Comment les cookies permettent de déjouer l'authentification à plusieurs facteurs

23 août 2022 à 10h20
3
hacking © B_A / Pixabay
© B_A/Pixabay

Depuis quelques années maintenant, l’authentification à plusieurs facteurs s’est fait une place dans les méthodes de connexion à utiliser si l’on souhaite sécuriser sa session. Son principe est simple : entrer son identifiant et son mot de passe, puis confirmer le tout avec une question secrète, un code ou une validation sur une autre page. En bref, cela protège votre identification en lui offrant une seconde couche de sécurité.

Les cybercriminels ont trouvé une faille dans ce système d’authentification : les cookies. Au-delà du vol de vos identifiants et de vos mots de passe, les hackers en ont désormais après vos cookies. Pour rappel, la CNIL indique qu'il s'agit d' « un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web (c'est-à-dire dans la majorité des cas à l’ensemble des pages d’un même site web). Ce fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine. »

Pourquoi cibler les cookies ?

Le contenu de chaque cookie est donc une liste de paramètres et de valeurs qui permettent d’identifier votre session sur une page web. En ciblant ce type de données, le cybercriminel va pouvoir contourner le système d’authentification à plusieurs facteurs, en tentant de se faire passer pour l’utilisateur légitime, qui avait initialement généré le cookie à la suite de sa connexion.

Les domaines d’applications sont multiples puisque cette méthode peut donner accès à la session Slack d’un utilisateur, facilitant l’incitation au téléchargement de logiciels malveillants, ou encore l’accès simplifié au Cloud d’entreprise contenant des données sensibles.

Comment les hackers volent-ils vos cookies ?

Pour avoir accès à vos cookies, le cybercriminel va généralement utiliser un hack sous forme d'hameçonnage (le phishing). Il se fait passer pour une autorité connue et vous transmet un mail contenant des pièces jointes ou des fichiers à télécharger. Le pirate informatique insère un paquet de logiciels malveillants, qui injecteront ensuite une série de commandes par le biais d'un processus .NET pour récupérer les cookies et les données de connexion de votre navigateur. Une fois les cookies récupérés, le tour est joué.

Cet exemple de hack n’est qu’un léger aperçu de ce qu’il se fait dans le monde du vol de données. Le vol de cookie est devenu une activité lucrative qui ne risque pas de s’arrêter de si tôt.

Pour limiter ces vols, des moyens existent, tels que la réduction de la durée de vie d’un cookie, ou encore la suppression de ce dernier une fois le navigateur quitté. Les entreprises se penchent de plus en plus sur ces solutions de gestions de cookies, qui se révèlent parfois compliquées.

Sources : Esecurityplanet, CNIL

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
3
3
mcbenny
A ceci près que le vol de cookie était la première méthode de vol de session avant même l’apparition de l’authentification multi-facteurs. Rien de nouveau sous le soleil.<br /> En gros, les cookies ce sont le badge d’accès que vous donne l’accueil après avoir vérifié sérieusement votre identité qui vous permet ensuite de vous balader à l’intérieur de l’espace sécurisé. Que votre identité ait été vérifiée par une ou 18 personnes, vous finissez toujours avec le badge d’accès (les cookies). Et voler le badge d’accès est évidemment le meilleur moyen d’infiltrer l’espace sécurisé.
BernardB
Depuis un certain temps, plus de code Certitude pour la plupart des app/s perso priver, mais l’empreinte digitale.<br /> Cool, Plus de code à donner.<br /> Mais les pirate peuvent t’ils contrer l’empreinte ?
BernardB
Je pense que le plus sur est la reconnaissance de l’empreinte digitale.<br /> Me Gourge ?
Voir tous les messages sur le forum

Derniers actualités

Découvrez pourquoi cette licence VPN à -82% chez CyberGhost vaut vraiment le détour !
On connaît les prix des Pixel Watch en euros !
Découvrez le nouveau Pixel 7 de Google dans cette vidéo
Samsung Expert RAW arrive sur 3 nouveaux téléphones
Il y a désormais un smartphone encore plus écoresponsable que le Fairphone 4
Faut-il vraiment que Brave bloque les consentements de cookies ? C'est ce qu'il va faire très bientôt
C'était de la SF ou du jeu vidéo, la tourelle commandée par IA est désormais une triste réalité en Palestine
Insolite : il imagine et fabrique une boîte à rythmes... en LEGO
Imaginé pour les pros du vélo, ce nouveau moteur électrique Bosch a de quoi vous envoyer dans le décor
Bitdefender Total Security est un excellent antivirus portant particulièrement bien son nom !
Haut de page