Depuis le début de l’année, une campagne menée par des pirates cherche à récupérer des jetons issus de l’authentification à facteurs multiples. Celle-ci permet pour rappel de configurer un second facteur pour s’authentifier, afin de compléter le mot de passe. Le plus souvent, il s’agit d’une manipulation à effectuer sur le téléphone, comme un code à six chiffres ou une notification à accepter après authentification.
Ces facteurs multiples représentent une protection efficace contre les vols de mots de passe dans la plupart des cas. Il est ainsi impossible de se connecter sans posséder aussi le smartphone et le moyen de s’y authentifier (biométrie ou code). Elle n’est cependant pas absolue.
Dans un billet publié le 31 juillet, la société de sécurité Proofpoint décrit ainsi une campagne dont les premiers signes ont été observés en début d’année. Les pirates, très organisés, ont créé de fausses applications Microsoft se servant du protocole OAuth afin que les jetons d’authentification générés soient envoyés à des adresses spécifiques.
Ces fausses pages de type Microsoft 365 sont suffisamment bien faites pour tromper la vigilance. Elles peuvent prendre diverses apparences, pour se faire passer comme émanant d’Adobe, de RingCentral, ou encore pour ressembler à des demandes légitimes de DocuSign. Une cinquantaine d’applications de ce genre ont été repérées, selon Proofpoint.
C’est notamment cette campagne active qui aurait conduit Microsoft à bloquer les vieux protocoles d’authentification, le changement ayant commencé mi-juillet et devant s’achever courant aout. Proofpoint note que cette décision améliorera bien sûr la sécurité générale, mais que la résistance face à ces campagnes passe nécessairement par une vigilance accrue, car reposant sur l’ingénierie sociale.
Rappelons que le contournement des mécanismes à facteurs multiples n’est pas rare. En 2022, Microsoft avait expliqué en détail le fonctionnement d’une attaque complexe, visant des entreprises spécifiques. Elle utilisait des serveurs dédiés, se reposait également sur l’ingénierie sociale et présentait de grandes similitudes avec les mécanismes décrits par Proofpoint.
Commentaires (0)
Abonnez-vous pour prendre part au débat
Déjà abonné ou lecteur ? Se connecter
Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles d'un média expert
Profitez d'au moins 1 To de stockage pour vos sauvegardes
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousSignaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?