Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    4 738
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 4 738
    Points : 123 313
    Points
    123 313
    Par défaut Le FBI tire la sonnette d'alarme à propos d'attaques qui contournent l'authentification à plusieurs facteurs
    Le FBI tire la sonnette d'alarme à propos d'attaques qui contournent l'authentification à plusieurs facteurs,
    et donne des recommandations

    L'authentification à plusieurs facteurs (MFA), qui consiste en l'utilisation d'un jeton secondaire ou d'un code à usage unique pour garantir l'identité de l'individu qui veut un accès à un compte, constitue une couche de défense supplémentaire dans la protection d'un compte. Toutefois, le FBI (Federal Bureau of Investigation) des États-Unis a envoyé le mois dernier un avis de sécurité aux partenaires du secteur privé concernant la menace croissante d'attaques contre des organisations et leurs employés, susceptibles de contourner les solutions d'authentification à plusieurs facteurs (MFA) : « Le FBI a observé des cyberacteurs contournant l'authentification multifactorielle par des attaques d'ingénierie sociale et techniques communes », a indiqué l'agence dans un PIN (Private Industry Notification) envoyé le 17 septembre.

    Il faut dire que les attaques réussies face à une authentification multifacteurs ne sont pas légions. Selon Microsoft, l'utilisation de l'authentification multifacteur bloque 99,9% des piratages de comptes. Dans un billet de blog, Alex Weinert, Group Program Manager for Identity Security and Protection chez Microsoft, les utilisateurs qui activent l'authentification multifacteur (MFA) pour leurs comptes vont bloquer 99,9% des attaques automatisées, même si les pirates informatiques disposent d'une copie du mot de passe actuel de l'utilisateur. Le 0,1% représente des attaques plus sophistiquées qui utilisent des solutions techniques pour capturer les jetons MFA, mais ces attaques sont encore très rares.

    Nom : attaques.png
Affichages : 1655
Taille : 142,8 Ko

    « Votre mot de passe n’a pas d’importance en dehors du password spray (évitez les mots de passe les plus utilisés) ou du brute force (utilisez plus de 8 caractères, ou utilisez un gestionnaire de mot de passe si vous êtes vraiment inquiet). Cela ne veut pas dire que votre mot de passe n’est pas mauvais. Il est mauvais, étant donné la probabilité qu’il soit deviné, intercepté, pris via une attaque par hameçonnage ou réutilisé.

    « Votre mot de passe importe peu, mais la MFA si ! Sur la base de nos études, votre compte a plus de 99,9% de moins de chances d'être compromis si vous utilisez la MFA ».

    Malgré cela, l'utilisation de la MFA n'est pas répandue, Microsoft estime que « moins de 10% des utilisateurs par mois » utilisent la MFA pour leurs comptes d'entreprise.

    Toutefois, selon le FBI, cette utilisation de jetons secondaires ou de codes uniques pour sauvegarder les noms d’utilisateur et les mots de passe n’est pas toujours suffisante. À moins que les entreprises n’utilisent des « informations biométriques ou comportementales, telles que l’heure, la géolocalisation ou l’adresse IP », il existe un risque qu’une attaque puisse amener un utilisateur à divulguer un code d’authentification à plusieurs facteurs ou utiliser une interception technique pour en créer un.

    Et c’est cette sophistication croissante de la manipulation des employés, appelée ingénierie sociale, qui a déclenché l’avertissement. En septembre, Proofpoint a clairement averti que l'ingénierie sociale devenait incontrôlable, les criminels exploitant « des interactions humaines plutôt que des exploits automatisés pour installer des logiciels malveillants, lancer des transactions frauduleuses, voler des données et se livrer à d'autres activités malveillantes ».

    Selon les recherches, 99% des cyberattaques reposent désormais sur une personne qui fait une action : cliquer sur un lien, ouvrir une pièce jointe, se laisser prendre à une arnaque. « Les instincts de curiosité et de confiance », explique Proofpoint, « incitent les personnes bien intentionnées à cliquer, télécharger, installer, ouvrir et envoyer de l’argent ou des données - au lieu d’attaquer les systèmes et les infrastructures, les acteurs malveillants se concentrent sur les individus, leurs rôles dans l'organisation, les données auxquelles ils ont accès et leur probabilité de "cliquer ici" ».

