Avec chaque nouveau piratage, il devient de plus en plus clair que les anciennes formes d’authentification à deux facteurs (2FA) n’offrent plus le niveau de sécurité rassurant qu’elles proposaient auparavant.
L’exemple le récent, et peut-être le plus parlant, est celui publié par le chercheur Piotr Duszyński concernant un outil appelé Modlishka (en polonais : “Mantis“) capable d’automatiser le phishing des passcodes envoyés par SMS ou générés à l’aide d’applications d’authentification.
Pour commencer, Modlishka est simplement un outil situé sur le même serveur qu’un site de phishing classique capturant toutes les identifiants et tous les jetons 2FA que l’utilisateur peut être amené à envoyer.
Mais au lieu de cloner le site de phishing (Gmail, par exemple), il se comporte comme un proxy inverse, alimentant intelligemment le contenu de l’utilisateur depuis le site réel pour rendre l’attaque plus convaincante.
Les utilisateurs pensent qu’ils interagissent avec le véritable site, car c’est effectivement le cas. Modlishka, en attendant, redirige tout le flux via des proxy, à l’insu de l’utilisateur.
Une vidéo de démo montre comment Modlishka pourrait être utilisé pour hameçonner un utilisateur Google, mais il pourrait tout aussi bien être utilisé en prenant comme cible un autre service utilisant la même authentification.
Duszyński a donné les explications suivantes :
Cet outil devrait être très utile pour tous les pentesteurs qui souhaitent mener une campagne de phishing efficace (ou leurs activités dans le cadre de leurs engagements Red Team).
Était-il juste de publier un outil aussi puissant ? On peut dire que oui. Utilisé dans le contexte qui a été défini, à savoir pour la simulation d’attaques de phishing contre le 2FA dans le cadre d’un test de pénétration ou d’ingénierie sociale, il offre une visibilité importante sur la vulnérabilité de ce type de sécurité.
En ce qui concerne les cybercriminels, il existe probablement de nombreux autres outils pouvant effectuer un travail similaire, étant donné que le phishing OTP n’est pas une technique nouvelle.
Quelques jours plus tard, en décembre dernier, des signalements distincts d’attaques sont apparus dans lesquelles le phishing avait été utilisé avec succès pour obtenir les codes OTP dans le cadre de campagnes ciblées.
Le premier visait des cibles américaines stratégiques, tandis que le second était documenté par Amnesty International comme faisant partie d’une campagne visant à pénétrer dans les comptes de messagerie de plus d’un millier de militants des droits de l’homme.
Ambitieusement, ce dernier a tenté de pirater des services de messagerie tels que ProtonMail et Tutanota, qui disposent de niveaux de sécurité supplémentaires et journalisent tous les accès.
Quoi faire ?
Le phishing OTP a des limites, à commencer par la fenêtre maximale de 30 secondes pendant laquelle un code capturé doit être utilisé avant d’être remplacé par un nouveau. Cela dépend également du succès de l’ingénierie sociale qui cible l’utilisateur et l’incite à visiter d’abord un site de phishing.
Si vous utilisez un gestionnaire de mot de passe pour entrer les identifiants, il ne fonctionnera pas s’il s’agit d’un domaine de phishing, ce qui peut être considéré comme un signe suspect.
La meilleure défense, cependant, n’est pas d’abandonner le 2FA OTP, mais de passer à une technique plus sécurisée, que presque tous les sites majeurs proposent désormais en option.
Comme Duszyński l’a déclaré :
Actuellement, le seul moyen de résoudre ce problème, d’un point de vue technique, est de s’appuyer entièrement sur les jetons matériels 2FA, basés sur le protocole U2F.
Les jetons U2F peuvent être achetés auprès de Yubico mais également directement auprès de Google sous la forme d’une clé Titan. Celles-ci étant basées sur le chiffrement à clé publique, elles ne transmettent pas de codes hameçonnables.
Idéalement, vous devez en acheter et vous inscrire pour deux clés (dont une de sauvegarde), ce qui pourrait vous coûter environ 45 €. Nous sommes d’avis que cet investissement en vaut la peine compte tenu du nombre de sites que vous pouvez sécuriser avec une clé.
Si vous pensez que ce type de sécurité semble coûteux, considérez le coût d’un email de phishing, ou bien d’un compte Facebook ou d’un compte Twitter auquel vous ne pourriez plus accéder ou que vous ne pourriez plus réinitialiser !
Billet inspiré de 2FA codes can be phished by new pentest tool, sur Sophos nakedsecurity.