Neuf façons de contourner l’AMF (et pourquoi les mots de passe comptent encore)
Table of Contents
Parmi toutes les recommandations de sécurité d’accès que vous rencontrez, l’authentification multifacteur (AMF) est sans doute la plus cohérente. Et il y « a de bonnes raisons pour lesquelles de nombreuses recommandations de bonnes pratiques et cadres de conformité placent désormais l’AMF en tête de liste des configurations de sécurité nécessaires pour aider à protéger contre les compromissions. Selon Microsoft, l’AMF peut bloquer 99 % des attaques de compromission de comptes. Elle peut être la couche cruciale empêchant une violation, car les mots de passe seuls sont souvent un jeu d’enfant pour les pirates. Cependant, l’AMF n » est pas infaillible – et un mot de passe faible ou compromis reste presque toujours un facteur clé lorsqu’un utilisateur est compromis. Il est important de ne pas s’appuyer uniquement sur les facteurs d’authentification sans mot de passe. La meilleure stratégie consiste à s’assurer que les mots de passe et les processus de connexion de vos utilisateurs finaux sont sécurisés.
Contournement de l’AMF : comment l’AMF peut être compromise
Nous recommandons toujours de protéger les connexions Windows avec l’AMF, ainsi que les connexions RDP et les connexions VPN si votre organisation les utilise. Cependant, les organisations doivent être conscientes que l’AMF n’est pas une solution miracle pour les mauvais mots de passe. Elle peut être contournée. Nous passerons en revue neuf façons dont l’AMF peut être contournée et pourquoi les organisations doivent rester conscientes de ce à quoi l’AMF ajoute généralement une protection en premier lieu – un mot de passe.
1. Bombardement d’invites AMF
Une fonctionnalité des applications d’authentification modernes est qu’elles fournissent une notification push qui invite l’utilisateur à accepter ou refuser la demande de connexion. Bien que cela soit pratique pour l’utilisateur final, les attaquants peuvent l’utiliser à leur avantage. S’ils ont déjà compromis un mot de passe, ils peuvent tenter de se connecter et générer une invite AMF sur l’appareil de l’utilisateur légitime. Ils espèrent alors que l’utilisateur pense qu’il s’agit d’une invite légitime et l’accepte ou se lasse des invites continues et l’accepte pour arrêter les notifications de son téléphone. C’est ce qu’on appelle le bombardement d’invites AMF – vous pouvez en apprendre davantage sur la façon de s’en défendre ici.
Les renseignements sur les menaces des KrakenLabs d’Outpost24 nous ont été partagés pour montrer comment le groupe de pirates 0ktapus utilise avec succès le bombardement d’invites. Après avoir compromis les identifiants de connexion par hameçonnage SMS, ils continuent avec le processus d’authentification depuis une machine qu’ils contrôlent et demandent immédiatement un code d’authentification multifacteur (AMF). Ils génèrent ensuite une chaîne infinie d’invites AMF jusqu’à ce que l’utilisateur en accepte une par fatigue ou frustration. Les attaquants peuvent également utiliser l’ingénierie sociale pour pousser une victime à accepter une invite. En 2022, un pirate s’est fait passer pour un membre de l’équipe de sécurité d’Uber sur Slack, obtenant l’accès en convainquant un contractuel d’accepter une notification push sur son téléphone.
0ktapus est également connu pour utiliser des appels téléphoniques, des SMS et/ou Telegram pour se faire passer pour le personnel informatique. Ils ont demandé aux utilisateurs soit de naviguer vers un site web de collecte d’identifiants contenant le logo de l’entreprise, soit de télécharger un outil d’administration à distance. Si l’AMF était activée, l’adversaire engagerait soit la victime directement en la convainquant de partager son mot de passe à usage unique, soit indirectement en exploitant la fatigue des notifications push AMF.
2. Ingénierie sociale du service d’assistance
Les attaquants peuvent utiliser l’ingénierie sociale pour tromper les services d’assistance afin qu’ils contournent complètement l’AMF en prétendant avoir oublié leur mot de passe et en obtenant l’accès via un appel téléphonique. Si les agents du service d’assistance n’appliquent pas la vérification à ce stade, ils pourraient involontairement donner à un pirate un point d’ancrage initial dans l’environnement de leur organisation.
Ce scénario exact s’est récemment déroulé dans l’attaque contre MGM Resorts. Après avoir obtenu l’accès initial en appelant frauduleusement le service d’assistance pour une réinitialisation de mot de passe, le groupe d’attaque (Scattered Spider) a pu utiliser son point d’ancrage dans l’environnement pour lancer une attaque de rançongiciel. Cela souligne l’importance pour les organisations d’avoir les moyens en place pour vérifier l’identité des utilisateurs appelant le service d’assistance en prétendant avoir besoin de comptes réinitialisés ou déverrouillés.
