Posté le janvier 15, 2021 à 17:40
DES HACKERS CONTOURNENT L’AMF POUR ACCÉDER À DES COMPTES DE SERVICES CLOUD
La CISA (Cybersecurity and Infrastructure Security Agency) a révélé que les acteurs malveillants contournent les protocoles d’authentification à multifactorielle (AMF) pour compromettre les comptes de services cloud.
La CISA a révélé dans un rapport qu’il y a eu plusieurs attaques réussies sur les services de cloud computing des organisations. Les hackers utilisent le phishing et d’autres formes d’outils d’attaque pour tirer profit de la vulnérabilité et des failles de sécurité dans le protocole de services cloud de la victime.
Le rapport a également noté que les acteurs malveillants ont utilisé plusieurs techniques et tactiques telles que des tentatives de connexion par force brute et des attaques de phishing pour exploiter les vulnérabilités des services en ligne de l’organisation cible.
Faiblesse de pratiques de cyberhygiène
Selon la CISA, ces types d’attaques se produisent généralement lorsque les employés des organisations victimes travaillent à distance et utilisent un mélange d’appareils personnels et d’ordinateurs portables d’entreprise pour accéder à leurs services en ligne. Bien que ces organisations utilisent des outils de sécurité, les acteurs malveillants accèdent à leurs services en ligne en raison de la faiblesse des pratiques de cyberhygiène.
En réponse aux défis auxquels les organisations sont confrontées, la CISA a publié un rapport d’analyse sur l’amélioration des configurations de sécurité afin de fournir des protections plus solides contre les cyberattaques. Le rapport offre des conseils et des lignes directrices aux entreprises pour les aider à détecter les attaques potentielles et à y riposter. Le rapport fournit également des procédures d’atténuation pour aider à renforcer la configuration de l’environnement cloud des organisations.
L’AMF n’arrête pas complètement les attaques de phishing
Il convient de souligner que même si l’authentification multifactorielle est un excellent protocole de sécurité qui offre une sécurité supplémentaire, cela ne signifie pas qu’il sera impossible pour un hacker sérieux et sophistiqué de réussir.
Par exemple, en 2018, la bourse de cryptomonnaie Binance a arrêté tous les retraits après avoir remarqué des activités de trading anormales sur sa plateforme.
Binance a découvert par la suite qu’un hacker avait lancé une attaque de phishing qui redirigeait les utilisateurs vers un faux site se faisant passer pour Binance. Le site demandait aux utilisateurs de saisir leurs codes d’authentification et leurs mots de passe à plusieurs facteurs. Comme le code AMF peut rester valide pendant une minute, l’attaquant peut les utiliser pour obtenir une clé API d’échange pour le site principal de Binance.
Oui, certains hackers peuvent toujours contourner l’AMF par des attaques techniques et d’ingénierie sociale, c’est toujours l’une des formes les plus sûres de protection des comptes. C’est pourquoi il a été conseillé aux utilisateurs de continuer à utiliser l’AMF pour protéger leurs comptes.
Comme Microsoft l’a souligné, « votre compte a plus de 99,9% de chances d’être piraté si vous utilisez l’AMF ».
En effet, l’essentiel de la responsabilité de la protection des comptes incombe aux utilisateurs. Ils doivent s’assurer que leurs codes AMF sont saisis sur des sites authentiques, et non sur de faux sites conçus par les hackers pour les tromper.
Une fois que les attaquants ont pu accéder au service en ligne de l’organisation, ils peuvent avoir plusieurs plans. Avec un tel accès, ils pourraient obtenir des informations sur l’organisation, mettre en place des règles de transfert de courrier, attaquer les systèmes d’autres partenaires et employés, et exfiltrer des données.
Selon la CISA, il y a plus d’échecs que de succès lorsqu’il s’agit d’attaques de force brute utilisant une combinaison de nom d’utilisateur et de mot de passe, car de nombreuses organisations autorisent désormais l’AMF. Lors d’un des incidents de piratage réussis, la CISA a indiqué que les hackers ont pu utiliser des cookies de navigateur pour contourner l’AMF avec une attaque de type « pass-the-cookie ».
Ce type d’attaque utilise généralement une session authentifiée avec des cookies volés pour obtenir un accès en ligne ou des applications web.
Dans une autre attaque réussie, la CISA a révélé que les hackers ont collecté des informations sensibles en utilisant des règles de transfert de courrier électronique sur les utilisateurs qui veulent transférer des courriers électroniques professionnels vers leurs comptes de courrier électronique personnels.
L’agence a également découvert que des acteurs malveillants créent de nouvelles règles de boîte aux lettres électronique qui peuvent transférer certains messages reçus par l’utilisateur, en particulier les messages contenant certains mots-clés liés au phishing.
Prévention des attaques par une campagne de sensibilisation au phishing
Le directeur technique de Vectra, Tim Wade, a déclaré que la plupart des cyber-attaques seront évitées si les organisations sensibilisent davantage leurs employés contre les attaques de phishing et pratiquent une bonne hygiène en matière de sécurité informatique. Il a ajouté qu’il est impossible d’atteindre la perfection dans ces domaines à cause des erreurs humaines. Mais une campagne de sensibilisation massive sur la cybersécurité et les attaques de phishing contribuera grandement à réduire ces attaques.
Qu’il s’agisse de vulnérabilités inconnues ou de vulnérabilités connues de système de sécurité informatique, les organisations pourront prévenir de nombreuses attaques si elles peuvent se concentrer sur un risque actif et mener des actions de prévention appropriées, a ajouté M. Wade.
