Une vaste campagne de phishing contre des clients Microsoft 365 contourne l'authentification multifacteurs

Vraie clé, fausse porte
00
Logiciel 6 min
Une vaste campagne de phishing contre des clients Microsoft 365 contourne l'authentification multifacteurs
Crédits : matejmo/iStock
Vincent Hermann
Par Le jeudi 4 août 2022 à 13:11
Signaler une erreur

Microsoft raconte comment des pirates ont réussi à dérober des identifiants dans plus de 10 000 structures, grâce à un serveur se faisant passer comme légitime et mimant le comportement d’Azure Active Directory. Une façon de rappeler qu’en dépit de son intérêt évident, le MFA n’est pas l’alpha et l’oméga de la sécurité.

L’authentification à facteurs multiples est aujourd’hui une base de la sécurité. Les exemples sont nombreux et s’appuient, la plupart du temps, sur le smartphone. Le principe est simple : en plus de réclamer l’identifiant et le mot de passe, le service contacté exige une information supplémentaire, le plus souvent un code à six chiffres fourni par une application de type Authenticator ou envoyé par SMS. Dans certains cas, comme chez Blizzard, l’authentification est traitée par une application dédiée, qui génère une notification pour signaler la demande en attente.

Mais cette authentification, qui rend beaucoup plus complexe les accès frauduleux, ne les rend pas pour autant impossibles. Il n’existe pas de sécurité absolue, et c’était précisément l’objet d’un rapport publié récemment par Microsoft.

L’éditeur y décrit comment un groupe de pirates a réussi à voler des identifiants à un grand nombre d’entreprises et autres structures, en s’intercalant entre les clients et le serveur Azure Active Directory légitime, dans une attaque de type AiTM (adversary-in-the-middle, dérivée de man-in-the-middle). Cette campagne BEC (business email compromise) a touché des milliers d’entreprises en visant les comptes Microsoft 365, pour lesquelles elle était spécifiquement taillée.

Le fonctionnement du serveur

Le serveur agit comme mandataire (proxy) et s’intercale entre le client et le serveur authentique. L’objectif est alors d’attirer les personnes sur le faux site (spoofing) mimant le vrai et qui va servir pour le phishing. L’opération se déroule alors en huit étapes :

  1. La victime entre ses identifiants sur le faux site
  2. La requête est transmise au véritable serveur
  3. Un écran MFA est expédié en retour
  4. Le serveur mandataire transmet cet écran
  5. La victime donne l’information d’authentification supplémentaire
  6. L’information est relayée par le mandataire au vrai serveur
  7. Ce dernier émet en retour un cookie de session
  8. Le serveur mandataire redirige la victime vers une autre page et garde le cookie.
Microsoft 365 MFA phishing

Toutes les communications (du client au proxy, du proxy au serveur authentique) sont chiffrées au sein de sessions TLS. Tout est fait pour que le comportement du mandataire n’éveille aucun soupçon.

L’objectif est bien le cookie de session, ce qui nous renvoie directement à un précédent article sur le sujet. Avec ce cookie, les pirates ont entre leurs mains le fameux facteur d’authentification supplémentaire, ce qui leur permet de déverrouiller le compte visé et donc d’y puiser autant de données qu’ils le souhaitent.

Amener les victimes sur le faux serveur

Tout commence bien sûr par orienter les personnes ciblées vers le faux serveur. Il n’est pas possible en effet d’intercaler simplement le serveur mandataire au beau milieu de la liaison entre le client et le serveur authentique. Une action humaine est requise.

Pour y arriver, la technique est aussi simple qu’éprouvée : une campagne de phishing par email. Des courriels sont envoyés aux futures victimes. Ils contiennent une pièce jointe en HTML et un message indiquant qu’un message vocal a été reçu.

Microsoft 365 MFA phishing

Cliquer sur cette pièce jointe ouvre le navigateur par défaut sur une page présentant une barre de chargement, qui représente a priori le téléchargement d’un fichier MP3. Il n’en est rien. Cette barre de chargement est codée dans le fichier HTML. Après quoi, la page visitée informe l’utilisateur ou l’utilisatrice que le fichier audio sera disponible sous une heure.

Via un paramètre URL en base64, les pirates sont en mesure de savoir si leur page a bien été visitée. Une fois cette confirmation obtenue, la victime est redirigée vers une page d’authentification Microsoft 365 dont les champs sont préremplis.

Le rendu de cette page est effectué par le serveur mandataire, qui sert de pivot. C’est une fausse page : les identifiants envoyés sont collectés par les pirates et envoyés au serveur authentique, démarrant ainsi la boucle d’authentification mentionnée précédemment. Notez que c’est le seul moment où il y a preuve technique de la supercherie : l’URL n’est pas authentique. Problème, peu de personnes seront à même de s’en apercevoir.

