Stopper les attaques AiTM : les défenses qui fonctionnent réellement une fois l’authentification réussie

Après avoir découvert le phishing AiTM, l’instinct est de renforcer l’authentification. Achetez des clés matérielles. Déployez des mots de passe. Forcez l’authentification MFA résistante au phishing pour les comptes privilégiés.

Cet instinct est correct mais incomplet.

L’authentification résistante au phishing arrête la phase de vol d’identifiants. FIDO2 et les clés d’accès lient cryptographiquement le défi d’authentification au domaine légitime, de sorte qu’un domaine proxy ne peut pas terminer la prise de contact. Cela fonctionne. Les organisations qui ont déployé des clés d’accès à grande échelle ont considérablement réduit leur exposition à AiTM au niveau de la couche d’authentification.

Le contrôle le plus efficace pour la sécurité des sessions consiste à exiger des appareils gérés et conformes comme condition d’accès aux ressources sensibles. Lorsque les politiques d’accès, telles que l’accès conditionnel Microsoft Entra, exigent que l’appareil présentant un jeton de session soit inscrit, géré et réponde aux exigences de conformité, les jetons volés deviennent beaucoup plus difficiles à rejouer.

Un attaquant qui intercepte un jeton de session ne peut pas facilement le rejouer à partir d’une machine non gérée si la politique exige la conformité de l’appareil. La session est terminée. L’attaquant n’a pas seulement besoin du jeton, mais également d’un appareil conforme – une barre beaucoup plus élevée.

Ce contrôle n’est pas infaillible. Des attaquants sophistiqués peuvent tenter de compromettre directement les appareils gérés. Mais cela élimine le vecteur de relecture le plus simple : prendre un jeton volé et l’ouvrir dans un navigateur sur une machine complètement différente.

Le défi pratique est le déploiement. Exiger des appareils gérés pour tous les utilisateurs crée immédiatement des frictions pour les sous-traitants, les travailleurs à temps partiel et toute personne utilisant des appareils personnels à des fins professionnelles. L’approche pragmatique consiste à commencer par les accès les plus risqués : les rôles administratifs, les systèmes financiers et toute application traitant des données sensibles. Développez-vous à partir de là à mesure que la couverture de gestion des appareils s’améliore.

Les attaques AiTM ne génèrent pas de tentatives de connexion infructueuses. Ils en génèrent des réussis. La surveillance traditionnelle axée sur les échecs d’authentification passera totalement inaperçue de ces attaques.

Les signaux importants résident dans ce qui se passe une fois l’authentification réussie. Spécifiquement:

• Voyage impossible. Si une session s’authentifie à partir d’un emplacement, puis accède aux ressources à partir d’un emplacement géographiquement éloigné quelques minutes plus tard, cela justifie une enquête. Le temps entre les événements est important : une session qui s’authentifie à New York puis accède à des ressources d’un autre continent trente minutes plus tard n’est pas un scénario utilisateur normal.
• Enregistrement d’un nouvel appareil. Les attaquants qui obtiennent un accès à une session enregistrent souvent immédiatement un nouveau périphérique MFA ou ajoutent une nouvelle méthode d’authentification pour garantir un accès persistant. L’enregistrement d’un nouvel appareil se produisant quelques minutes après une connexion réussie est un signal haute fidélité qui mérite d’être alerté.
• Création de règles de boîte de réception. Un comportement post-compromission cohérent dans de nombreuses campagnes d’attaque est la création de règles de transfert de courrier électronique ou de filtres de boîte de réception conçus pour masquer les alertes de sécurité et transférer les communications vers des adresses contrôlées par les attaquants. Les propres équipes de réponse aux incidents de Microsoft ont documenté ce modèle à plusieurs reprises. La surveillance de la création de règles de boîte de réception, en particulier les règles qui transfèrent en externe ou masquent les e-mails contenant des mots clés spécifiques, détecte ce comportement de manière fiable.
• Tentatives d’élévation de privilèges. Les attaquants qui accèdent à un compte d’utilisateur standard tentent généralement d’accéder à des rôles dotés de privilèges plus élevés ou d’accéder aux interfaces d’administration. Les tentatives d’accès anormales contre les portails d’administration ou les systèmes de gestion des privilèges peu de temps après l’authentification d’une nouvelle session méritent d’être signalées.

Aucun de ces signaux n’est concluant en soi. Mais la création de règles de détection autour de la combinaison (une authentification réussie suivie d’un voyage impossible suivi d’un nouvel enregistrement d’appareil, par exemple) crée une capacité de détection qui détecte l’activité post-compromise d’AiTM que la surveillance de l’authentification manque complètement.

Les jetons de session de longue durée donnent aux attaquants plus de temps pour opérer après une interception réussie. Un jeton qui reste valide pendant sept jours offre une fenêtre beaucoup plus longue qu’un jeton qui expire après une heure et nécessite une nouvelle authentification.

Les frictions liées à des réauthentifications plus fréquentes sont réelles. Les utilisateurs le remarquent. Pour les applications de productivité utilisées en continu tout au long de la journée, les délais d’expiration de session agressifs créent une mauvaise expérience.

La réponse est une gestion de session basée sur les risques plutôt que des politiques uniformes. Les sessions accédant à des outils de productivité à faible sensibilité peuvent avoir une durée de vie plus longue. Les sessions accédant aux systèmes financiers, aux interfaces administratives, aux données RH ou à tout ce qui manipule des informations réglementées doivent avoir des durées de vie courtes et nécessiter une réauthentification avant d’effectuer des opérations sensibles. Les lignes directrices sur l’identité numérique du NIST fournissent un cadre utile pour réfléchir aux seuils d’expiration de session par niveau d’assurance.

Cette approche concentre les frictions là où le risque est le plus élevé, ce qui la rend plus défendable tant auprès des utilisateurs que des dirigeants.

Les contrôles techniques réduisent les risques. Ils ne l’éliminent pas. Les utilisateurs restent une partie de la surface d’attaque, et la formation de sensibilisation dispensée par la plupart des organisations ne les prépare pas à ce à quoi ressemble le phishing AiTM.

Associez cela à un mécanisme de rapport à faible friction. Les utilisateurs qui remarquent que quelque chose ne va pas devraient pouvoir le signaler en quelques secondes. La valeur d’un signalement précoce pour limiter les dommages résultant d’une compromission réussie d’une session est significative, et cette valeur disparaît si le signalement nécessite des efforts ou donne l’impression qu’il générera des reproches plutôt que des actions.

Le phishing AiTM est une menace réelle et croissante. Les plateformes de phishing en tant que service telles que Tycoon 2FA et FlowerStorm ont abaissé les barrières à l’entrée au point qu’il ne s’agit plus d’une technique avancée nécessitant des acteurs malveillants sophistiqués. Il s’agit d’une attaque marchande accessible à toute personne disposée à payer un abonnement.

Les organisations qui réduisent leur exposition sont celles qui prennent la sécurité des sessions aussi au sérieux que la sécurité des identifiants, construisent des capacités de détection autour du comportement post-authentification plutôt que des simples échecs de connexion, et donnent aux utilisateurs un modèle réaliste du fonctionnement du phishing moderne.