Si de plus en plus d’entreprises adoptent l’authentification à plusieurs facteurs, cette technique n’est pas exempte de faiblesse. Des chercheurs de la société Oasis Security viennent d’en faire la démonstration avec la découverte de défauts dans le MFA de Microsoft permettant d’accéder aux comptes Office365. Nommée AuthQuake, elle a cependant été corrigée par la firme de Redmond en octobre dernier.
« Le contournement était simple : il a pris environ une heure à exécuter, n'a nécessité aucune interaction de la part de l'utilisateur et n'a généré aucune notification ni fourni au titulaire du compte une quelconque indication de problème », soulignent les experts dans un rapport. Le problème provient d’une des méthodes d’authentification, celle consistant à saisir un code à 6 chiffres à partir de l’application Authenticator. Jusqu'à 10 tentatives d'échec consécutives sont autorisées pour une même session.
Nombre de sessions infini et durée de validité des codes étendue
La vulnérabilité identifiée par Oasis concerne essentiellement l’absence de limites sur le nombre de session et sur le laps de temps de validité du code. Sur le premier point, les experts constatent qu’ « en créant rapidement de nouvelles sessions et en énumérant des codes le taux de tentatives est très élévé et permet d’épuiser rapidement le nombre total d'options pour un code à 6 chiffres (à savoir 1 million) ». Cette procédure se déroule sans que l’utilisateur soit informé.
L’autre faiblesse réside dans la durée de validité du code généré par l’application Authenticator. Celle-ci s’appuie sur le référentiel RFC-6238 qui fixe la limite à 30 secondes. Mais comme l’indiquent les chercheurs d’Oasis Security « en raison des différences d’horaires et de retards potentiels, l’application est encouragée à accepter une fenêtre de temps plus large pour le code ». En l’espèce, la tolérance a atteint 3 minutes et les spécialistes ont estimé qu’après 24 sessions de ce type (environ 70 minutes), un pirate aurait déjà dépassé les 50 % de chances de trouver un code valide. Alerté, Microsoft a depuis appliqué des limites plus strictes sur le nombre de tentatives infructueuse et sur le délai de l’application Authenticator.
Commentaire