La créativité des attaquants n’est plus à démontrer… Un nouvel exemple fait parler de lui et concerne des techniques d’ingénierie sociale (Social Engineering – SE / Exploitation humaine) à l’encontre des process d’authentification-forte, notamment celui de Google.
Il est dit de part et d’autre que le simple couple “login / password” n’est plus jugé suffisant. Pour contrer cela, ont émergé depuis quelques années de nombreuses solutions permettant de renforcer les processus d’authentification, notamment l’authentification forte (2FA).
Ajouter un nouveau facteur d’authentification en plus du “login / password”, tel qu’un OTP reçu par SMS (à présent jugé déprécié), généré via un token ou soft-token ou d’autres solutions plus exotiques, permet d’accroître significativement la sécurité d’un accès et de ralentir voire empêcher des assaillants de dérober vos comptes.
En effet, si un attaquant réussi à obtenir votre login / password (en dérobant une base de données, injection SQL / LDAP, compromission d’un serveur applicatif, de votre boîte email, etc.), il ne pourra pas les utiliser sur les services protégés par authentification forte. L’attaquant devra de plus vous dérober votre smartphone (SMS, soft-token), votre token, vos empreintes digitales, votre voix ou encore votre rythme cardiaque…
Ces nouveaux facteurs renforçant les phases d’authentifications peuvent toutefois être ciblés par des attaques d’ingénierie sociale, notamment les OTP (One-Time Password, ou mot de passe à usage unique et temporaire) que l’on reçoit par SMS.
La récente déclaration du NIST à l’encontre de l’authentification forte par OTP via SMS jugée dépréciée corrobore avec ces scénarios de Social Engineering.
Certains utilisateurs peuvent être abusés de fournir d’eux-même leur code OTP à une tierce-personne (comprendre l’attaquant), pensant bénéficier d’une sécurité accrue via la 2FA.
C’est ce que Alex MacCaw, co-fondateur de Clearbit.com a relaté au travers d’un SMS qu’il a reçu :
- Les attaquants souhaitant dérober un compte Google d’une victime précise, dont le compte cible est protégé via la 2FA, vont dans un premier temps envoyer un SMS à la victime en se faisant passer pour Google.
- Le fake-SMS incite la victime à répondre en envoyant le code OTP qui va être reçu dans les secondes/minutes qui suivent.
- Bien entendu, ce code OTP reçu par la suite (véritable code OTP valide), a été envoyé par Google suite à l’action de l’attaquant souhaitant réinitialiser le mot de passe de la victime.
- La victime, leurrée, va envoyer le véritable OTP à son assaillant, qui l’utilisera pour réinitialiser le mot de passe véritable de la victime.
Autre version encore plus réaliste :
Ces exemples démontrent de nouveau l’inventivité des attaquants et confirme la position du NIST à l’égard de l’authentification forte au travers de SMS.
Privilégier les tokens physiques (RSA SecurID) ou encore les soft-tokens type OTP-temporel ou même Swipe comme le proposent nos partenaires tels que Ping ou InWebo.
Mettre en place des mécanismes de 2FA est vivement requis de nos jours, plus que conseillé ! Toutefois , il faut garder à l’esprit que le maillon le plus faible dans la chaîne de sécurité reste l’humain et sa crédulité, si finement manipulée. Quelques soient les mécanismes de sécurité mis en place, le Social-Engineering peut en venir à bout…
Sources & ressources :
- How clever social engineering can overcome two-factor authentication… or not?
- Hackers Bypass Google’s Two-Factor Authentication By Taking Social Engineering To A New level
Yann
Consultant Sécurité