Comment la MFA prévient les attaques de phishing de type « man-in-the-middle » (MiTM)

Pour les cybercriminels, l’hameçonnage ou le phishing présente un attrait indéniable : sa fiabilité. Pour un coût quasi nul, ils peuvent cibler autant d’individus qu’ils le souhaitent pour tenter d’accéder à un compte utilisateur. La quantité prime sur le reste, et il suffit de tromper un seul utilisateur. Notre partenaire IS Decisions revient sur des méthodes de contre.

Lorsque cela se produit – et toutes les études montrent que cette issue est inévitable – les attaquants contournent aisément les pare-feu les plus coûteux, ainsi que les systèmes de détection d’intrusion et les contrôles réseau conçus pour les empêcher d’entrer. Cette vulnérabilité explique pourquoi l’authentification multifacteur (MFA) joue aujourd’hui un rôle fondamental pour la sécurité des comptes. Grâce à la MFA, les identifiants ne suffisent plus à accéder aux systèmes. Les auteurs d’une attaque d’hameçonnage doivent redoubler d’efforts.

Malheureusement, ils sont prêts à relever le défi. La MFA n’est pas une solution miracle face au phishing et les cybercriminels ont déjà mis au point des techniques capables de supplanter certaines méthodes de MFA, comme c’est le cas des attaques de phishing man-in-the-middle (MiTM).

En quoi consistent les attaques adversary-in-the-middle (AiTM) ?

Les attaques AiTM (adversary-in-the-middle) gagnent actuellement en popularité. Ce type d’attaque de phishing man-in-the-middle (MiTM) est spécifiquement conçu pour déjouer les mécanismes de MFA. Lors d’une attaque de phishing conventionnelle, l’utilisateur est redirigé vers un faux serveur à l’apparence convaincante, contrôlé de l’attaquant, pour l’inciter à saisir ses identifiants ou à divulguer certaines données. Les attaques AiTM vont encore plus loin. L’utilisateur est ainsi redirigé vers un serveur proxy inversé, qui transfère en temps réel les identifiants de l’utilisateur vers le serveur authentique.

Les attaques MiTM sont difficiles à détecter

Pour les attaquants, cette technique offre plusieurs avantages : tout d’abord, les attaques MiTM sont difficiles à détecter ; du point de vue de l’utilisateur et du serveur authentique, tout semble normal. Et c’est vraiment le cas. Le serveur malveillant se contente de transférer en secret des paquets HTTP entre le client et le serveur authentique de façon quasiment invisible, si ce n’est l’URL inhabituelle. Mais cette petite différence permet aux attaquants de se connecter au serveur authentique. Ils disposent alors d’un accès au compte et peuvent l’utiliser pendant plusieurs jours, voire des semaines, sans risque de détection.

Une tactique utilisée pour contourner la MFA

Ensuite, et c’est le risque le plus critique, cette tactique peut être utilisée pour contourner la MFA. Les attaquants piratent la totalité de la session, y compris les cookies de session utilisés pour la MFA. Il ne s’agit pas à proprement parler d’une défaillance de la MFA : en piratant les clés de session, une attaque AiTM permet simplement de passer l’étape de MFA en donnant l’impression que l’utilisateur s’est bien authentifié.

Si tant est que vous parveniez à les voler, il semble évident que les cookies de session sont l’outil parfait pour contourner la MFA. Néanmoins, leur présence se justifie pour une bonne raison : sans eux, les utilisateurs Web devraient s’authentifier chaque fois qu’ils accèdent à un site Web au cours de la journée, ce qui finirait par devenir épuisant. L’enregistrement de cookies de session représente un compromis : l’utilisateur ne doit s’authentifier qu’à intervalles définis.

Les plates-formes de phishing en tant que service à l’origine de la recrudescence des attaques AiTM

Si les attaques AiTM ne sont pas nouvelles, les cybercriminels les déploient désormais à grande échelle grâce aux plateformes de phishing en tant que service. Exemple notable, les attaques BEC (Business Email Compromise, compromission de messagerie professionnelle) ont touché un nombre étonnant de 10 000 organisations utilisant la plateforme Microsoft 365 entre 2021 et 2022. Ces campagnes se sont peu ou prou déroulées comme nous le décrivons ci-dessus : des e-mails de phishing renvoyaient vers une fausse page de connexion à Azure Active Directory, suffisamment convaincante pour imiter l’image de marque de l’entreprise.

