Le « MFA bombing », ou « bombardement rapide MFA » en bon français, gagne en popularité ces derniers temps. Cette méthode de piratage simple permet notamment de corrompre un compte Apple. Explications.
Noyer un internaute sous les notifications pour espérer lui voler des informations personnelles. Voilà en substance la manière dont fonctionne un nouveau vecteur d’attaque nommé « MFA bombing ». Aux États-Unis, il semblerait qu’une grande campagne de piratage de compte Apple se repose sur cette nouvelle méthode de vol des données.
Une sorte de fatigue notificationnelle
Le principe est simple : un hacker malveillant, qui possède votre mot de passe grâce à une quelconque fuite de données, va tenter de se connecter à votre compte à de très nombreuses reprises. Le système, ne reconnaissant pas l’IP ou la machine d’où émane la tentative de connexion, va ensuite envoyer une notification sur le téléphone de l’utilisateur ou l’utilisatrice légitime, lui demandant de valider ou non la connexion. Si le ou la propriétaire clique, légitimement, sur « Refuser », un script automatique va renvoyer la demande, encore, et encore, et encore, jusqu’à ce que la victime, fatiguée de voir son téléphone rendu inutilisable sous le poids des notifications, clique enfin sur « Accepter ».
C’est exactement ce qui est arrivé à Parth Patel, un ingénieur étasunien qui a raconté son histoire sur le blog KrebsOnSecurity. Son iPhone, son iPad ainsi que son Apple Watch ont commencé à clignoter sans cesse à cause de notifications demandant de réinitialiser le mot de passe de son compte Apple. Mais dans le cas présent, comme pour d’autres victimes qui ont également témoigné, l’arnaque allait encore un cran plus loin.
Même après avoir soigneusement refusé les centaines de demandes, Parth Patel a reçu un coup de fil semblant émaner du SAV d’Apple. Au bout du fil, une voix l’informe que son compte fait actuellement l’objet d’une cyberattaque et qu’il est nécessaire de partager un code d’accès pour vérifier son identité et cesser le déluge de notifications.
Le but est d’exploiter en réalité le système d’Apple qui permet de réinitialiser son mot de passe grâce à un code à usage unique envoyé par SMS. Si le code est partagé avec le faux employé d’Apple, alors bingo, le compte est définitivement corrompu.
Une attaque par déni de service
Le problème réside dans le fait que, chez Apple, les tentatives de réinitialisation de mot de passe peuvent être enclenchées en renseignant simplement l’adresse email et le numéro de téléphone de la victime, des données facilement trouvables dans des bases de données illégales vendues sur le web. Mais surtout, il est possible d’envoyer des centaines de demandes de confirmation de connexion avant même que l’utilisateur ou l’utilisatrice n’ait répondu à la première, permettant en quelque sorte de noyer un téléphone sous une attaque par déni de service.
Soyez donc vigilants si vous recevez des invités de connexion louche sur votre iPhone et n’acceptez jamais de communiquer des codes par téléphone à des soi-disant employé du SAV Apple. Ces derniers ne vous appelleront jamais directement, à moins d’une demande express de votre part.
30 octobre 2024 à 09h10
Source : KrebsOnSecurity