Une campagne de phishing contourne l’authentification multifacteurs

Microsoft raconte comment des pirates ont réussi à dérober des identifiants dans plus de 10 000 structures, grâce à un serveur se faisant passer comme légitime et mimant le comportement d’Azure Active Directory. Une façon de rappeler qu’en dépit de son intérêt évident, le MFA n’est pas l’alpha et l’oméga de la sécurité.

L’authentification à facteurs multiples est aujourd’hui une base de la sécurité. Les exemples sont nombreux et s’appuient, la plupart du temps, sur le smartphone. Le principe est simple : en plus de réclamer l’identifiant et le mot de passe, le service contacté exige une information supplémentaire, le plus souvent un code à six chiffres fourni par une application de type Authenticator ou envoyé par SMS. Dans certains cas, comme chez Blizzard, l’authentification est traitée par une application dédiée, qui génère une notification pour signaler la demande en attente.

Mais cette authentification, qui rend beaucoup plus complexe les accès frauduleux, ne les rend pas pour autant impossibles. Il n’existe pas de sécurité absolue, et c’était précisément l’objet d’un rapport publié récemment par Microsoft.

L’éditeur y décrit comment un groupe de pirates a réussi à voler des identifiants à un grand nombre d’entreprises et autres structures, en s’intercalant entre les clients et le serveur Azure Active Directory légitime, dans une attaque de type AiTM (adversary-in-the-middle, dérivée de man-in-the-middle). Cette campagne BEC (business email compromise) a touché des milliers d’entreprises en visant les comptes Microsoft 365, pour lesquelles elle était spécifiquement taillée.

En savoir plus