    Quelques exemples donnés par le FBI

    Dans sa notification au secteur privé, le FBI a présenté des exemples d’outils et de techniques utilisés pour vaincre la MFA, notamment des piratages Web, des outils de cyberattaque, tels que Muraen et NecroBrowser, et l’échange simple de cartes SIM. Il semble que le problème avec MFA est que c'est un réconfort trompeur pour l'institution elle-même. Une fois déployée, un utilisateur aura probablement plus de privilèges qu’il n'aurait eus sans cela :
    • en 2019, un cyberattaquant a pris pour cible une institution bancaire américaine qui a su tirer parti d’une faille dans le site Web de la banque pour contourner l’authentification à deux facteurs mise en place pour protéger les comptes. Le cyberattaquant s'est connecté avec les identifiants de victime volés et, lorsqu'il a atteint la page secondaire où le client devrait normalement entrer un code confidentiel et répondre à une question de sécurité, il a saisi une chaîne manipulée dans l'URL Web, définissant ainsi son ordinateur comme étant reconnu pour avoir déjà été utilisé pour ouvrir le compte. Cela lui a permis de contourner les pages de code confidentiel et de questions de sécurité et d'initier des virements électroniques des comptes des victimes ;
    • en 2016, les clients d'une institution bancaire américaine ont été ciblés par un cyberattaquant qui a transféré leurs numéros de téléphone sur un téléphone qu'il possédait, une attaque appelée échange de carte SIM. L’agresseur a appelé les représentants du service clientèle des compagnies de téléphone pour trouver ceux qui étaient plus disposés à lui fournir des informations pour compléter l’échange de la carte SIM. Une fois que l’attaquant a eu le contrôle des numéros de téléphone des clients, il a appelé la banque pour demander un virement télégraphique des comptes des victimes à un autre compte qu’il possédait. La Banque, reconnaissant le numéro de téléphone comme appartenant au client, ne posa pas de questions de sécurité complètes, mais demanda un code à usage unique envoyé au numéro de téléphone à partir duquel il appelait. Il a également demandé à modifier les codes PIN et les mots de passe et a été en mesure de joindre les numéros de carte de crédit des victimes à une application de paiement mobile ;
    • au cours des exercices 2018 et 2019, le centre des plaintes contre la criminalité sur Internet du FBI et les plaintes de victimes déposées par le FBI ont observé que l’attaque susmentionnée - l’échange de la carte SIM - était une tactique courante utilisée par les cybercriminels cherchant à contourner l’authentification à deux facteurs. Les victimes de ces attaques se sont vu voler leurs numéros de téléphone, leurs comptes bancaires ont été vidés et leurs mots de passe et leurs codes confidentiels ont été modifiés. Nombre de ces attaques reposent sur des représentants du service clientèle issus de l'ingénierie sociale des grandes compagnies de téléphone, qui donnent des informations aux attaquants ;
    • en février 2019, un expert en cybersécurité lors de la conférence RSA à San Francisco a démontré une grande variété de stratagèmes et d'attaques que les cyberacteurs pourraient utiliser pour contourner l'authentification multifactorielle. L’expert en sécurité a présenté des exemples en temps réel de la manière dont les cyberacteurs pourraient utiliser les attaques de type "man-in-the-middle" et le détournement de session pour intercepter le trafic entre un utilisateur et un site Web afin de mener ces attaques et de maintenir leur accès le plus longtemps possible. Il a également présenté des attaques d'ingénierie sociale, notamment des schémas d'hameçonnage ou des SMS frauduleux prétendant être une banque ou un autre service, afin de permettre à un utilisateur de se connecter à un faux site Web et de renoncer à ses informations personnelles ;
    • lors de la conférence Hack-in-the-Box organisée à Amsterdam en juin 2019, des experts en cybersécurité ont présenté deux outils, Muraena et NecroBrowser, permettant d'automatiser un schéma de phishing contre les utilisateurs de l'authentification à plusieurs facteurs. L'outil Muraena intercepte le trafic entre un utilisateur et un site Web cible à qui il est demandé de saisir les informations d'identification de connexion et un code de jeton, comme d'habitude. Une fois authentifié, NecroBrowser stocke les données des victimes de cette attaque et pirate le cookie de session, permettant ainsi aux cyberacteurs de se connecter à ces comptes privés, de les reprendre, de modifier les mots de passe des utilisateurs et les adresses de messagerie de récupération tout en maintenant l'accès le plus longtemps possible.


    Nom : fbi.png
Affichages : 1586
Taille : 82,9 Ko

    Mitigation

    Bien que les risques restent rares, il ne serait pas naïf de penser que le recours croissant à la MFA entraînera des attaques croissantes contre la MFA, ce qui aura des conséquences pour des millions de personnes à mesure qu'elles dépendront d'une forme de vérification secondaire (vulnérable). C’est le cas des numéros de téléphone mobile utilisés pour vérifier des personnes : le récent détournement du compte du PDG de Twitter, Jack Dorsey, a davantage fait connaître les faiblesses de cette vérification que de nombreux autres avertissements.

    Les pirates ont eu accès au compte de Jack Dorsey par l'intermédiaire du service de publication de tweets par SMS via Cloudhopper, un service de messagerie texte mobile que Twitter a acquis en 2010. À l'aide de Cloudhopper, les utilisateurs de Twitter peuvent envoyer des tweets sur leur profil en envoyant des messages texte à un numéro de code court, habituellement 40404. C'est un procédé utile pour les utilisateurs des téléphones simples ou pour ceux qui n’ont pas accès à l'application Twitter.

    Pour utiliser le service, le système exige seulement que l’utilisateur relie son numéro de téléphone à son compte Twitter, ce que la plupart des utilisateurs font déjà pour des raisons de sécurité distinctes. Cependant, le contrôle d’un tel numéro de téléphone est généralement suffisant pour envoyer des tweets sur le compte lié, ce que la plupart des utilisateurs ignorent.

