En matière de sécurité des accès, une recommandation se démarque des autres : l’authentification multifacteur (MFA). Les mots de passe étant à eux seuls un travail simple pour les pirates informatiques, la MFA fournit une couche de protection essentielle contre les violations. Cependant, il est important de garder à l’esprit que la MFA n’est pas infaillible. Il peut être contourné, et c’est souvent le cas.
Si un mot de passe est compromis, plusieurs options s’offrent aux pirates informatiques cherchant à contourner la protection supplémentaire de MFA. Nous explorerons quatre tactiques d’ingénierie sociale que les pirates informatiques utilisent avec succès pour pirater la MFA et soulignerons l’importance d’avoir un mot de passe fort dans le cadre d’une défense à plusieurs niveaux.
1. Attaques de l’adversaire au milieu (AITM)
Les attaques AITM consistent à tromper les utilisateurs en leur faisant croire qu’ils se connectent à un véritable réseau, application ou site Web. Mais en réalité, ils donnent leurs informations à un sosie frauduleux. Cela permet aux pirates d’intercepter les mots de passe et de manipuler les mesures de sécurité, y compris les invites MFA. Par exemple, un e-mail de spear phishing peut arriver dans la boîte de réception d’un employé, se faisant passer pour une source fiable. Cliquer sur le lien intégré les dirige vers un site Web contrefait où les pirates collectent leurs identifiants de connexion.
Alors que la MFA devrait idéalement empêcher ces attaques en exigeant un facteur d’authentification supplémentaire, les pirates peuvent utiliser une technique connue sous le nom de « transmission 2FA ». Une fois que la victime a saisi ses informations d’identification sur le faux site, l’attaquant saisit rapidement les mêmes informations sur le site légitime. Cela déclenche une demande MFA légitime, que la victime anticipe et approuve facilement, accordant involontairement à l’attaquant un accès complet.
Il s’agit d’une tactique courante pour les groupes menaçants tels que Tempête-1167, connus pour avoir créé de fausses pages d’authentification Microsoft afin de récolter des informations d’identification. Ils créent également une deuxième page de phishing qui imite l’étape MFA du processus de connexion Microsoft, invitant la victime à saisir son code MFA et à accorder l’accès aux attaquants. À partir de là, ils accèdent à un compte de messagerie légitime et peuvent l’utiliser comme plate-forme pour une attaque de phishing en plusieurs étapes.
2. Bombardement rapide du MFA
Cette tactique tire parti de la fonctionnalité de notification push des applications d’authentification modernes. Après avoir compromis un mot de passe, les attaquants tentent de se connecter, ce qui envoie une invite MFA à l’appareil de l’utilisateur légitime. Ils comptent sur l’utilisateur soit qui le prend pour une véritable invite et l’accepte, soit qui devient frustré par les invites continues et en accepte une pour arrêter les notifications. Cette technique, connue sous le nom de bombardement rapide MFA, constitue une menace importante.
Lors d’un incident notable, des pirates informatiques du 0ktapus Le groupe a compromis les informations de connexion d’un entrepreneur Uber via un phishing par SMS, puis a poursuivi le processus d’authentification à partir d’une machine qu’il contrôlait et a immédiatement demandé un code d’authentification multifacteur (MFA). Ils se fait passer pour un membre de l’équipe de sécurité d’Uber sur Slack, convaincant l’entrepreneur d’accepter la notification push MFA sur son téléphone.
3. Attaques du centre de services
Les attaquants incitent les services d’assistance à contourner l’authentification multifacteur en feignant d’oublier le mot de passe et en obtenant l’accès via des appels téléphoniques. Si les agents du centre de services ne parviennent pas à appliquer les procédures de vérification appropriées, ils peuvent, sans le savoir, accorder aux pirates informatiques un premier point d’entrée dans l’environnement de leur organisation. Un exemple récent est l’attaque de MGM Resorts, où le Araignée dispersée Un groupe de pirates informatiques a contacté frauduleusement le service d’assistance pour réinitialiser le mot de passe, leur donnant ainsi un point d’accès pour se connecter et lancer une attaque de ransomware.
Les pirates tentent également d’exploiter les paramètres de récupération et les procédures de sauvegarde en manipulant les centres de services pour contourner l’authentification MFA. 0ktapus sont connus pour cibler le centre de services d’une organisation si leur bombardement rapide MFA s’avère infructueux. Ils contacteront les services d’assistance en affirmant que leur téléphone est inutilisable ou perdu, puis demanderont à s’inscrire dans un nouveau dispositif d’authentification MFA contrôlé par les attaquants. Ils peuvent ensuite exploiter le processus de récupération ou de sauvegarde de l’organisation en envoyant un lien de réinitialisation de mot de passe à l’appareil compromis. Vous vous inquiétez des failles de sécurité du centre de services ? Apprenez à sécuriser le vôtre.
4. Échange de carte SIM
Les cybercriminels comprennent que la MFA s’appuie souvent sur les téléphones portables comme moyen d’authentification. Ils peuvent exploiter cela à l’aide d’une technique appelée « échange de carte SIM », dans laquelle les pirates incitent les fournisseurs de services à transférer les services d’une cible vers une carte SIM sous leur contrôle. Ils peuvent alors prendre efficacement le contrôle du service cellulaire et du numéro de téléphone de la cible, lui permettant d’intercepter les invites MFA et d’obtenir un accès non autorisé aux comptes.
Après un incident survenu en 2022, Microsoft a publié un rapport détaillant les tactiques employées par le groupe menaçant. LAPSUS$. Le rapport expliquait comment LAPSUS$ consacre de vastes campagnes d’ingénierie sociale à prendre pied dans les organisations cibles. L’une de leurs techniques privilégiées consiste à cibler les utilisateurs avec des attaques par échange de carte SIM, ainsi qu’à effectuer des bombardements rapides MFA et à réinitialiser les informations d’identification d’une cible via l’ingénierie sociale du service d’assistance.
Vous ne pouvez pas compter entièrement sur la MFA : la sécurité des mots de passe est toujours importante
Il ne s’agissait pas d’une liste exclusive de moyens de contourner l’AMF. Il existe également plusieurs autres moyens, notamment la compromission des points de terminaison, l’exportation des jetons générés, l’exploitation du SSO et la recherche de déficiences techniques non corrigées. Il est clair que la mise en place de la MFA ne signifie pas que les organisations peuvent complètement oublier la sécurisation des mots de passe.
La compromission des comptes commence encore souvent par des mots de passe faibles ou compromis. Une fois qu’un attaquant obtient un mot de passe valide, il peut alors se concentrer sur le contournement du mécanisme MFA. Même un mot de passe fort ne peut pas protéger les utilisateurs s’il a été compromis par une violation ou une réutilisation du mot de passe. Et pour la plupart des organisations, passer totalement sans mot de passe ne sera pas une option pratique.
Avec un outil tel que Specops Password Policy, vous pouvez appliquer des politiques de mot de passe Active Directory robustes pour éliminer les mots de passe faibles et rechercher en permanence les mots de passe compromis résultant de violations, de réutilisation de mots de passe ou de vente après une attaque de phishing. Cela garantit que MFA constitue une couche de sécurité supplémentaire comme prévu, plutôt que d’être uniquement considérée comme une solution miracle. Si vous souhaitez découvrir comment la politique de mot de passe Specops peut s’adapter aux besoins spécifiques de votre organisation, veuillez nous contacter.