage”, est l’un des principaux vecteurs de la cybercriminalité. Il s’agit d’une technique utilisée par des personnes mal intentionnées pour obtenir des informations personnelles en vue de perpétrer une usurpation d’identité. Les cas les plus courants de phishing sont : (i) un courriel d’apparence légitime demandant des coordonnées bancaires ou des identifiants de connexion à des services financiers afin de dérober de l’argent et (ii) une attaque visant une entreprise en tentant d’obtenir les identifiants de connexion d’un employé aux réseaux professionnels auxquels il peut avoir accès.
Comment se protéger contre une attaque de Phishing ?
Les experts informatiques s’accordent à dire que les mots de passe sont vulnérables et à l’origine de nombreuses attaques de phishing. Ainsi, pour se protéger contre ce type d’attaque, il est nécessaire de renforcer l’entrée aux données (réseau de l’entreprise, applications, compte bancaire, etc.) avec une solution d’authentification multifacteur. Le MFA est reconnu comme la mesure de sécurité la plus efficace contre les hackers et les attaques de phishing (hameçonnage).
Tous les MFA protègent-ils contre le phishing ?
Contrairement aux idées reçues, tous les mécanismes d’authentification multifacteur ne se valent pas et certains peuvent effectivement être compromis. Il a été récemment découvert qu’il existe des kits de phishing basés sur des outils de reverse-proxy qui ciblent le MFA. Par conséquent, pour se protéger efficacement contre les attaques de phishing, le token le plus fiable est le Deviceless MFA. Il s’agit d’authentification effectué à partir du navigateur qui vérifie la légitimité des URL de connexion.

L'authentification forte MFA sans compromis

Contactez-nous pour une démo ou pour demander l'ouverture de votre compte de test

Très haut niveau de sécurité

inWebo MFA détient la technologie unique et brevetée des clés dynamiques aléatoires qui lui permet de proposer le plus haut niveau de sécurité du marché. Solution certifiée par l’ANSSI.

Intégration et déploiement facile

Accessible en Saas, riche en connecteurs, API et SDK, inWebo MFA s’adapte à vos contraintes techniques, sans vous en imposer de nouvelles. Déployez un MFA rapidement et à grande échelle, sans contact humain et sans logistique.

Expérience utilisateur passwordless et deviceless

inWebo vous permet d’offrir une expérience utilisateur simplifiée, étendue à toutes les dimensions de l’authentification, de l’enrôlement à la connexion grâce à ses tokens universels, passwordless et deviceless.

Recevez toute l'actualité de l'authentification forte

Nos dernières actualités

Demandez une demo