    Le FBI recommande ceci :
    • la défense contre les attaques par authentification multifactorielle nécessite une prise de conscience des attaques qui contournent la sécurité et une vigilance constante à l'égard des attaques d'ingénierie sociale ;
    • apprenez aux utilisateurs et aux administrateurs à identifier les astuces d'ingénierie sociale - comment reconnaître des sites Web factices, ne pas cliquer sur des liens non autorisés dans un courrier électronique, ou les bloquer complètement - et apprenez-leur comment réagir face aux tactiques d'ingénierie sociale courantes ;
    • envisagez d'utiliser des formes supplémentaires ou plus complexes d'authentification multifacteur pour les utilisateurs et les administrateurs, telles que les méthodes d'authentification biométrique ou comportementale, bien que cela puisse créer un inconvénient supplémentaire pour ces utilisateurs.

    Selon le FBI, « l'authentification multifactorielle reste une mesure de sécurité forte et efficace pour protéger les comptes en ligne ». En d'autres termes, les entreprises devraient toujours déployer cette seconde couche de défense chaque fois que possible. Mais ces entreprises doivent également « prendre des précautions pour ne pas être victimes de ces attaques ». En d’autres termes, toutes les solutions d’authentification multifactorielles ne sont pas identiques et l’utilisation de telles défenses n’atténue pas le besoin de formation des utilisateurs.

    En attendant, malgré ce dernier avertissement, étant donné que MFA bloque presque toutes les attaques et que tout ce qui est au-dessus d’une simple combinaison nom d’utilisateur / mot de passe dissuade tous les attaquants, sauf les plus déterminés et les plus capables, vous devriez l’utiliser autant que possible.

    Source : FBI

    Et vous ?

    Comment protégez-vous vos comptes ?
    Si vous utilisez un second facteur pour accéder à vos comptes, quel est-il ?
    La MFA à tous les types de comptes ou seulement pour certains ? Lesquels et pourquoi ?
    Selon-vous les seconds facteurs se valent-ils ? Sinon, quelles seraient les plus difficiles à contourner ?
    Que pensez-vous des recommandations du FBI ? Auriez-vous quelque chose à y ajouter ou à modifier ?

    Voir aussi :

    Le FBI a essayé d'installer une porte dérobée dans Phantom Secure, un réseau téléphonique chiffré axé sur la protection de la vie privée, mais qui approvisionnait le marché criminel
    Le FBI veut renforcer son niveau de surveillance des médias sociaux en collectant plus de données dont les identifiants et les numéros de téléphone
    Le FBI a saisi Deep Dot Web, un important annuaire du Dark Web, et a arrêté ses administrateurs
    Les gains totaux de la cybercriminalité ont grimpé en flèche à 2,7 milliards de dollars, avec au total 351 936 plaintes reçues en 2018, selon le FBI
    Images attachées Images attachées
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre expert Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    1 047
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 1 047
    Points : 3 744
    Points
    3 744
    Par défaut
    Un ingénieur de chez Thales s'est fait dérober à son hôtel son PC de travail avec un carnet de notes (source lefigaro.fr). Le compte est protégé par MFA. J'espère juste qu'ils ont verrouillé le BIOS contre le démarrage sur un périphérique externe car même chiffré, les données ne résisteraient pas à un service déterminé à les lire.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  3. #3
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    2 859
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 2 859
    Points : 8 297
    Points
    8 297
    Par défaut
    Le Bios n'a pas grand chose à voir avec le disque dur. Il est présent dans la carte mère.

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  4. #4
    Membre expert Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    1 047
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 1 047
    Points : 3 744
    Points
    3 744
    Par défaut
    Oui c'est sur que s'ils extraient le DD, tout de suite ça pose souci J'avoue que là, il faut faire autre chose pour sécuriser les données comme je ne vois pas quoi pour le moment.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  5. #5
    Membre éclairé Avatar de eldran64
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    janvier 2008
    Messages
    237
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2008
    Messages : 237
    Points : 837
    Points
    837
    Par défaut
    Si le disque est chiffré déjà ça limite la casse (augmente la difficulté pour accéder aux données).

    Mais les données sensibles devraient toujours avoir des protections physiques pour limiter les accès non autorisés. Je pense notamment au fait qu'on ne devrait pas sortir physiquement les données sensibles d'une entreprise.
    Tout le monde devrait avoir de l'esprit critique car personne ne pourra m'apporter la preuve de l'absence celui-ci

Discussions similaires

  1. Réponses: 2
    Dernier message: 15/09/2019, 22h16
  2. A propos de Last_insert_id
    Par f-demu01 dans le forum Administration
    Réponses: 2
    Dernier message: 26/03/2003, 08h32
  3. A propos depth buffer
    Par j.yves dans le forum DirectX
    Réponses: 1
    Dernier message: 03/12/2002, 00h41
  4. A propos des modèles d'objet (avec sources)
    Par DevX dans le forum C++Builder
    Réponses: 14
    Dernier message: 01/12/2002, 12h22
  5. A propos du composant DBGrid
    Par _Rico_ dans le forum C++Builder
    Réponses: 2
    Dernier message: 24/07/2002, 09h18

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo