Et si votre authentification MFA n’était pas infaillible ?

123456… et tous les pires mots de passe ne font plus partie des pratiques de votre organisation.
Et mieux qu’un seuil d’entropie de mots de passe ambitieux, vous avez décidé de systématiser les mécanismes d’authentification multi-facteur (MFA) ?

Ce snack sur le contournement du MFA par le vol de cookies d’authentification vous intéressera…

Le Cookie saveur 010010110001…

Les cookies d’authentification ne sont pas très différents des appétissantes gâteries de votre grand-mère. A l’exception près qu’au lieu de farine, œuf ou lait, les ingrédients sont des identifiants de connexion : vos nom d’utilisateur et mot de passe, demandés pour chaque accès à votre application web préférée.

Vous pouvez ainsi vous identifier de façon équivalente soit en tapant ces identifiants, soit en envoyant un cookie d’authentification par le truchement de votre navigateur web.

Le vol de jeton MFA

Les gouttes de sueur qu’a produit la lecture du titre ci-dessus ont une explication simple : lorsque la liste des ingrédients du cookie d’authentification s’étend aux secrets supplémentaires (code SMS à x chiffres, voix, empreinte, etc.) qui le définissent – on l’appelle jeton (token), le vol de ce dernier anéantit littéralement le gain de sécurité apporté par le multi-facteur ! …jusqu’à la prochaine ré-authentification (ce qui peut prendre du temps !).

Échappatoire possible, mais mot d’ordre éternel : vigilance !


Ceci étant dit, pas d’inquiétudes, car des technologies de MFA bien établies comme Duo et GAuth mitigent fortement le risque.

L’essentiel ici consiste à identifier le risque inhérent, l’évaluer, et mettre en œuvre les mesures pertinentes eu égard à la criticité des actifs couverts par l’authentification.

Continuez à utiliser des mots de passe complexes, et surtout, n’hésitez jamais à y adjoindre un mécanisme MFA… il en va de votre survie numérique !

 

Références :

MITRE ATT&CK Techniques :

  • T1539
  • T1550.004
  • T1111 pour une vision complète et des concepts et technologies de mitigation en entreprise.

Article publié le 17 janvier 2023