L'authentification multifacteur ne serait pas suffisante face aux hackers parrainés par la Russie

24 mars 2022 à 13h00
20
Authentification double facteur © The Digital Artist / Pixabay
© The Digital Artist / Pixabay

Une entreprise cyber britannique, MyCena, explique que le protocole MFA, censé être d'une redoutable fiabilité, souffre en réalité d'une vulnérabilité exploitée par des pirates russes.

C'est une alerte cyber qui, toute proportion gardée, fait un peu l'effet d'une bombe. L'authentification multifacteur (MFA ou AFM) ne constituerait plus une barrière suffisamment forte pour résister aux pirates informatiques, si l'on en croit la firme spécialisée dans la gestion des accès segmentés, MyCena. Elle est pourtant considérée par les acteurs de la cybersécurité comme une véritable couche de protection supplémentaire, bien plus sûre par exemple que les seuls mots de passe.

Des protocoles MFA et une vulnérabilité exploités pour pénétrer dans le réseau

Proposée – voire imposée – par un nombre de services en ligne de plus en plus grand, l'authentification multifacteur demande à l'utilisateur, pour accéder à un compte ou à une application, de confirmer son identité par le biais d'un code reçu par téléphone ou en scannant par exemple son empreinte via l'option biométrique. Cette méthode est censée mieux protéger l'utilisateur et faire obstacle par exemple à une usurpation d'identité ou à une attaque par force brute (découverte du mot de passe après de multiples essais).

Sauf que l'ANSSI américaine (la Cybersecurity and Infrastructure Security Agency ou CISA) et la section cybersécurité du FBI ont publié un avis commun qui avertit les entreprises et organisations que des cyber-acteurs parrainés par l'État russe sont parvenus à obtenir un accès au réseau en exploitant des protocoles d'authentification multifacteur par défaut, ainsi qu'une vulnérabilité.

L'information est relayée par l'entreprise londonienne MyCena, qui explique que ces hackers assimilés à la Russie ont pénétré dans les systèmes d'une ONG dès le mois de mai 2021, par ce procédé, pour en prendre le contrôle.

L'authentification multifacteur, seule, ne suffit pas

Julia O'Toole, fondatrice et patronne de MyCena, explique que l'authentification multifacteur ne suffit désormais plus, du moins à elle seule, pour protéger l'accès au réseau face aux cybercriminels et autres diffuseurs de ransomwares . « Cette vulnérabilité MFA prouve que même les méthodes de sécurité les plus sûres en apparence n'arrêteront pas les attaquants, en particulier ceux parrainés par l'État russe », ajoute Julia O'Toole.

La dirigeante, qui s'inquiète de voir des groupes spécialisés dans le rançongiciel – comme Conti – soutenir la Russie dans le conflit qui l'oppose à l'Ukraine, appelle les entreprises à davantage investir dans leur cyberdéfense, pour prévenir les attaques, plutôt que de miser sur les cyber-assurances. Certaines de ces assurances ne prennent d'ailleurs plus en charge le ransomware sous forme d'acte de guerre, ce qui pousse les groupes cyber à annoncer qu'ils agissent de manière indépendante de la Russie ou de l'Ukraine, « dans l'espoir que les compagnies d'assurance continuent à financer les rançons », explique MyCena.

Julia O'Toole rebondit aussi sur le récent piratage du fournisseur de services d'authentification Okta , une société américaine utilisée dans le monde entier. « Le simple fait de s'appuyer sur les méthodes de l'authentification multifacteur ne prépare pas les organisations à cette marée montante de cybercriminels d'une nouvelle ère », note MyCena. « Une solution bien plus efficace (…) est de reprendre la main sur le commandement et le contrôle des accès, en segmentant les accès et en distribuant des mots de passe chiffrés aux employés », suggère l'entreprise londonienne, qui prêche évidemment pour sa paroisse.

