L'authentification multifacteur ne serait pas suffisante face aux hackers parrainés par la Russie

Alexandre Boero
Chargé de l'actualité de Clubic
24 mars 2022 à 13h00
20
© The Digital Artist / Pixabay
© The Digital Artist / Pixabay

Une entreprise cyber britannique, MyCena, explique que le protocole MFA, censé être d'une redoutable fiabilité, souffre en réalité d'une vulnérabilité exploitée par des pirates russes.

C'est une alerte cyber qui, toute proportion gardée, fait un peu l'effet d'une bombe. L'authentification multifacteur (MFA ou AFM) ne constituerait plus une barrière suffisamment forte pour résister aux pirates informatiques, si l'on en croit la firme spécialisée dans la gestion des accès segmentés, MyCena. Elle est pourtant considérée par les acteurs de la cybersécurité comme une véritable couche de protection supplémentaire, bien plus sûre par exemple que les seuls mots de passe.

Des protocoles MFA et une vulnérabilité exploités pour pénétrer dans le réseau

Proposée – voire imposée – par un nombre de services en ligne de plus en plus grand, l'authentification multifacteur demande à l'utilisateur, pour accéder à un compte ou à une application, de confirmer son identité par le biais d'un code reçu par téléphone ou en scannant par exemple son empreinte via l'option biométrique. Cette méthode est censée mieux protéger l'utilisateur et faire obstacle par exemple à une usurpation d'identité ou à une attaque par force brute (découverte du mot de passe après de multiples essais).

Sauf que l'ANSSI américaine (la Cybersecurity and Infrastructure Security Agency ou CISA) et la section cybersécurité du FBI ont publié un avis commun qui avertit les entreprises et organisations que des cyber-acteurs parrainés par l'État russe sont parvenus à obtenir un accès au réseau en exploitant des protocoles d'authentification multifacteur par défaut, ainsi qu'une vulnérabilité.

L'information est relayée par l'entreprise londonienne MyCena, qui explique que ces hackers assimilés à la Russie ont pénétré dans les systèmes d'une ONG dès le mois de mai 2021, par ce procédé, pour en prendre le contrôle.

A voir : Les meilleurs gestionnaires de mots de passe

L'authentification multifacteur, seule, ne suffit pas

Julia O'Toole, fondatrice et patronne de MyCena, explique que l'authentification multifacteur ne suffit désormais plus, du moins à elle seule, pour protéger l'accès au réseau face aux cybercriminels et autres diffuseurs de ransomwares. « Cette vulnérabilité MFA prouve que même les méthodes de sécurité les plus sûres en apparence n'arrêteront pas les attaquants, en particulier ceux parrainés par l'État russe », ajoute Julia O'Toole.

La dirigeante, qui s'inquiète de voir des groupes spécialisés dans le rançongiciel – comme Conti – soutenir la Russie dans le conflit qui l'oppose à l'Ukraine, appelle les entreprises à davantage investir dans leur cyberdéfense, pour prévenir les attaques, plutôt que de miser sur les cyber-assurances. Certaines de ces assurances ne prennent d'ailleurs plus en charge le ransomware sous forme d'acte de guerre, ce qui pousse les groupes cyber à annoncer qu'ils agissent de manière indépendante de la Russie ou de l'Ukraine, « dans l'espoir que les compagnies d'assurance continuent à financer les rançons », explique MyCena.

Julia O'Toole rebondit aussi sur le récent piratage du fournisseur de services d'authentification Okta, une société américaine utilisée dans le monde entier. « Le simple fait de s'appuyer sur les méthodes de l'authentification multifacteur ne prépare pas les organisations à cette marée montante de cybercriminels d'une nouvelle ère », note MyCena. « Une solution bien plus efficace (…) est de reprendre la main sur le commandement et le contrôle des accès, en segmentant les accès et en distribuant des mots de passe chiffrés aux employés », suggère l'entreprise londonienne, qui prêche évidemment pour sa paroisse.

Source : MyCena

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (20)

