Double authentification : les pirates ont une nouvelle stratégie pour mettre en péril vos comptes en ligne

La double authentification n’est plus un bouclier absolu contre les cyberattaques. Un outil employé par les cybercriminels permet en effet de casser l’authentification deux facteurs. L’opération repose sur le détournement de cookies de session par le biais d’un faux portail de connexion glissé entre vous et la plateforme officielle. Explications.

La double authentification est souvent présentée comme un rempart quasi infaillible contre les cyberattaques. De plus en plus répandu, le mécanisme ajoute une couche de sécurité supplémentaire à vos comptes en ligne. En plus de votre mot de passe, vous devez valider votre connexion à l’aide d’un code transmis par SMS, par e-mail ou via une application dédiée. Ce code complique la tâche des pirates même s’ils ont déjà volé vos identifiants.

Au fil du temps, les hackers ont malheureusement mis au point toute une panoplie de techniques pour contourner la double authentification. Ils peuvent par exemple intercepter le code de connexion envoyé à l’utilisateur, à l’aide d’un robot piloté par l’IA, ou encore deviner le code affiché à l’écran à l’aide des pixels.

De l’importance des cookies de session

De plus en plus, les cybercriminels se servent d’un outil intitulé Evilginx pour arriver à leurs fins et contourner l’authentification multifactorielle, rapportent les chercheurs d’Infoblox. Il s’agit d’un outil de phishing qui sert de faux portail de connexion capable d’intercepter des identifiants, et surtout, des cookies de session.

Un cookie de session est un petit fichier temporaire que le site Web enregistre dans le navigateur pour reconnaître un utilisateur pendant toute la durée de sa visite. Il contient un identifiant de session unique qui permet au serveur de savoir que ce navigateur est déjà authentifié. Le cookie est supprimé lorsque l’utilisateur se déconnecte, ferme son navigateur ou lorsque la session expire côté serveur.

Entre la victime et le portail de connexion

Les chercheurs décrivent Evilginx comme « un framework open source avancé d’hameçonnage » spécialisé dans les attaques de type « adversary-in-the-middle », soit « attaquant du milieu » en français. Concrètement, Evilginx vient se placer entre la victime et le vrai site sur lequel elle souhaite se connecter. Il peut s’agir du site d’une banque, d’un réseau social ou encore d’une plateforme financière.

Evilginx « est largement utilisé par les cybercriminels pour contourner la sécurité de l’authentification multifacteur ».  En amont de la cyberattaque, les pirates vont installer Evilginx sur un serveur informatique et configurer un domaine factice. C’est ce domaine qui va servir à piéger les internautes. Celui-ci sert de proxy, c’est-à-dire qu’il s’agit d’un serveur intermédiaire qui relaie discrètement toutes les requêtes vers le véritable service. In fine, l’internaute se connecte sur le véritable service, à travers d’un portail malveillant.

Comment la cyberattaque se déroule

L’attaque débute par l’envoi du domaine frauduleux à la cible, que ce soit par mail, par SMS ou par le biais d’un message sur les réseaux sociaux. La cible va ouvrir ce faux site en étant persuadée de se rendre sur une plateforme authentique. Le contenu est légitime. L’internaute aperçoit l’adresse HTML du service ainsi qu’un vrai cadenas HTTPS, ce qui indique généralement qu’un site est sécurisé.

La victime saisit alors son identifiant et son mot de passe sur la page piégée. La page malveillante va transférer les informations au véritable portail de connexion. Le compte de la cible est donc en train de s’ouvrir sur la plateforme authentique. En parallèle, le site intermédiaire va s’emparer des identifiants de la victime. Les mécanismes de défense du véritable site web vont s’activer. Le site va ainsi réclamer le code de connexion prévu dans le cadre de la double authentification. L’internaute va alors recevoir le code par SMS, par mail ou par le biais de son application d’authentification multifactorielle. Il va renseigner ce code dans l’interface, conformément à ses habitudes.

Là encore, le portail intermédiaire va transmettre le code de connexion au véritable site. C’est à ce moment-là que les cybercriminels arrivent à leurs fins. Le serveur intermédiaire mis en place avec Evilginx va intercepter le cookie de connexion généré lorsque le code de connexion légitime a été renseigné. Ce cookie indique au site que l’internaute a été authentifié et que tout est normal. Le cookie passe d’abord par le serveur Evilginx, qui le copie avant de le renvoyer au navigateur de la victime.

Au terme de la manipulation, les pirates s’emparent du cookie de connexion et l’importent dans leur propre navigateur. Ils sont ainsi en mesure de naviguer sans la moindre entrave sur le compte de la cible. Les pirates peuvent lire les mails, changer les paramètres de sécurité, déplacer de l’argent ou récupérer des données sensibles jusqu’à l’expiration ou la révocation du cookie de session intercepté. Le cookie indique que le compte est déjà authentifié. Il n’y a donc plus besoin de communiquer un code d’authentification. Avec un simple outil open source, les pirates ont de cette façon pu contourner un mécanisme aussi sécurisé que la double authentification.

Une cyberattaque imperceptible

Du côté de la victime, il est impossible de se rendre compte de quoi que ce soit. En effet, la cible se retrouve connectée au véritable site web. Tout se déroule comme d’habitude. L’internaute ne comprendra la supercherie que lorsque des transactions frauduleuses auront été repérées par la banque ou que des informations auront changé à son insu. L’attaque se joue uniquement sur le fait que le cookie de session a été copié au passage, ce que l’utilisateur ne peut pas voir dans son navigateur. Bref, c’est une intrusion invisible.

Pour limiter les risques d’attaques de ce genre, il est recommandé de se méfier systématiquement des liens reçus de manière inattendue, et de vérifier l’expéditeur et l’adresse de destination avant de cliquer sur quoi que ce soit. Les chercheurs de MalwareBytes, qui relaient la découverte d’Infoblox, conseillent surtout d’utiliser, dans la mesure du possible, une méthode d’authentification multifactorielle qui soit résistante au phishing. C’est le cas des clés de sécurité physiques, comme les Yubikey.

L’astuce la plus simple pour se protéger contre Evilginx consiste tout simplement à révoquer toutes les sessions ouvertes sur vos comptes. Une fois toutes les sessions coupées, il faut se reconnecter, avec mot de passe et authentification multifacteur, pour établir une nouvelle session saine. Cette nouvelle connexion génère de nouveaux cookies de session, ce qui bloque l’utilisation d’éventuels cookies compromis.

Source : 01net.com

__________________________________________________________________________________________________________