Des chercheurs en sécurité ont créé une nouvelle attaque de rétrogradation FIDO contre Microsoft Entra ID qui incite les utilisateurs à s’authentifier avec des méthodes de connexion plus faibles, ce qui les rend vulnérables au phishing et au détournement de session.
Ces canaux de connexion plus faibles sont vulnérables aux attaques de phishing de l’adversaire au milieu qui utilisent des outils comme Evilginx, permettant aux attaquants d’arracher des cookies de session valides et de détourner les comptes.
Bien que l’attaque ne prouve pas une vulnérabilité dans FIDO lui-même, elle montre que le système peut être contourné, ce qui est une faiblesse cruciale.
Cela est particulièrement inquiétant compte tenu de l’adoption accrue de l’authentification basée sur FIDO dans les environnements critiques, conséquence de la technologie présentée comme extrêmement résistante au phishing.
FIDO passkeys est une méthode d’authentification sans mot de passe basée sur les normes FIDO2 et WebAuthn, conçue pour éliminer les faiblesses des mots de passe et de l’authentification multifacteur traditionnelle (MFA).
Lorsqu’un utilisateur enregistre une clé d’accès, son appareil génère une paire de clés (privée + publique), qui sont utilisées pour résoudre un défi aléatoire et unique lors de la connexion aux services en ligne, vérifiant l’identité de l’utilisateur.
Comme seul l’appareil de l’utilisateur détient la bonne clé privée, qui n’est transmise nulle part pendant le processus de connexion, il n’y a rien que les acteurs du phishing puissent intercepter.
Déclassement et contournement de FIDO
La nouvelle attaque de rétrogradation créée par les chercheurs de Proofpoint utilise un hameçonnage personnalisé dans le framework Evilginx adversary-in-the-middle (AiTM) pour usurper un agent utilisateur de navigateur qui ne prend pas en charge FIDO.
Plus précisément, les chercheurs usurpent Safari sur Windows, qui n’est pas compatible avec l’authentification basée sur FIDO dans Microsoft Entra ID.
« Cet écart de fonctionnalité apparemment insignifiant peut être exploité par des attaquants », explique Yaniv Miron, chercheur chez Proofpoint.
« Un acteur menaçant peut ajuster l’AiTM pour usurper un agent utilisateur non pris en charge, qui n’est pas reconnu par une implémentation FIDO. Par la suite, l’utilisateur serait obligé de s’authentifier via une méthode moins sécurisée. Ce comportement, observé sur les plateformes Microsoft, est une mesure de sécurité manquante. »
Lorsque la cible clique sur un lien de phishing envoyé par e-mail, SMS ou une invite de consentement OAuth, elle est dirigée vers un site de phishing exécutant le phishlet personnalisé. Comme il s’agit d’une attaque AiTM, le formulaire d’identification Microsoft Entra légitime est mandaté par la plate-forme de phishing et montré à l’utilisateur ciblé.
Étant donné que l’hameçonnage usurpe un agent utilisateur de navigateur non pris en charge, Microsoft Entra ID désactive l’authentification FIDO et renvoie à la place une erreur.
Cette erreur invite l’utilisateur à choisir une autre méthode de secours de vérification, telle que l’application Microsoft Authenticator, le code SMS ou l’OTP.
Si l’utilisateur utilise l’une des méthodes alternatives, le proxy AiTM intercepte à la fois les informations d’identification de son compte et le jeton MFA ou le cookie de session.
L’attaquant importe ensuite le cookie volé dans son propre navigateur, accordant un accès complet au compte de la victime, qui était théoriquement résistant au phishing.
Proofpoint affirme qu’il n’a encore observé aucun cas d’utilisation de cette technique par des pirates informatiques dans la nature, car les acteurs de la menace se concentrent toujours sur des cibles plus faciles telles que les comptes dépourvus de protection MFA. Pourtant, le risque est important, en particulier dans les attaques limitées et hautement ciblées.
Pour atténuer les risques liés à cette menace émergente, envisagez de désactiver les méthodes d’authentification de secours pour votre compte ou d’activer des vérifications et des confirmations supplémentaires lorsque de tels processus sont déclenchés.
Si un processus de connexion demande soudainement une méthode différente au lieu d’un mot de passe enregistré, c’est un drapeau rouge, et les utilisateurs doivent abandonner et vérifier via des canaux officiels et de confiance.
En juillet, les chercheurs d’Expel ont présenté une autre attaque de rétrogradation de FIDO baptisée « PoisonSeed », dans laquelle un site de phishing volait les informations d’identification de la cible et initiait un flux d’authentification inter-appareils, générant un code QR sur la page de connexion du service réel, incitant la cible à le scanner pour approuver une demande de connexion à partir d’un appareil non autorisé.
Bien que le concept soit intéressant, les chercheurs ont découvert plus tard qu’il était pratiquement irréalisable en raison des exigences de proximité, ce qui a entraîné l’échec des demandes d’authentification frauduleuses.