0ktapus est également connu pour recourir au ciblage du service d’assistance d’une organisation si le bombardement d’invites AMF s’avère infructueux. L’acteur de menace contacte le service d’assistance d’une organisation en prétendant être la victime, déclarant que son téléphone est inutilisable ou égaré, et demande d’inscrire un nouveau dispositif d’authentification AMF contrôlé par l’attaquant.
Préoccupé par les failles de sécurité du service d’assistance ?
3. Attaques d’adversaire au milieu (AITM)
Les attaques AITM trompent essentiellement un utilisateur en lui faisant croire qu’il se connecte à un réseau, une application ou un site web légitime, alors qu’en fait il saisit ses détails dans un sosie frauduleux. Cela signifie que les pirates peuvent intercepter les mots de passe et manipuler les invites AMF et d’autres types de sécurité.
Par exemple, un e-mail d’hameçonnage ciblé pourrait arriver dans la boîte de réception d’un employé en se faisant passer pour une source connue. Le lien sur lequel ils cliquent les mènera à un faux site où les pirates récolteront leurs identifiants pour les réutiliser. En théorie, l’AMF arrêterait cela en exigeant une seconde forme d’authentification. Cependant, les attaquants utiliseront une tactique appelée « transmission 2FA » où dès que la victime a saisi ses identifiants dans le faux site, l’attaquant saisit ces mêmes détails dans le site légitime. Cela déclenchera une demande AMF, que la victime attend et acceptera probablement, donnant à l’attaquant un accès complet.
Le groupe de menaces Storm-1167 est connu pour créer des pages d’hameçonnage qui imitent la page d’authentification de Microsoft afin d’inciter la victime à ajouter ses identifiants au site web. Ensuite, une autre page d’hameçonnage, cette fois imitant l’étape AMF du processus de connexion Microsoft, est affichée à la victime, qui saisit le code AMF et accorde aux attaquants l’accès à son compte. De là, les pirates ont un accès complet à un compte e-mail légitime et peuvent l’utiliser comme plateforme pour une attaque d’hameçonnage à plusieurs étapes.
4. Détournement de session
Le détournement de session est une attaque de contournement AMF similaire à une attaque AITM, car elle implique qu’un attaquant se positionne au milieu d’un processus légitime et l’exploite. Lorsqu’un utilisateur s’authentifie en utilisant son mot de passe et l’AMF, de nombreuses applications utilisent un cookie ou un jeton de session pour se souvenir que l’utilisateur est authentifié et accorder l’accès aux ressources protégées. Le cookie ou le jeton empêche l’utilisateur d’avoir à s’authentifier plusieurs fois. Mais si un attaquant utilise un outil tel qu’Evilginx pour voler le jeton de session ou le cookie, il peut se faire passer pour un utilisateur authentifié, contournant efficacement l’authentification multifacteur configurée sur le compte.
5. Échanges de cartes SIM
Les attaquants savent que l’AMF s’appuie souvent sur les téléphones portables comme « chose que vous possédez » pour compléter un processus d’authentification. Une attaque d’échange de carte SIM est lorsque les cybercriminels trompent les fournisseurs de services pour qu’ils transfèrent les services vers une carte SIM qu’ils contrôlent, détournant efficacement le service cellulaire et le numéro de téléphone de la victime. Cela permet aux attaquants de recevoir les invites AMF sur le service détourné et de s’accorder l’accès.
Après avoir été compromis au début de 2022, Microsoft a publié un rapport détaillant les tactiques employées par le groupe de menaces LAPSUS$. Selon le rapport, LAPSUS$ consacre d’importantes campagnes d’ingénierie sociale pour obtenir des points d’ancrage initiaux dans les organisations. L’une de leurs techniques favorites consiste à cibler les utilisateurs avec des attaques d’échange de cartes SIM, ainsi que le bombardement d’invites AMF et la réinitialisation des identifiants d’une cible par l’ingénierie sociale du service d’assistance.
6. Exportation de jetons générés
Une autre tactique que les attaquants peuvent utiliser consiste à compromettre le système back-end qui génère et valide l’authentification multifacteur. Dans une attaque audacieuse en 2011, les attaquants ont pu voler les « graines » possédées par RSA pour générer des jetons SecurID (porte-clés générateurs de codes utilisés pour l’authentification multifacteur). Une fois les valeurs de graines compromises, les attaquants ont pu cloner les jetons SecurID et même créer les leurs.
Parfois, les attaquants chercheront l’aide d’initiés malveillants, qui sont payés pour fournir des jetons de session pour l’approbation AMF. Le canal Telegram du groupe de menaces LAPSUS$ a confirmé qu’ils ont effectivement acheté des accès à un employé d’entreprise dans le passé – et recherchent activement d’autres initiés pour travailler comme fournisseurs. Microsoft a également signalé que LAPSUS$ a pu obtenir des mots de passe et des jetons de session avec l’utilisation de RedLine stealer. Ces identifiants et jetons de session sont ensuite vendus sur des forums souterrains.
