Windows Hello 16z9

Authentification FIDO minée

Lucas Morel

Les chercheurs en sécurité ont trouvé un moyen de contourner l’authentification basée sur FIDO.

La norme FIDO est généralement considérée comme sécurisée et conviviale. Il est utilisé pour l’authentification sans mot de passe et est considéré comme un moyen efficace contre les tentatives de phishing. Cependant, les experts de la recherche de Proofpoint ont maintenant découvert une nouvelle façon de contourner l’authentification basée sur FIDO. Les experts ont développé une technique d’attaque de rétrogradation à cet effet, qu’ils ont testé à l’aide de l’ID Microsoft Entra comme exemple.

Comment fonctionne l’attaque de rétrogradation de l’authentification FIDO

Les campagnes de phishing échouent généralement sur les comptes qui sont sécurisés avec Fido Passkeys. Cependant, selon Proofpoint, certaines implémentations FIDO sont susceptibles de rétrograder les attaques. Dans cette forme d’attaque, les utilisateurs sont amenés à utiliser une méthode d’authentification moins sécurisée.

Le point de départ des chercheurs était le fait que tous les navigateurs Web ne prennent pas en charge FIDO Passkeys – par exemple Safari sous Windows. Selon Proofpoint, cet écart fonctionnel peut être exploité par les attaquants. « Un cybercriminal peut adapter une attaque adversaire dans le milieu (AITM) pour usurper un agent utilisateur non pris en charge qui n’est pas reconnu par une implémentation FIDO. L’utilisateur serait ensuite obligé d’authentifier à l’aide d’une méthode moins sécurisée », a déclaré Proofpoint dans un communiqué.

Pour démontrer comment cela pourrait être exploité dans la pratique, les spécialistes de la preuve ont développé un phishlet pour le framework AITM Evilginx. Il s’agit d’un fichier de configuration qui est utilisé dans les kits de phishing pour usurper les sites Web et voler des données de connexion et des jetons de session. Selon ProofPoint, la séquence d’attaque est possible car les comptes d’utilisateurs avec l’authentification FIDO utilisent généralement des méthodes de connexion alternatives comme solution de secours – généralement l’authentification multi-facteurs (MFA).

Selon les experts en sécurité, la séquence d’attaque se produit comme suit:

  • Un lien de phishing est envoyé à la cible d’attaque, par exemple par e-mail, SMS ou demande OAuth.
  • Si le lien malveillant est cliqué, une erreur d’authentification est signalée et une autre méthode de connexion est suggérée.
  • Si l’utilisateur attaqué l’utilise et se connecte via la fausse interface, leurs données de connexion et leurs cookies de session sont taraudés.
  • Cela permet à l’attaquant de détourner la session et de reprendre le compte de la cible. Cela ouvre la porte à l’exfiltration des données ou au mouvement latéral dans l’environnement affecté.

Bien que, selon Proofpoint, il n’y a aucune preuve à ce jour que cette technique d’attaque est déjà utilisée par les cybercriminels dans la pratique, le fournisseur de sécurité classe les attaques de rétrogradation comme une nouvelle menace importante. Les experts préviennent: «Parce que de plus en plus d’organisations introduisent des méthodes d’authentification« résistantes au phishing »telles que FIDO, les attaquants pourraient intégrer les rétrogradations d’authentification FIDO dans leurs chaînes de mise à mort à l’avenir.»

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Les packages NPM malveillants contiennent un voleur d'informations Vidar
Les packages NPM malveillants contiennent un voleur d’informations Vidar
Cloud strategy questions
Pourquoi les entreprises ne parviennent-elles pas à résoudre le problème de mauvaise configuration du cloud ?
Les RSSI vom ERP-Leid profitent
Les RSSI vom ERP-Leid profitent