Sécurité : L’avertissement publié par le FBI met principalement en garde contre les attaques s’appuyant sur le SIM swapping et des outils tels que Muraen et NecroBrowser.

Le FBI (Federal Bureau of Investigation) a envoyé le mois dernier un avertissement de sécurité aux partenaires du secteur privé au sujet des récentes attaques contre des organisations et leurs employés, susceptibles de contourner les solutions d'authentification à plusieurs facteurs

"Le FBI a observé des acteurs contournant l'authentification multifactorielle par des attaques d'ingénierie sociale et techniques communes", écrit le FBI dans une notification au secteur privé envoyée le 17 septembre.

publicité

Pas une première

De nos jours, il existe de nombreuses façons de contourner l’authentification multifacteurs, mais l'alerte du FBI a spécifiquement mis en garde contre le SIM swapping, les vulnérabilités des pages en ligne gérant l’authentification multifacteurs et l'utilisation de proxys transparents tels que Muraen et NecroBrowser.

Pour faire passer le message, le FBI a répertorié des incidents récents dans lesquels des pirates informatiques avaient utilisé ces techniques pour contourner l’authentification multifacteurs et voler de l’argent aux entreprises et aux utilisateurs.

En 2016, les clients d'une institution bancaire américaine ont été pris pour cibles par un attaquant qui a transféré leurs numéros de téléphone sur un téléphone dont il était propriétaire: une attaque appelée échange de carte SIM (ou SIM swapping). L'agresseur a appelé les représentants du service clientèle des compagnies de téléphone afin de trouver des personnes plus disposées à lui fournir des informations nécessaires à l'échange de la carte SIM. Une fois que l'attaquant a eu le contrôle des numéros de téléphone des clients, il a appelé la banque pour demander un virement des comptes des victimes vers un autre compte qu'il possédait. La banque, reconnaissant que le numéro de téléphone appartenait au client, n’a pas posé de questions de sécurité complètes, mais a simplement demandé un code à usage unique envoyé au numéro de téléphone à partir duquel il appelait. Il était également en mesure de changer les mots de passe et code PIN, ainsi que d’associer une carte bancaire à une application mobile de paiement.



En 2018 et 2019, le centre des plaintes contre la criminalité sur Internet du FBI et le FBI ont observé que l'attaque ci-dessus - échange de carte SIM – était devenue une tactique courante utilisée par les cybercriminels cherchant à contourner l'authentification à deux facteurs. Les victimes de ces attaques ont perdu l’accès à leurs numéros de téléphone, leurs comptes bancaires ont été vidés et leurs mots de passe et leurs codes confidentiels ont été modifiés. Dans la plupart des cas, ces attaques reposent sur la capacité des attaquants à extorquer des informations sensibles aux services clients des opérateurs téléphoniques.

En 2019, un attaquant a pris pour cible une institution bancaire américaine : il a pu exploiter une faille dans le site Web de la banque pour contourner l'authentification à deux facteurs mise en place pour protéger les comptes. L’attaquant s'est connecté avec les identifiants de victime volés et, lorsqu'il a atteint la page secondaire où le client devrait normalement entrer un code confidentiel et répondre à une question de sécurité, il a saisi une chaîne de caractère spécifique dans l'URL de la page. Celle-ci était utilisée pour faire croire au serveur que l’utilisateur utilisait un ordinateur déjà connu du compte de la cible. Cette technique a permis de contourner les pages de code confidentiel et les questions de sécurité puis d'initier des virements électroniques à partir des comptes des victimes.

En février 2019, un expert en cybersécurité lors de la conférence RSA à San Francisco a présenté une grande variété de stratagèmes et d'attaques que les acteurs malveillants pourraient utiliser pour contourner l'authentification multifactorielle. L’expert a présenté comment il était possible d’utiliser les attaques de type "man-in-the-middle" et le détournement de session pour intercepter le trafic entre un utilisateur et un site Web afin de mener ces attaques et de maintenir leur accès le plus longtemps possible. Il a également présenté des attaques d'ingénierie sociale, notamment du phishing ou des SMS frauduleux prétendant être une banque ou un autre service, afin de pousser un utilisateur de se connecter à un faux site Web et de transmettre ses informations personnelles à l’attaquant.

Lors de la conférence Hack-in-the-Box organisée à Amsterdam en juin 2019, des experts en cybersécurité ont présenté deux outils, Muraena et NecroBrowser. Ces derniers fonctionnent en tandem pour automatiser une attaque de phishing contre des utilisateurs de l'authentification à plusieurs facteurs. L'outil Muraena intercepte le trafic entre un utilisateur et une page web cible, qui demande de saisir les informations d'identification de connexion et un code de jeton, comme d'habitude. Une fois authentifié, NecroBrowser stocke les données des victimes de cette attaque et pirate le cookie de session, permettant ainsi aux acteurs malveillants de se connecter à ces comptes privés, de les reprendre, de modifier les mots de passe des utilisateurs et les adresses de messagerie de récupération tout en maintenant l'accès le plus longtemps possible.

L’authentification multi facteurs reste efficace

Le FBI a clairement indiqué que son alerte ne devrait être prise qu'à titre de précaution et non comme une remise en cause de l'efficacité de l’authentification multifacteur, que l'agence recommande toujours.

Au lieu de cela, le FBI souhaite que les utilisateurs de solutions de ce type soient conscients du fait que les cybercriminels ont désormais des moyens de contourner ces mesures de protection.

"L'authentification multifactorielle reste une mesure de sécurité forte et efficace pour protéger les comptes en ligne, tant que les utilisateurs prennent des précautions pour éviter d'être victimes de ces attaques", a déclaré le FBI.

Ces attaques restent rares

Malgré l'augmentation du nombre d'incidents et d'outils d'attaque capables de contourner l’authentification multifactorielle, ces attaques sont encore incroyablement rares et n'ont pas été automatisées à grande échelle. La semaine dernière, Microsoft a déclaré que les attaques de ce type étaient si inhabituelles qu'ils ne disposent même pas de statistiques sur le phénomene.

En revanche, le fabricant de systèmes d'exploitation a déclaré que, une fois activé, l'authentification multifactorielle aidait les utilisateurs à bloquer 99,9% des attaques de compte.

En mai dernier, Google avait également eu une déclaration similaire, affirmant que les utilisateurs qui ajoutaient un numéro de téléphone de récupération à leurs comptes (et activaient indirectement l’authentification multifactorielle basée sur SMS) amélioraient la sécurité de leur compte.

"Nos recherches montrent que le simple ajout d'un numéro de téléphone de récupération à votre compte Google peut bloquer jusqu'à 100% des attaques conduites par des robots automatisés, 99% des attaques de phishing de masse et 66% des attaques ciblées survenues au cours de notre enquête", déclarait Google à l'époque.

Dans l'ensemble, l’authentification multifacteur est toujours efficace pour empêcher la plupart des attaques massives et automatisées. Toutefois, les utilisateurs doivent savoir qu'il existe des moyens de contourner certaines méthodes d’authentification multifacteurs, telles que celles reposant sur des vérifications basées sur SMS.

Au lieu de cela, les utilisateurs doivent choisir une solution plus puissante, résistants aux attaques d'ingénierie sociale telles que l'échange de la carte SIM ou des proxies transparents pouvant intercepter le token d’authentification.

Sur cette page, un ingénieur en sécurité de Microsoft a analysé les performances de diverses solutions d’authentification multifactorielles contre les différentes méthodes de contournement. Les solutions énumérées au bas du tableau sont les plus fortes.

Source : FBI warns about attacks that bypass multi-factor authentication (MFA)