Il existe des marchés en ligne entiers construits autour de l’achat et de la vente de données d’utilisateurs. Intéressé à savoir combien de vos employés utilisent actuellement un mot de passe compromis ou violé ? Effectuez une analyse rapide en lecture seule de votre Active Directory avec notre outil gratuit : Specops Password Auditor.
7. Compromission de point de terminaison
Une façon d’éviter complètement l’AMF est de compromettre un point de terminaison avec un logiciel malveillant. L’installation de logiciels malveillants sur un appareil permet aux pirates de créer des sessions fantômes suite à des connexions réussies, de voler et d’utiliser des cookies de session, ou d’accéder à des ressources supplémentaires. Si le système en question permet aux utilisateurs de rester connectés après une authentification initiale (en générant un cookie ou un jeton de session), les pirates pourraient conserver leur accès pendant une période significative.
Les pirates peuvent également chercher à exploiter les paramètres de récupération et les procédures de sauvegarde qui pourraient être moins sûres que les processus AMF. Les gens oublient souvent les mots de passe et ont régulièrement besoin d’accès nouveaux ou modifiés. Par exemple, une méthode de récupération courante consiste à envoyer un lien par e-mail à une adresse e-mail secondaire (ou un SMS avec un lien). Si cette adresse de sauvegarde ou ce téléphone est compromis, les pirates obtiennent un accès complet à leur cible.
8. Exploitation du SSO
L’authentification unique (SSO) est pratique pour les utilisateurs car ils n’ont besoin de s’authentifier qu’une seule fois. Cependant, elle peut être exploitée par des pirates qui l’utilisent pour se connecter à un site nécessitant seulement un mot de passe compromis, puis utilisent le SSO pour accéder à d’autres sites et applications qui nécessiteraient normalement l’AMF. Une forme sophistiquée de cette technique a été utilisée dans le piratage SolarWinds de 2020, où les pirates ont exploité SAML (une méthode d’échange d’authentification entre plusieurs parties dans le SSO). Les pirates ont obtenu un point d’ancrage initial, puis ont eu accès aux certificats utilisés pour signer les objets SAML. Avec ceux-ci, ils ont pu se faire passer pour n’importe quel utilisateur qu’ils voulaient, avec un accès complet à toutes les ressources SSO.
9. Recherche de déficiences techniques
Comme tous les logiciels, la technologie AMF a des bogues et des faiblesses qui peuvent être exploités. La plupart des solutions AMF ont eu des exploits publiés qui ont temporairement exposé des opportunités de piratage. Par exemple, 0ktapus a exploité CVE-2021-35464 pour exploiter un serveur d’application ForgeRock OpenAM, qui fait face aux applications web et aux solutions d’accès à distance dans de nombreuses organisations. Cela souligne l’importance d’encourager les employés à mettre à jour et corriger régulièrement leurs appareils. Ces risques devraient également informer les politiques des organisations sur l’informatique fantôme et BYOD (apportez vos propres appareils).
Les organisations devraient-elles encore utiliser l’AMF ?
Absolument ! L’AMF est fortement recommandée et devrait toujours être une couche clé de défense dans la stratégie de cybersécurité de toute organisation et est fortement recommandée par le NIST. Nous recommandons d’utiliser une solution telle que Specops Secure Access pour sécuriser les authentifications pour la connexion Windows, RDP, RADIUS et les connexions VPN. Ce qu’il faut retenir, c’est que l’AMF n’est pas infaillible, alors assurez-vous d’appliquer également une sécurité de mot de passe forte pour une approche véritablement en couches. Si vos utilisateurs finaux ne sont toujours pas configurés avec une AMF fiable, contactez-nous et nos experts peuvent vous conseiller.
Pourquoi les mots de passe comptent encore
Passer complètement sans mot de passe est peu susceptible d’être une option pour la plupart des organisations. Et comme nous l’avons souligné, l’AMF ne suffit pas pour simplement oublier la sécurité des mots de passe puisque des violations d’AMF se produisent également. Souvent, la compromission de compte commence par un mot de passe faible ou violé. Une fois qu’un attaquant a un mot de passe, il peut alors se concentrer sur la défaite de l’AMF. Les mots de passe faibles augmentent considérablement les chances que les cybercriminels finissent par violer les comptes – et même les mots de passe forts n’offrent aucune protection s’ils ont déjà été compromis.
Specops Password Policy vous permet non seulement d’appliquer des politiques Active Directory fortes pour éliminer les mots de passe faibles, mais analyse également en continu les mots de passe qui sont devenus compromis, en raison de violations, d’hameçonnage ou de réutilisation de mots de passe. L’AMF est alors la couche de sécurité supplémentaire qu’elle est censée être, plutôt qu’une solution miracle sur laquelle vous comptez entièrement.
Intéressé à voir comment Specops Password Policy pourrait fonctionner pour votre organisation ? Avez-vous des questions sur la façon dont vous pourriez adapter cela à vos besoins ? Contactez-nous.
(Dernière mise à jour le 22/07/2025)