Source : MyCena

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
20
19
twist_oliver
Avec ce genre d’article on va associer le terme pirate informatique à Russes ! un peu comme on le fait avec les terroristes qu’on associe aux islamistes radicaux. Que de raccourcis/simplifications.<br /> Sinon sur le fond, rien de neuf, aucun système n’est invulnérable. Qu’un système MFA ait été piraté n’est pas anormal puisque c’est un système comme un autre, et il sera corrigé. Les fondamentaux restent valables : mettre un mot de passe assez costaud et fragmenter les accès.
Popoulo
@Blap : @B a raison. Vais pas développer sinon ça risque de pas plaire.<br /> « qui prêche évidemment pour sa paroisse. » : non… sans blague. MyCena, security solutions des champignons. Et leur site web… c’est le fils du concierge qui a dû le faire.
bibi10
evidement que ca suffit pas comme protection avec tous les inconscients qui utilise le meme appareil (smartphone) pour toutes les autentification! chose a ne JAMAIS faire d’un MEME APPAREIL!
userresu
Dans l’absolu, je suis d’accord avec toi ; sauf qu’il est compliqué d’avoir plusieurs smartphones avec soi (dans mon cas , j’en ai deux , un perso et un pro ; les authentifications perso se font sur mon perso, les authetifications pro se font avec le pro)<br /> Après, quand je vois le nombre de personnes qui ne prennent même pas la peine d’activer une MFA quand c’est possible et qui en plus utilisent le même couple adresse e-mail / mot de passe sur plein de services (en allant de Amazon jusqu’aux impots…), ça fait peur
Blap
Maintenant on peut avoir plusieurs sessions sur nos smartphones. Si c’est bien securise (et que l’utilisateur ne fait pas de la merde) les infos ne passent pas de l’une a l’autre
draks6929
Précisons tout de même que l’authentification « multi-facteurs » et l’authentification « deux facteurs » sont deux mécanismes différents. L’un peut parfois englober l’autre mais il s’agira le plus souvent d’un abus de langage ou d’un raccourci intellectuel plus qu’autre chose.<br /> Précisons également qu’il n’existe aucun « protocole MFA », le terme décrivant une stratégie et non un protocole. Toute stratégie d’authentification qui repose sur plus d’un facteur devient un protocole d’authentification à deux,trois, etc. facteurs.<br /> Il est bien évidemment question dans cet article de l’authentification à deux facteurs, que les experts en cybersécurité compétents n’hésitent pas à qualifier de risquée et insuffisante pour lutter contre les cyberattaques.<br /> L’authentification multi-facteurs, qui repose sur un ensemble de signaux plus étendu (parfois jusqu’à à près d’une vingtaine de signaux) est effectivement un moyen de compensation destiné à pallier aux manquements de la majorité des protocoles de type 2-facteurs. Ils ne sont pas tous vulnérables aux attaques d’ingénierie sociale, mais la majorité le sont.
MisterDams
La réu de brief chez MyCena<br /> "Alors voilà, on a vu un cas où l’authentification multi-facteurs n’a pas suffit. Maintenant, on va affoler tout le monde en faisait des news grand public pour dire que c’est clairement pas suffisant et déjà dépassé par rapport aux hackers d’aujourd’hui, que tout le monde est en danger imminent.<br /> Pour être crédible, on va généraliser l’analyse et être assez flous pour mettre dans le même panier tous les systèmes (une clé U2F ou un code par email), histoire de faire un peu de bruit pour que les décideurs des entreprises paniquent et nous contactent pour un audit."
Bondamanmanw
@yam103"Après, perso, j’ai un script Gresemonkey/tampermonkey pour faire du remplacement de mots à la volée comme ci-dessous"<br /> Tu as un site avec un tuto parce que perso y’a pas que @briceio qui en à marre surtout quand les sujets prennent partis ou quand les commentaires cherchant à démêler le vrai du faux sont supprimés, traiter de l’actualité du moment c’est une chose, perdre toute neutralité c’en est une autre surtout quand l’autre propagande est prié de s’exprimer librement, limite comme les appels aux meurtre de Facebook ce qui est intolérable, mais les concernant aucune plainte ne sera déposée.
Peggy10Huitres
« Cette vulnérabilité MFA prouve que même les méthodes de sécurité les plus sûres en apparence n’arrêteront pas les attaquants, en particulier ceux parrainés par l’État russe »<br /> « en particulier ceux parrainés par l’État russe » <br /> Non mais sérieux !<br /> Cela dit si le serveur est piraté, l’AFM aussi …<br /> Rien de nouveau à bobinau …
DakJim
j’ai l’impression que le hacker va hacker un système, juste par défi. Et seulement ensuite trouver une raison de l’avoir hacké.
romainb
C’est bien d’apporter un peu de précision avant de discréditer tout une technologie…<br /> Non, le MFA en général n’a pas une faille qui à été exploitée par des méchants hackeurs… comme c’est expliqué sur le site de CISA ils ont exploité une erreur / défaut de configuration… d’un client VPN utilisant la techno MFA duo, avec le paramètre « fail open », qui permet en gros de désactiver la vérification MFA quand le serveur MFA est pas dispo…<br /> Donc, non, ça ne marchera pas sur un site internet demandant le MFA (mais le piratage du google authenticator légitime de l’utilisateur, oui… bref… )<br /> C’est un peu une Fake News…<br /> PS: coté protocoles, on a quand Même 2 RFC sur le sujet (6560 et 6238) mais oui il manque clairement un standard concernant l’implémentation du MFA coté client ou serveur… c’est le far west… et dans le far west, les hors la loi ont la vie belle !<br /> d’ailleurs « fail open » ça sent la bonne invention du gars qui voulait vraiment privilégier le business à la sécurité…
Princedemachin
Consternant on ne peut plus critiquer la Russie aux yeux de certains. La propagande russe fait des ravages. Comment peut encore défendre ce régime.
Voir tous les messages sur le forum

Lectures liées

Des pirates soutenant la Russie ont essayé de perturber l'Eurovision 2022
En Inde, le gouvernement met fin à l'anonymat en ligne
VPN : NordVPN revient en force avec une offre à ne pas louper !
Le meilleur VPN du marché profite d'une promo folle !
Un VPN dans Edge ? Microsoft nous en dit un peu plus
Ukraine : la Russie à l'origine de la cyberattaque de Viasat pour faciliter l'invasion
Attention à certaines clés USB ! Ce malware peut prendre possession de votre PC en un rien de temps
Voici 3 offres VPN pour vous protéger à prix mini !
Microsoft corrige 74 vulnérabilités, dont 7 critiques, affectant toutes les versions de Windows
Malware : les emails vérolés affichent une hausse de 48,3% au premier trimestre
Haut de page