Le CERT-FR a publié il y a quelque temps un document pour alerter les entreprises et organisations du risque planant autour des cookies de session. Ces derniers peuvent en effet être autant de points d’entrée dans les réseaux, permettant alors aux assaillants de dérober des données sensibles.
Le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques est un organisme de l’ANSSI dont la mission est clairement indiquée par son nom. En première ligne face aux incidents de cybersécurité, il a été créé pour soutenir les institutions de l’État, Opérateurs d’Importance Vitale (OIV), juridictions, autorités indépendantes ou encore collectivités territoriales. Il est également un important point de repère pour les entreprises.
Il communique régulièrement sur certains aspects. Le 25 mai, une alerte spécifique a été émise sur les cookies de session. Le CERT-FR publie régulièrement ce genre de document pour attirer l’attention du public (au sens large) sur un aspect technique spécifique.
Pourquoi les cookies de session ? Parce qu’en dépit de leur taille insignifiante, ils agissent comme des clés dans certains scénarios d’attaque. Le Centre préfère prévenir et inviter à se pencher sérieusement sur leur gestion. Même si, comme on va le voir, c’est déjà trop tard pour un certain nombre de structures.
Qu’est-ce qu’un cookie de session ?
Un cookie de session n’est pas très différent d’un cookie classique. Il s’agit d’un minuscule fichier de quelques kilo-octets à peine contenant une information qui ne sert qu’une finalité : maintenir un lien entre un site et un navigateur. La maintenance de cet état est très utile pour se rappeler que le butineur est déjà passé par là, par exemple pour retenir les préférences d’une personne sans passer par un compte dédié.
Plus spécifiquement, le cookie de session est là pour marquer qu’une authentification a déjà eu lieu. Plutôt que de redemander à l’internaute l’identifiant et le mot de passe, le navigateur se repère au cookie et voit qu’un compte a déjà été renseigné. Il se réfère à l’information présente pour sauter une étape dont la répétition serait rapidement rébarbative.
Mais comme souvent quand il s’agit de simplifier un processus, la sécurité peut en prendre un coup. Puisque les cookies de session peuvent servir à authentifier une personne sur un site, ils peuvent devenir eux-mêmes des cibles pour les pirates en tous genres.
Bien utilisé, un cookie de session peut donner accès à de précieuses ressources sur un réseau. Et pour cause : « ils permettent de contourner la plupart des solutions d’authentification multifacteurs, puisque les sessions dérobées sont déjà authentifiées ». Ils peuvent également être utilisés pour une latéralisation – exécution de code sur une machine distante – dans un environnement mixte, comprenant une partie de l’infrastructure dans le cloud.
Avec le temps, des logiciels malveillants ont été développés dans le but exprès de voler ces cookies de session. Nommés « stealers », ils automatisent le processus. En outre, ce type d’opération est devenu si courant que l’on peut acheter ces cookies à faible prix sur des boutiques spécialisées comme Genesis, Russian Market, ou encore Black Hat Forum. Cette forte disponibilité a invité le CERT-FR à faire le point.
Les cookies très utilisés dans les attaques de ces dernières années
Le groupe LAPSUS$ a copieusement fait parler de lui au cours de l’année écoulée par plusieurs opérations de piratage d’envergure sur des entreprises aussi connues que EA et NVIDIA.
Dans le cas d’EA, le piratage aurait été rendu possible par l’achat d’un cookie de session pour la très modique somme de 10 dollars, fournissant un premier vecteur d’intrusion. De là, le ou les pirates ont pu se connecter au Slack de l’entreprise et déclencher des demandes au support. Ils ont ainsi pu obtenir des jetons d’authentification et contourner l’authentification à facteurs multiples, leur ouvrant grandes les portes du réseau. Ils ont alors dérobé le code source de FIFA 2021 et du moteur de jeu Frostbite, ainsi qu’un nombre indéterminé d’autres outils internes et lots de données pour un total de 780 Go.
Le CERT-FR attire également l’attention sur le cas d’Okta, dont le piratage en mars a une nouvelle fois attiré l’attention sur les cookies de session. OKTA est spécialisée dans la gestion d’identités et d’accès. Le modus operandi avait été peu ou prou le même, à ceci près que l’intrusion avait commencé chez Sitel, sous-traitant d’Okta. Finalement, le piratage avait eu peu d’effet, mais les retombées potentielles d’une telle attaque auraient pu être, on l’imagine, très sérieuses.
