La MFA n’est pas la solution miracle à la sécurisation de tous vos comptes ! Couverte d’éloge et conseillée systématiquement lorsqu’on parle de connexion, l’authentification à facteur multiple n’est pas si infaillible qu’on le croit...
Le monde des hackers n’est pas si différent du nôtre. La répartition des tâches et des métiers y est aussi très diversifiée. Tous les hackers ne sont pas des machines à construire des malwares, certains sont plus des businessmans, d’autres des opérationnels capable d’utiliser les malwares et mener des attaques à la perfection. Alors, on s’organise. Ceux qui conçoivent les malwares les vendent à grande échelle à ceux qui réalisent les attaques. Du commerce somme toute classique.
Depuis quelques temps, des boîtes à outils pour contourner la MFA sont vendues sur le darknet. Plus de 1200 boîtes à outils différentes ont été observées et elles ont toutes leurs petites spécificités. La plupart d’entre elles permettent de récupérer les codes reçus par SMS qui sont faciles à intercepter lorsqu’on connaît le numéro de téléphone de la victime.
Dans cet article, je vous explique une des autres techniques qu’utilisent les hackers pour pirater vos comptes protéger par la MFA...
L’ingénierie sociale à la base de tout
Cette technique permet de contourner la plupart des process de MFA classiques. Il commence par une attaque simple d’ingénierie sociale. L’utilisateur se connecte sur un site sur lequel il doit rentrer ses identifiants puis son mot de passe. Sauf que pour ce faire, le hacker utilise un proxy inverse. Kesako un proxy inverse ?
🔮 Notion clé 🔮
Un proxy est un composant informatique qui joue le rôle d’intermédiaire entre deux serveurs pour faciliter les échanges entre eux. Le proxy inverse est un type de serveur placé entre l’utilisateur et un serveur Internet. L’utilisation la plus répandue du proxy inverse est la répartition du trafic vers le serveur Internet pour absorber le volume de connexion à un site Internet.
Ici le proxy est utilisé pour deux choses. Premièrement, répliquer à l’identique le site auquel pense accéder l’utilisateur par un site vitrine dont la seule différence est l’URL. Pour la victime, l’expérience est exactement la même que sur le site original. La personne piégée va donc entrer son identifiant, son mot de passe, et lancer le processus de double authentification. La connexion se fait sur le vrai site mais l’utilisateur n’accède pas à son espace. C’est là que le proxy intervient une seconde fois.
Attention ça devient technique...
Le proxy transmet la session via un autre logiciel au hacker qui lui accède au vrai site. Il a donc le contrôle de l’espace de la victime. Il peut ensuite modifier les informations personnelles de l’utilisateur (mots de passe, adresse mail, numéro de téléphone, etc.). Il accède surtout à toutes les données disponibles sur le site. Un pirate trouvera et exploitera le maximum des données qu’il récupère, pas besoin de coordonnée bancaire pour que cela devienne dangereux pour vous !
🔮 Tips 🔮
Vous l’avez compris il s’agit ici d’ingénierie sociale, la principale faille de cette technique se situe dans l’URL du site vitrine. Soyez toujours bien vigilant à ce détail qui semble facile.
Petit challenge pour vous sur une journée : comptez combien de fois vous regarder l’URL d’un site sur lequel vous êtes déjà ou sur lequel vous êtes arrivé en cliquant sur un bouton. On se rend vite compte qu’on ne le fait pas beaucoup. Alors si un proxy recopie à l’identique le site sur lequel on veut aller, difficile de s’en apercevoir.
Attention, la MFA reste le meilleur moyen de sécuriser ses comptes. Le hacker a besoin de beaucoup d’informations personnelles sur vous pour que cela fonctionne (numéro de téléphone, adresse mail, sites utilisés, etc.). Utiliser la MFA est un must pour toutes les applications sensibles que vous utilisez comme votre adresse mail, vos comptes bancaires, réseaux sociaux, ...