twist_oliver
Avec ce genre d’article on va associer le terme pirate informatique à Russes ! un peu comme on le fait avec les terroristes qu’on associe aux islamistes radicaux. Que de raccourcis/simplifications.<br /> Sinon sur le fond, rien de neuf, aucun système n’est invulnérable. Qu’un système MFA ait été piraté n’est pas anormal puisque c’est un système comme un autre, et il sera corrigé. Les fondamentaux restent valables : mettre un mot de passe assez costaud et fragmenter les accès.
Popoulo
@Blap : @B a raison. Vais pas développer sinon ça risque de pas plaire.<br /> « qui prêche évidemment pour sa paroisse. » : non… sans blague. MyCena, security solutions des champignons. Et leur site web… c’est le fils du concierge qui a dû le faire.
bibi10
evidement que ca suffit pas comme protection avec tous les inconscients qui utilise le meme appareil (smartphone) pour toutes les autentification! chose a ne JAMAIS faire d’un MEME APPAREIL!
userresu
Dans l’absolu, je suis d’accord avec toi ; sauf qu’il est compliqué d’avoir plusieurs smartphones avec soi (dans mon cas , j’en ai deux , un perso et un pro ; les authentifications perso se font sur mon perso, les authetifications pro se font avec le pro)<br /> Après, quand je vois le nombre de personnes qui ne prennent même pas la peine d’activer une MFA quand c’est possible et qui en plus utilisent le même couple adresse e-mail / mot de passe sur plein de services (en allant de Amazon jusqu’aux impots…), ça fait peur
Blap
Maintenant on peut avoir plusieurs sessions sur nos smartphones. Si c’est bien securise (et que l’utilisateur ne fait pas de la merde) les infos ne passent pas de l’une a l’autre
draks6929
Précisons tout de même que l’authentification « multi-facteurs » et l’authentification « deux facteurs » sont deux mécanismes différents. L’un peut parfois englober l’autre mais il s’agira le plus souvent d’un abus de langage ou d’un raccourci intellectuel plus qu’autre chose.<br /> Précisons également qu’il n’existe aucun « protocole MFA », le terme décrivant une stratégie et non un protocole. Toute stratégie d’authentification qui repose sur plus d’un facteur devient un protocole d’authentification à deux,trois, etc. facteurs.<br /> Il est bien évidemment question dans cet article de l’authentification à deux facteurs, que les experts en cybersécurité compétents n’hésitent pas à qualifier de risquée et insuffisante pour lutter contre les cyberattaques.<br /> L’authentification multi-facteurs, qui repose sur un ensemble de signaux plus étendu (parfois jusqu’à à près d’une vingtaine de signaux) est effectivement un moyen de compensation destiné à pallier aux manquements de la majorité des protocoles de type 2-facteurs. Ils ne sont pas tous vulnérables aux attaques d’ingénierie sociale, mais la majorité le sont.
MisterDams
La réu de brief chez MyCena<br /> "Alors voilà, on a vu un cas où l’authentification multi-facteurs n’a pas suffit. Maintenant, on va affoler tout le monde en faisait des news grand public pour dire que c’est clairement pas suffisant et déjà dépassé par rapport aux hackers d’aujourd’hui, que tout le monde est en danger imminent.<br /> Pour être crédible, on va généraliser l’analyse et être assez flous pour mettre dans le même panier tous les systèmes (une clé U2F ou un code par email), histoire de faire un peu de bruit pour que les décideurs des entreprises paniquent et nous contactent pour un audit."
Bondamanmanw
@yam103"Après, perso, j’ai un script Gresemonkey/tampermonkey pour faire du remplacement de mots à la volée comme ci-dessous"<br /> Tu as un site avec un tuto parce que perso y’a pas que @briceio qui en à marre surtout quand les sujets prennent partis ou quand les commentaires cherchant à démêler le vrai du faux sont supprimés, traiter de l’actualité du moment c’est une chose, perdre toute neutralité c’en est une autre surtout quand l’autre propagande est prié de s’exprimer librement, limite comme les appels aux meurtre de Facebook ce qui est intolérable, mais les concernant aucune plainte ne sera déposée.
DakJim
j’ai l’impression que le hacker va hacker un système, juste par défi. Et seulement ensuite trouver une raison de l’avoir hacké.
romainb
C’est bien d’apporter un peu de précision avant de discréditer tout une technologie…<br /> Non, le MFA en général n’a pas une faille qui à été exploitée par des méchants hackeurs… comme c’est expliqué sur le site de CISA ils ont exploité une erreur / défaut de configuration… d’un client VPN utilisant la techno MFA duo, avec le paramètre « fail open », qui permet en gros de désactiver la vérification MFA quand le serveur MFA est pas dispo…<br /> Donc, non, ça ne marchera pas sur un site internet demandant le MFA (mais le piratage du google authenticator légitime de l’utilisateur, oui… bref… )<br /> C’est un peu une Fake News…<br /> PS: coté protocoles, on a quand Même 2 RFC sur le sujet (6560 et 6238) mais oui il manque clairement un standard concernant l’implémentation du MFA coté client ou serveur… c’est le far west… et dans le far west, les hors la loi ont la vie belle !<br /> d’ailleurs « fail open » ça sent la bonne invention du gars qui voulait vraiment privilégier le business à la sécurité…
Princedemachin
Consternant on ne peut plus critiquer la Russie aux yeux de certains. La propagande russe fait des ravages. Comment peut encore défendre ce régime.
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

L'authentification multifacteur ne serait pas suffisante face aux hackers parrainés par la Russie L'authentification multifacteur ne serait pas suffisante face aux hackers parrainés par la Russie
Bientôt la fin des mots de passe ? Bientôt la fin des mots de passe ?
Pourquoi les hackers russes volent des accès VPN d'universités américaines Pourquoi les hackers russes volent des accès VPN d'universités américaines
Pour déjouer les hackers russes, voici comment Google renforce sa sécurité Pour déjouer les hackers russes, voici comment Google renforce sa sécurité
Découvrez comment votre carte SIM pourrait protéger vos données des hackers Découvrez comment votre carte SIM pourrait protéger vos données des hackers