Alerte concernant une attaque Sneaky 2FA pour les utilisateurs de M365.
getty
Mis à jour le 19 janvier 2025 : Cet article, initialement publié le 18 janvier, inclut maintenant des conseils supplémentaires de mitigationfourmis par des experts en cybersécurité concernant la dernière attaque Sneaky 2FA contournant l’authentification à deux facteurs.
Il est impossible d’échapper à la menace du phishing, comme en témoignent les avertissements adressés aux utilisateurs de WhatsApp et PayPal. Les utilisateurs de Gmail et Outlook ne sont pas non plus épargnés par ces alertes, et l’ajout de techniques de contournement de l’authentification à deux facteurs complique encore davantage la situation sécuritaire. À présent, des chercheurs en sécurité français ont révélé une nouvelle attaque intermédiaire ciblant les comptes Microsoft 365, dérobant des informations d’identification tout en contournant les protections 2FA. Voici ce qu’il faut savoir.
L’alerte concernant l’attaque Sneaky 2FA
Un groupe de cybercriminalité connu sous le nom de Sneaky Log commercialise depuis la fin de l’année dernière un kit de phishing capable de contourner l’authentification à deux facteurs, dénommé Sneaky 2FA. Les chercheurs de la société française de cybersécurité Sekoia ont maintenant publié un rapport alertant sur le fonctionnement de ce kit, qui opère via un service de bots sur Telegram, ciblant les détenteurs de comptes Microsoft 365.
« Les clients auraient accès à une version obfuscée et licenciée du code source qu’ils déploient de manière indépendante, » ont déclaré les chercheurs Sekoia, Quentin Bourgue et Grégoire Clermont. « Actuellement, les pages de phishing de Sneaky 2FA sont hébergées sur des infrastructures compromises, impliquant fréquemment des sites WordPress et d’autres domaines contrôlés par les attaquants. » Le coût est de 200 dollars par mois, avec des réductions possibles en fonction de la durée de l’abonnement.
Comme beaucoup de ces kits, Sneaky 2FA récolte les cookies de session Microsoft 365 pour contourner le processus 2FA lors d’attaques ultérieures, rendant ainsi l’authentification légitime aux yeux de la session.
Elad Luz, responsable de la recherche chez Oasis Security, a précisé que les acteurs de la menace avaient « flouté des captures d’écran de pages web Microsoft pour créer un fond de connexion convaincant, » ce qui donnait l’impression que les utilisateurs accéderaient à du contenu légitime après une connexion réussie.
De son côté, Stephen Kowski, directeur technique chez SlashNext Email Security+, a ajouté que « les aspects sournois de ce kit incluent sa capacité sophistiquée à remplir automatiquement les adresses email des victimes, sa capacité à éviter la détection via les défis Cloudflare Turnstile, et sa redirection astucieuse des outils de sécurité vers des pages Wikipédia, » soulignant qu’il est « particulièrement dangereux pour les environnements Microsoft 365. »
J’ai contacté Microsoft pour obtenir un commentaire à ce sujet.
Atténuer les attaques de contournement de l’authentification à deux facteurs
L’interception des informations d’identification et des codes 2FA en temps réel permet aux attaquants de contourner ce que Patrick Tiquet, vice-président de la sécurité et de l’architecture chez Keeper Security, qualifie « d’une des couches de protection des comptes les plus sollicitées. » Tiquet a averti que la tromperie et la sophistication de ces attaques résident dans leurs caractéristiques anti-analyse, telles que le filtrage du trafic et les vérifications pour éviter la détection. De plus, « les formulaires de connexion pré-remplis convaincants augmentent leur taux de succès, » alors que l’hébergement des pages de phishing sur des infrastructures compromises ajoute une autre couche de tromperie. Heureusement, il existe des mesures d’atténuation que les organisations peuvent envisager. La première, explique Tiquet, consiste à « mettre en œuvre une gestion des accès privilégiés pour restreindre l’accès et contenir les dommages potentiels dus aux comptes compromis. » En associant cela à une gestion robuste des mots de passe, Tiquet a poursuivi que vous pouvez vous assurer que les identifiants soient forts, uniques et stockés en toute sécurité, réduisant ainsi l’exposition aux campagnes de phishing. « De plus, un gestionnaire de mots de passe empêchera les utilisateurs d’entrer des identifiants sur des sites trompeurs, car l’outil ne remplira automatiquement les identifiants que sur la page authentique, » a conclu Tiquet.
Bien que cette attaque de contournement 2FA cible les utilisateurs de Microsoft 365, il est à noter que ce type de menace ne s’applique pas uniquement à Microsoft et peut impacter les utilisateurs de tous les comptes jugés de grande valeur par les acteurs de la menace. Le facteur commun, comme évoqué précédemment, dans la plupart de ces attaques est l’aspect phishing, et c’est donc à cet endroit que la méthodologie d’atténuation doit se concentrer. Cet article fascinant explore des méthodes pour atténuer les attaques de phishing.
Bon à savoir
- Les attaques par phishing peuvent toucher n’importe quel service en ligne, pas seulement Microsoft 365.
- La formation des utilisateurs à la cybersécurité est essentielle pour prévenir les attaques de phishing.
- Il est conseillé d’utiliser des mots de passe forts et variés pour chaque compte.
En résumé, la menace des attaques de contournement de l’authentification à deux facteurs souligne l’importance croissante de la cyberdéfense. Alors que les techniques de phishing deviennent de plus en plus sophistiquées, il est crucial pour les utilisateurs et les organisations de rester vigilants, de mettre en place des mesures de sécurité robustes et de se tenir informés des dernières stratégies d’attaque. La question demeure : quelles seront les prochaines étapes pour améliorer notre sécurité numérique face à ces défis en constante évolution ?
Nos rédacteurs utilisent l'IA pour les aider à proposer des articles frais de sources fiables à nos utilisateurs. Si vous trouvez une image ou un contenu inapproprié, veuillez nous contacter via le formulaire DMCA et nous le retirerons rapidement. / Our editors use AI to help them offer our readers fresh articles from reliable sources. If you find an image or content inappropriate, please contact us via the DMCA form and we'll remove it promptly.