D’autres exemples sont cités. La désormais célèbre compromission de SolarWinds en 2020 aurait démarré avec l’utilisation d’un cookie de session. Ces derniers se retrouvent fréquemment associés au mode opératoire NOBELIUM ou d’autres modes proches, comme DARK HALO.
Pour ce dernier, la société Volexity a enquêté sur plusieurs incidents ayant visé un think tank (non nommé). L’un des moyens employé a consisté à voler une clé privée associée à l’outil Duo, permettant la génération de cookies de session reconnus valides par Outlook, dont l’authentification à deux facteurs était justement déléguée à Duo MFA.
La société de cybersécurité Mandiant – qui avait notamment été engagée par Viasat pour enquêter sur son intrusion – a de son côté analysé le mode opératoire UNC2452, utilisé notamment lors de l’attaque d’une structure. Là encore, un cookie de session volé a permis de s’infiltrer dans l’environnement Microsoft 365. Comment ? Parce que certains postes avaient été infectés avec CryptBot. Selon Mandiant, les auteurs de l’attaque se seraient procuré le fameux cookie auprès des concepteurs du malware.
Les exemples fournis par le Centre mettent en évidence une menace accrue avec la généralisation du SSO (Single Sign-On) des solutions de type Microsoft 365 et du cloud.
Réduire les risques
L’avertissement du CERT-FR invite à la méfiance et à resserrer la vis. Il ne s’agit pas de pointer une défaillance inhérente aux cookies de session, à moins de vouloir déplacer radicalement le curseur vers la sécurité maximale, auquel cas de tels cookies devraient être totalement interdits dans certains cas spécifiques.
De manière générale, le Centre de veille recommande d’évaluer la situation pour chaque type d’accès. Dans le cas d’une session d’authentification permettant d’accéder à des informations sensibles, la durée de conservation du cookie ne devrait pas dépasser « quelques minutes tout au plus ». Et oui, pour les opérations considérées comme les plus sensibles, ne pas hésiter à exiger une réauthentification.
Parmi les autres conseils, on trouve également la journalisation des actions associées à une session ou, dans le cas d’une authentification mutuelle (les deux partis doivent se prouver leur identité), vérifier pour chaque requête qu’un identifiant de session est toujours associé au même certificat client. En fonction de la situation et de la structure, le CERT-FR évoque la possibilité d’installer des mesures de détection d’usurpation de session. L’une des plus simples consiste à comparer l’adresse IP et les horaires de connexion. Dans le cas d’un résultat incohérent, une réauthentification peut être exigée.
Ces mesures doivent s’accompagner de toutes celles recommandées dans d’autres pans de la sécurité informatique, notamment pour la gestion des droits utilisateurs : comptes nominatifs, vérification systématique des autorisations lors d’un accès à une ressource protégée, respect du principe du moindre privilège, gestion formalisée du cycle de vie des comptes, journalisation des accès et ainsi de suite.
Le CERT-FR note que les opérations de piratage deviennent particulièrement « dévastatrices » quand elles réussissent à remonter jusqu’à la couche d’administration, les assaillants récupérant alors d’importants privilèges. Le Centre recommande de dédier des postes spécifiques à l’administration, sans exposition aux usages bureautiques, à la navigation web ou aux messageries, avec toujours ce leitmotiv : plus un système a de privilèges, plus ses usages doivent être restreints.
Plusieurs guides de l’ANSSI sont mis en avant pour une documentation plus complète :
- Le guide d’hygiène numérique
- Les Recommandations pour la mise en œuvre d'un site web
- Les Recommandations relatives à l’authentification multifacteur et aux mots de passe
- Les Recommandations relatives à l'administration sécurisée des systèmes d’information
Et le grand public alors ?
La communication du CERT-FR s’adresse essentiellement aux entreprises et plus généralement aux structures assez grandes pour posséder un réseau informatique pouvant abriter des informations de valeur.
Toute la question est là, expliquant pourquoi, dans ce type de scénario, le grand public n’est presque jamais concerné. Une attaque informatique exige des compétences, des moyens et du temps, qui ne sont en général mis en mouvement que contre une cible qui aurait quelque donnée ou renseignement capable de faire l’objet d’une vente ou d’un chantage.
Comme on a pu le voir toutefois avec certaines opérations de spearphishing (ou harponnage), des groupes de pirates peuvent préparer méticuleusement une opération s’appuyant sur une personne clé de l’organisation et qui constituera le maillon faible, le fameux facteur humain. Pas besoin que cette personne soit au sommet de la hiérarchie ou occupe un poste clé. Comme avec le vol de cookie de session, les assaillants cherchent un point d’entrée.
