“Vous savez, nous, on est protégé contre le phishing parce qu’on a mis en place l’authentification multi-facteurs”. Cette phrase, nous l’avons trop entendue.
Comme vous le savez, chez Arsen nous sommes très attachés à la sensibilisation des collaborateurs en matière de cybersécurité.
Là où un collaborateur sensibilisé et entraîné est une protection active pour l’entreprise, quelqu’un de non-entraîné représente en revanche un réel danger.
En effet, un utilisateur qui n’a pas été correctement préparé est un maillon faible qui peut être exploité et qui peut déjouer de lui même les outils et protections techniques mis en place.
Dans cet article, je vais vous montrer en vidéo comment à partir d’un simple email de phishing, on peut déjouer l’authentification à facteurs multiples, aussi connue sous le nom de MFA ou 2FA.
Démonstration
Principe
Une attaque de phishing utilisant un reverse proxy pour contourner l'authentification à deux facteurs (2FA) exploite une méthode sophistiquée pour tromper les utilisateurs et accéder à leurs comptes en contournant les mesures de sécurité supplémentaires telles que le 2FA.
Voici comment cela fonctionne généralement :
- Création d'une page de phishing : Les attaquants créent une page web malveillante qui imite parfaitement une page de connexion légitime, telle qu'une page de connexion bancaire, de messagerie électronique ou de médias sociaux.
- Mise en place du reverse proxy : Les attaquants configurent un serveur proxy inversé (reverse proxy) qui intercepte les requêtes de connexion légitimes des utilisateurs. Lorsqu'un utilisateur entre ses identifiants de connexion sur la page de phishing, ces informations sont envoyées au serveur proxy inversé au lieu du véritable serveur de destination.
- Redirection vers le véritable service : Une fois que les identifiants de connexion sont capturés, le serveur proxy inversé redirige la demande de connexion vers le véritable service en ligne, tel qu'une banque en ligne ou une plateforme de messagerie.
- Capture du cookie de session : en raison de la nature du 2FA, le service en ligne envoie un code de vérification au périphérique de l'utilisateur, souvent via un SMS ou une application d'authentification. Dans cette attaque, le serveur proxy inversé intercepte également ce code de vérification, mais surtout le cookie de session une fois l'authentification validée.
- Accès au compte : avec les identifiants de connexion et le cookie de session, les attaquants peuvent alors accéder au compte de l'utilisateur. Ils utilisent les informations capturées pour se connecter rapidement avant que l'utilisateur légitime ne réalise ce qui se passe.
En utilisant cette méthode, les attaquants peuvent contourner le 2FA en interceptant les informations sensibles lors du processus de connexion et en accédant rapidement au compte avant que l'utilisateur ne puisse prendre des mesures pour sécuriser son compte.
Cette démonstration présente une attaque sur un compte LinkedIn mais peut fonctionner dans d'autres situations implémentant des TOPTP, comme votre compte Facebook ou Instagram.
C'est pourquoi il est essentiel pour les utilisateurs d'être vigilants lors de la vérification des pages de connexion et de toujours vérifier l'URL et les certificats de sécurité avant de fournir des informations d'identification.
Conclusion
Vous l’aurez compris, le 2FA n’est pas une solution miracle qui résolvera vos problèmes d’identification.
C’est une bonne pratique qui permet un meilleur contrôle sur l’identité et va probablement freiner si ce n’est empêcher certaines attaques.
Néanmoins, un cybercriminel motivé et aguerri saura déjouer ce type de protection si vos effectifs ne sont pas correctement sensibilisés.
