L'authentification multifacteur ne serait pas suffisante face aux hackers parrainés par la Russie

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 24 mars 2022 à 13h00

Une entreprise cyber britannique, MyCena, explique que le protocole MFA, censé être d'une redoutable fiabilité, souffre en réalité d'une vulnérabilité exploitée par des pirates russes.

C'est une alerte cyber qui, toute proportion gardée, fait un peu l'effet d'une bombe. L'authentification multifacteur (MFA ou AFM) ne constituerait plus une barrière suffisamment forte pour résister aux pirates informatiques, si l'on en croit la firme spécialisée dans la gestion des accès segmentés, MyCena. Elle est pourtant considérée par les acteurs de la cybersécurité comme une véritable couche de protection supplémentaire, bien plus sûre par exemple que les seuls mots de passe.

Des protocoles MFA et une vulnérabilité exploités pour pénétrer dans le réseau

Proposée – voire imposée – par un nombre de services en ligne de plus en plus grand, l'authentification multifacteur demande à l'utilisateur, pour accéder à un compte ou à une application, de confirmer son identité par le biais d'un code reçu par téléphone ou en scannant par exemple son empreinte via l'option biométrique. Cette méthode est censée mieux protéger l'utilisateur et faire obstacle par exemple à une usurpation d'identité ou à une attaque par force brute (découverte du mot de passe après de multiples essais).

Sauf que l'ANSSI américaine (la Cybersecurity and Infrastructure Security Agency ou CISA) et la section cybersécurité du FBI ont publié un avis commun qui avertit les entreprises et organisations que des cyber-acteurs parrainés par l'État russe sont parvenus à obtenir un accès au réseau en exploitant des protocoles d'authentification multifacteur par défaut, ainsi qu'une vulnérabilité.

L'information est relayée par l'entreprise londonienne MyCena, qui explique que ces hackers assimilés à la Russie ont pénétré dans les systèmes d'une ONG dès le mois de mai 2021, par ce procédé, pour en prendre le contrôle.

A voir : Les meilleurs gestionnaires de mots de passe

L'authentification multifacteur, seule, ne suffit pas

Julia O'Toole, fondatrice et patronne de MyCena, explique que l'authentification multifacteur ne suffit désormais plus, du moins à elle seule, pour protéger l'accès au réseau face aux cybercriminels et autres diffuseurs de ransomwares. « Cette vulnérabilité MFA prouve que même les méthodes de sécurité les plus sûres en apparence n'arrêteront pas les attaquants, en particulier ceux parrainés par l'État russe », ajoute Julia O'Toole.

La dirigeante, qui s'inquiète de voir des groupes spécialisés dans le rançongiciel – comme Conti – soutenir la Russie dans le conflit qui l'oppose à l'Ukraine, appelle les entreprises à davantage investir dans leur cyberdéfense, pour prévenir les attaques, plutôt que de miser sur les cyber-assurances. Certaines de ces assurances ne prennent d'ailleurs plus en charge le ransomware sous forme d'acte de guerre, ce qui pousse les groupes cyber à annoncer qu'ils agissent de manière indépendante de la Russie ou de l'Ukraine, « dans l'espoir que les compagnies d'assurance continuent à financer les rançons », explique MyCena.

Julia O'Toole rebondit aussi sur le récent piratage du fournisseur de services d'authentification Okta, une société américaine utilisée dans le monde entier. « Le simple fait de s'appuyer sur les méthodes de l'authentification multifacteur ne prépare pas les organisations à cette marée montante de cybercriminels d'une nouvelle ère », note MyCena. « Une solution bien plus efficace (…) est de reprendre la main sur le commandement et le contrôle des accès, en segmentant les accès et en distribuant des mots de passe chiffrés aux employés », suggère l'entreprise londonienne, qui prêche évidemment pour sa paroisse.

^{_{Source : MyCena}}

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Cybersécurité

Logiciels & services

Actualités mots de passe / authentification

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

twist_oliver

Avec ce genre d’article on va associer le terme pirate informatique à Russes ! un peu comme on le fait avec les terroristes qu’on associe aux islamistes radicaux. Que de raccourcis/simplifications.

Sinon sur le fond, rien de neuf, aucun système n’est invulnérable. Qu’un système MFA ait été piraté n’est pas anormal puisque c’est un système comme un autre, et il sera corrigé. Les fondamentaux restent valables : mettre un mot de passe assez costaud et fragmenter les accès.

Popoulo

@Blap : @B a raison. Vais pas développer sinon ça risque de pas plaire.