Une fois à l’intérieur

Plus de 10 000 structures ont été touchées par cette campagne, la plupart des entreprises. Les dégâts observés vont du vol de données à la fraude au paiement.

Selon Microsoft, les comptes ainsi piratés étaient consultés une fois toutes les quelques heures. Les personnes derrière cette campagne se sont révélées malignes, allant jusqu’à créer des règles dans Outlook pour effacer automatiquement tous les échanges emails réalisés avec le serveur proxy.

Les conversations email ont été copieusement espionnées, avec une recherche systématique de nouvelles cibles potentielles. Des courriers étaient également envoyés aux victimes pour les amener vers des paiements frauduleux. Les réponses à ces emails ont également été vérifiées par les pirates. Ils y sont parvenus dans certains cas, mais il semble que peu se soient fait avoir.

L’authentification multifacteurs doit être complétée

La campagne, découverte par Microsoft, pose la question de l’efficacité de l’authentification multifacteurs (MFA). Selon l’éditeur toutefois, il n’est pas besoin de remettre en doute cette technique, qui fournit une indéniable couche supplémentaire de sécurité aux comptes.

Les clés sont en fait entre les mains des administrateurs. La MFA se répandant désormais rapidement, les pirates trouvent de nouveaux moyens de circonvenir ces barrières. Les campagnes de phishing s’adaptent et font appel à l’erreur humaine, qui sera toujours le maillon faible de la sécurité informatique.

Selon la firme toutefois, les entreprises ne sont pas démunies face au problème. Elle en profite pour faire de la publicité pour ses propres produits en signalant que Microsoft 365 Defender est capable de détecter les activités suspectes, comme le vol d’un cookie de session ou son utilisation ailleurs pour accéder au serveur Exchange.

Surtout, les administrateurs sont invités à se pencher sur l’accès conditionnel. La MFA est une bonne protection, mais elle gagne à être couplée à d’autres mesures. L’accès conditionnel permet, comme son nom l’indique, de poser des conditions avant de déverrouiller un accès. Il peut s’agir de signaux supplémentaires liés à l’identité, du statut de l’appareil utilisé (système d’exploitation, correctif spécifique, etc.) ou encore de l’adresse IP. Quand les conditions ne sont pas remplies, l’accès est refusé.

Pour Microsoft, la meilleure preuve de l’efficacité de la MFA est justement que les pirates ont dû s’adapter et développer l’approche « AiTM phishing ». Cependant, elle n’est plus suffisante en tant que telle. En plus de l’accès conditionnel, l’entreprise recommande l’utilisation de solutions complémentaires, résistantes au phishing et compatibles FIDO 2.0, basées sur des certificats. La surveillance de l’activité des boites email est également importante pour repérer tout ce qui sort de l’ordinaire, comme des changements de règles ou des accès depuis de nouveaux appareils ou lieux.

Cependant, comme nous l’avons dit récemment dans notre article sur les idées du think tank Digital New Deal pour l’éducation, les protections n’atteindront leur pleine efficacité qu’avec la formation adéquate des utilisateurs. Reconnaître une tentative de phishing est essentiel, d’autant qu’une fois formées, les personnes sont à même d’appréhender la plupart des situations.

Signaler une erreur
Ce contenu est désormais en accès libre

Il a été produit grâce au soutien de nos abonnés, l'abonnement finance le travail de notre équipe de journalistes

Déjà membre ? Connexion
nxi premiumDécouvrez l'offre Premium
Abonnement Professionnel
OFFRE DÉCOUVERTE
0,99 €Pour 48h d'abonnement
SANS ENGAGEMENTDésabonnement possible à tout moment
8 €Paiement mensuel
1 ANBénéficiez de 2 mois offerts
80 €soit 6,67 € par mois
2 ANSBénéficiez de 6 mois offerts
144 €soit 6,00 € par mois

2000 - 2023 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0326 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact

abonnez-vousS'abonner

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

ABONNÉS

7310

Abonnez-vous
à partir de 6,00 € / mois
Faire un don défiscalisable
Nos catégories
Composants Culture Numérique Droit Économie IH Internet Logiciel Mobilité Périphériques Réseau Systèmes Tech #LeBrief Next INpact
Nos rubriques
Dossiers Guides Tests Tutoriels Accès Libre Flock
Nous suivre
Flux RSS Newsletter Facebook LinkedIn Twitter Youtube
Nos services
Bons plans Boutique de Goodies
Nos partenaires
Tous Les Forfaits
La communauté et le site
Contact Dons défiscalisables Discord Forums Déontologie Vie privée GitHub Votre compte Règles de modération Vos commentaires