Depuis, de nombreuses autres campagnes similaires ont été détectées par des fournisseurs de solutions de sécurité. Ces activités montrent que l’arsenal classique des auteurs de phishing compte désormais des méthodes d’attaque visant spécifiquement la MFA. On comprend donc facilement que le phishing n’est pas près de disparaître. Selon une étude IS Decisions (en anglais), le phishing et sa prévention font aujourd’hui partie des termes de sécurité les plus cherchés.

8 bonnes pratiques pour empêcher les attaques AiTM et MiTM

Plusieurs solutions s’offrent à vous pour éviter les attaques AiTM de contournement de la MFA. Tout d’abord, il faut bien comprendre que chaque outil de défense dépend de son contexte et de certaines précautions d’utilisation.

Déployez la MFA sur tous vos comptes

La première ligne de défense consiste à déployer la MFA sur tous vos comptes. La MFA est parfois imparfaite, mais cela reste largement préférable à une absence totale de MFA.

Sensibilisez vos utilisateurs aux attaques AiTM

Ensuite, sensibilisez vos utilisateurs aux attaques AiTM pour formez-les à reconnaître les URL suspectes. Cela ne stoppera pas toutes les attaques, mais un minimum d’information est un bon point de départ.

Variez les méthodes de MFA selon le contexte

Troisièmement, envisagez de varier les méthodes de MFA selon le contexte, par exemple en utilisant des jetons physiques pour les comptes administrateurs.

Les utilisateurs standard peuvent recevoir des notifications push à durée de validité limitée ; cette méthode repose sur l’authentification mobile, que les attaques AiTM ne peuvent pas imiter ou réutiliser. Il convient toutefois de faire preuve de prudence au moment de déployer les notifications push, afin d’éviter l’accoutumance à la MFA

Choisissez une solution de MFA offrant des contrôles granulaires

Enfin, choisissez une solution de MFA offrant des contrôles granulaires afin de définir quand et de quelle façon la MFA sera demandée à vos utilisateurs.

Vos administrateurs peuvent ainsi surveiller et bloquer les accès en fonction d’une grande variété de conditions, dont l’origine (adresse IP, pays), l’heure, le type de session (VPN, Wi-Fi) et empêcher les connexions simultanées à partir d’un même point d’accès.

Implémentez des politiques d’accès conditionnels en contrôlant l’adresse IP ou la machine utilisée, par exemple

Cette approche présente un inconvénient : elle est spécifique à la plateforme utilisée, et il est toujours possible d’usurper certaines conditions.

Migrez vers un système de jetons FIDO/2 U2F

Ces dispositifs sont liés à l’origine, ce qui signifie que l’authentification ne sera pas validée si un serveur proxy est injecté entre l’utilisateur et le site authentique. Toutefois, ces jetons sont coûteux et complexes à gérer, ce qui explique que les administrateurs les réservent généralement aux comptes privilégiés.

Choisissez l’authentification sécurisée par notification push

Cette méthode utilise un canal d’authentification distinct, auquel les cybercriminels n’ont pas accès. N’oubliez pas, il est important de bien sélectionner et de bien déployer les notifications push pour réduire le risque d’attaque d’accoutumance à la MFA.

Limitez la durée de vie des cookies de session

Leur utilité s’en trouve limitée, mais les cybercriminels auront également plus de mal à les exploiter pour contourner la MFA.

Protégez-vous des attaques de phishing MiTM avec la MFA granulaire et la gestion des accès

La situation peut sembler paradoxale de prime abord : les entreprises déploient la MFA pour protéger leurs comptes du phishing, mais elles se retrouvent à devoir sécuriser leur solution de MFA pour échapper aux attaques de phishing AiTM. Dans ce contexte, quelle est la bonne approche ? La réponse, c’est qu’il n’existe pas de solution unique. En matière de MFA, la clé de la réussite consiste à déployer soigneusement une solution granulaire, idéalement en la complétant par une solution de gestion des accès.

S’il faut retenir une chose au sujet des attaques AiTM, c’est qu’il n’existe pas de méthode universelle pour appliquer la MFA, de la même façon qu’il n’existe pas vraiment d’utilisateur « standard ». Chaque utilisateur est différent, et les équipes IT doivent être en mesure de surveiller et d’ajuster les contrôles affectés à la MFA.

La MFA est une couche de sécurité supplémentaire essentielle, mais elle doit faire l’objet d’une attention régulière.