« qui prêche évidemment pour sa paroisse. » : non… sans blague. MyCena, security solutions des champignons. Et leur site web… c’est le fils du concierge qui a dû le faire.

bibi10

evidement que ca suffit pas comme protection avec tous les inconscients qui utilise le meme appareil (smartphone) pour toutes les autentification! chose a ne JAMAIS faire d’un MEME APPAREIL!

userresu

Dans l’absolu, je suis d’accord avec toi ; sauf qu’il est compliqué d’avoir plusieurs smartphones avec soi (dans mon cas , j’en ai deux , un perso et un pro ; les authentifications perso se font sur mon perso, les authetifications pro se font avec le pro)
Après, quand je vois le nombre de personnes qui ne prennent même pas la peine d’activer une MFA quand c’est possible et qui en plus utilisent le même couple adresse e-mail / mot de passe sur plein de services (en allant de Amazon jusqu’aux impots…), ça fait peur

Blap

Maintenant on peut avoir plusieurs sessions sur nos smartphones. Si c’est bien securise (et que l’utilisateur ne fait pas de la merde) les infos ne passent pas de l’une a l’autre

draks6929

Précisons tout de même que l’authentification « multi-facteurs » et l’authentification « deux facteurs » sont deux mécanismes différents. L’un peut parfois englober l’autre mais il s’agira le plus souvent d’un abus de langage ou d’un raccourci intellectuel plus qu’autre chose.

Précisons également qu’il n’existe aucun « protocole MFA », le terme décrivant une stratégie et non un protocole. Toute stratégie d’authentification qui repose sur plus d’un facteur devient un protocole d’authentification à deux,trois, etc. facteurs.

Il est bien évidemment question dans cet article de l’authentification à deux facteurs, que les experts en cybersécurité compétents n’hésitent pas à qualifier de risquée et insuffisante pour lutter contre les cyberattaques.

L’authentification multi-facteurs, qui repose sur un ensemble de signaux plus étendu (parfois jusqu’à à près d’une vingtaine de signaux) est effectivement un moyen de compensation destiné à pallier aux manquements de la majorité des protocoles de type 2-facteurs. Ils ne sont pas tous vulnérables aux attaques d’ingénierie sociale, mais la majorité le sont.

MisterDams

La réu de brief chez MyCena
"Alors voilà, on a vu un cas où l’authentification multi-facteurs n’a pas suffit. Maintenant, on va affoler tout le monde en faisait des news grand public pour dire que c’est clairement pas suffisant et déjà dépassé par rapport aux hackers d’aujourd’hui, que tout le monde est en danger imminent.

Pour être crédible, on va généraliser l’analyse et être assez flous pour mettre dans le même panier tous les systèmes (une clé U2F ou un code par email), histoire de faire un peu de bruit pour que les décideurs des entreprises paniquent et nous contactent pour un audit."

Bondamanmanw

@yam103"Après, perso, j’ai un script Gresemonkey/tampermonkey pour faire du remplacement de mots à la volée comme ci-dessous"
Tu as un site avec un tuto parce que perso y’a pas que @briceio qui en à marre surtout quand les sujets prennent partis ou quand les commentaires cherchant à démêler le vrai du faux sont supprimés, traiter de l’actualité du moment c’est une chose, perdre toute neutralité c’en est une autre surtout quand l’autre propagande est prié de s’exprimer librement, limite comme les appels aux meurtre de Facebook ce qui est intolérable, mais les concernant aucune plainte ne sera déposée.

DakJim

j’ai l’impression que le hacker va hacker un système, juste par défi. Et seulement ensuite trouver une raison de l’avoir hacké.

romainb

C’est bien d’apporter un peu de précision avant de discréditer tout une technologie…
Non, le MFA en général n’a pas une faille qui à été exploitée par des méchants hackeurs… comme c’est expliqué sur le site de CISA ils ont exploité une erreur / défaut de configuration… d’un client VPN utilisant la techno MFA duo, avec le paramètre « fail open », qui permet en gros de désactiver la vérification MFA quand le serveur MFA est pas dispo…

Donc, non, ça ne marchera pas sur un site internet demandant le MFA (mais le piratage du google authenticator légitime de l’utilisateur, oui… bref… )

C’est un peu une Fake News…

PS: coté protocoles, on a quand Même 2 RFC sur le sujet (6560 et 6238) mais oui il manque clairement un standard concernant l’implémentation du MFA coté client ou serveur… c’est le far west… et dans le far west, les hors la loi ont la vie belle !
d’ailleurs « fail open » ça sent la bonne invention du gars qui voulait vraiment privilégier le business à la sécurité…