Présentées comme l’un des moyens les plus sûrs de se connecter, les clés FIDO n’ont pourtant pas empêché un groupe de pirates de prendre le contrôle de comptes protégés en s’appuyant sur une fonction d’authentification secondaire mal encadrée.

Des hackers ont trouvé un moyen d’exploiter une fonction secondaire pour affaiblir la sécurité de comptes protégés par une clé FIDO. © ArtemisDiana / Shutterstock
Des hackers ont trouvé un moyen d’exploiter une fonction secondaire pour affaiblir la sécurité de comptes protégés par une clé FIDO. © ArtemisDiana / Shutterstock
L'info en 3 points
  • Les clés FIDO, bien que sécurisées, peuvent être contournées par des attaques de phishing sophistiquées ciblant l'authentification multi-appareils.
  • Des hackers ont exploité une faiblesse dans le processus de connexion multi-appareils, trompant les utilisateurs avec des QR codes légitimes.
  • Pour se protéger, il est impératif de surveiller l'usage du cross-device sign-in et d'activer la validation Bluetooth.

Elles restent l’un des moyens les plus fiables pour sécuriser un compte. Les clés FIDO, ces dispositifs physiques qui valident une authentification, sont conçues pour rendre les attaques à distance inopérantes. Pas d’interaction avec la clé, pas d’accès. Enfin, presque. Vous le savez, aucune techno n’est infaillible, à plus forte raison quand l’erreur intervient entre la chaise et le clavier. Et c’est exactement ce qui s’est passé dans la récente campagne malveillante analysée par les équipes de sécurité d’Expel, qui viennent de documenter une méthode permettant d'affaiblir la sécurité des clés FIDO sans jamais avoir à les compromettre.

Quand la sécurité tourne à l’avantage des attaquants

Et comme souvent, il a suffi d'une pincée d’ingénierie sociale et d'une bonne dose de technicité. Selon les équipes d’Expel, l’attaque en question aurait visé les employés d’une de leurs entreprises clientes par le biais d’un mail de phishing relativement classique, invitant les cibles à saisir leurs identifiants sur une fausse page de connexion Okta – portail d’authentification pour de nombreuses entreprises, centralisant l’accès aux différents outils professionnels via une seule interface –, hébergée sur un domaine pirate créé pour l’occasion.

Une fois ces informations hautement sensibles récupérées, elles sont aussitôt exploitées en temps réel par les hackers, qui les injectent sur le vrai portail de l’entreprise. À ce stade, la procédure classique prévoit l’intervention de la clé FIDO, censée garantir qu’aucune authentification à distance ne puisse aboutir sans interaction physique.

Les assaillants ont donc ici misé sur la fonction de connexion multi-appareils (cross-device sign-in), pensée pour permettre à un utilisateur de valider une connexion sur un nouvel appareil via un autre déjà enregistré. Pratique en déplacement, mais critique si la chaîne de confiance est rompue.

Le portail officiel génère ainsi un QR code – légitime – que les attaquants transmettent à la victime via le site de phishing. En scannant ce code avec son application de double authentification mobile, la cible pense valider sa propre session alors qu’elle vient d’ouvrir un accès complet à l’attaquant. Dans ce cas de figure, l’interaction physique avec la clé FIDO n’aura jamais été requise, ce qui affaiblit la garantie qu’elle est censée apporter.

La campagne en cours permet aux attaquants de soutirer les accès à un compte protégé par une clé FIDO en exploitant l'option de connexion multi-appareils annexe. © Expel
La campagne en cours permet aux attaquants de soutirer les accès à un compte protégé par une clé FIDO en exploitant l'option de connexion multi-appareils annexe. © Expel

Comment renforcer l’accès à vos comptes protégés par une clé FIDO

Évidemment, une fois l’intrusion validée, les attaquants disposent d’un accès complet au compte de la victime. Rien ne les empêche alors de consulter la messagerie pro de la personne piégée, de parcourir des documents internes confidentiels, ou d’exploiter les droits associés pour étendre leur contrôle sur d’autres outils professionnels. Dans les cas les plus graves, ils peuvent aussi réinitialiser le mot de passe, enregistrer leur propre clé FIDO ou accéder à d’autres systèmes internes pour lancer de nouvelles attaques.

D’après les analystes d’Expel, cette campagne serait attribuée au groupe PoisonSeed. Déjà connu pour ses opérations de phishing ciblées sur le vol d’identifiants et de cryptomonnaies, il exploite ici non pas une faille dans les clés FIDO elles-mêmes, mais une faiblesse liée à la manière dont certaines entreprises configurent l’authentification sur plusieurs appareils.

Aussi, pour réduire la surface d’attaque, on rappellera qu’il est essentiel de redoubler de vigilance : surveillez de près l’usage du cross-device sign-in, gardez un œil sur l’ajout de nouvelles clés FIDO et les sessions ouvertes depuis des localisations inhabituelles. Pensez également à activer la validation via Bluetooth entre le téléphone et la machine cible lors de la connexion multi-appareils, pour vous assurer que l’utilisateur se trouve bien devant l’appareil qu’il essaie de connecter.

Source : Expel