Le MFA ne suffit plus à arrêter les cybercriminels

Les dernières campagnes malveillantes montrent que des attaquants novices parviennent de plus en plus souvent à s'emparer de jetons d'authentification. Le contournement de protections autrefois considérées comme infaillibles se multiplient, mais tout n'est pas perdu.

Les experts en cybersécurité mettent en garde les administrateurs système contre la multiplication de campagnes de phishing visant à voler des jetons d'accès Microsoft 365 pour contourner la protection par authentification multi-facteurs. Les kits de phishing destinés à capturer ces tokens ne sont pas nouveaux : selon certaines sources, ces kits existeraient depuis 2021. L'un des plus récents est EvilTokens, qui selon les chercheurs de Sekoia, circule depuis février dernier. En début du mois, la firme de Redmond a également publié un avertissement concernant d'autres stratagèmes de phishing de type adversary-in-the-middle pour voler des jetons d'authentification en parallèle de campagnes exploitant les fonctions du protocole OAuth pour manipuler la redirection d'URL et contourner les défenses anti-phishing conventionnelles.

Le FBI a d'ailleurs prévenu dans un bulletin d’alerte la semaine dernière, que la dernière plateforme de phishing as a service Kali365 « abaisse la barrière à l’entrée, en permettant à des attaquants peu expérimentés d’accéder à des leurres de phishing générés par l’IA, à des modèles de campagne automatisés, à des tableaux de bord permettant de suivre en temps réel des individus ou des entités ciblés, ainsi qu’à des fonctionnalités de capture de jetons OAuth ». Elle est de plus en plus exploitée par les cybercriminels. Le 24 avril, par exemple, le fournisseur de solutions de sécurité Arctic Wolf a détecté une campagne de phishing à grande échelle visant les codes MFA reçus sur des terminaux d’entreprise, menée par un cybercriminel utilisant le service Kali365. Quatre jours plus tard, les chercheurs de Gurucul ont émis un avertissement similaire, ajoutant que ce nouveau kit malveillant devient rapidement l’arme de prédilection des cybercriminels.

Un tournant dans la professionnalisation des cyberattaques

Les plateformes EvilTokens et Kali365 incitent toutes deux les employés à saisir un code sur une page de connexion Microsoft officielle, ce qui permet aux attaquants de voler des jetons OAuth. Mais Gurucul a averti les responsables de la sécurité que Kali365 marque un tournant vers des modèles d’attaque hautement professionnalisés : « Il ne s’agit pas simplement d’un pirate informatique isolé. Il s’agit plutôt d’une activité à grande échelle. Elle est conçue pour abaisser la barrière à l’entrée pour les criminels du monde entier. En fournissant une infrastructure de piratage prête à l’emploi, ce kit met des capacités sophistiquées entre les mains d’attaquants novices. »

Les RSSI devraient considérer ces avertissements comme un rappel que les modules de formation à la détection du phishing constituent un élément essentiel de la sensibilisation à la sécurité pour l’ensemble des employés. L’avertissement du FBI « nous rappelle que l’authentification multi-facteurs n’est plus la seule mesure indispensable à la protection », a déclaré Robert Beggs, CEO de la société canadienne de gestion des incidents Digital Defence. « Les entreprises doivent aller au-delà de sa simple intégration dans une check list et se concentrer plutôt sur une approche de défense en profondeur. Les sociétés doivent bloquer ou restreindre strictement le flux d’authentification par code OAuth de Microsoft à l’aide d’un accès conditionnel. Parmi les contrôles supplémentaires, on peut citer la révocation proactive des jetons OAuth, la surveillance des enregistrements d’appareils non autorisés et la surveillance pour détecter les boites e-mails. »

Le service en ligne Kali365 fournit des modèles, des tableaux de bord de gestion et des outils intégrés réduisant les obstacles techniques liés à la mise en œuvre d'attaques à grande échelle pour les cybercriminels qui y sont abonnés. Les abonnements commencent à 250 $ HT pour 30 jours et vont jusqu'à 2 000 $ HT pour 365 jours. Une fois inscrits, selon Arctic Wolf, les affiliés de Kali365 peuvent rapidement générer des leurres de phishing personnalisés imitant des services d’éditeurs courants tels qu'Adobe Acrobat Sign, DocuSign et SharePoint. Le service comprend un système modulaire de génération de leurres permettant aux cybercriminels de produire des centaines de variantes distinctes en combinant la localisation linguistique, la mise en page, l'usurpation d'identité de l'écosystème Microsoft et de multiples formats de documents en plusieurs langues (anglais, espagnol, français, allemand, portugais, italien, néerlandais, japonais, coréen, chinois, arabe, turc, polonais et russe.) Robert Beggs a souligné que l'utilisation d'appâts de phishing générés par l'IA, à condition que celle-ci ait été correctement entraînée sur l'activité du client et alimentée avec les contextes culturels appropriés, permet d'obtenir des documents d'apparence fiable qui sont difficiles à identifier et à bloquer lors d'une attaque à grande échelle. Les abonnés peuvent tirer parti de huit modèles d'e-mails préconfigurés, avec des objets tels que « Message vocal de [espace réservé au nom] », « Signature requise », « Facture n° », « Document partagé » et « Notification de compte pour [espace réservé à l'adresse e-mail] ».

Un modèle d’attaque professionnel

Arctic Wolf a indiqué avoir également constaté des cas où, après avoir obtenu un accès initial, le cybercriminel crée des règles de boîte de réception malveillantes au sein de M365 pour déplacer automatiquement les e-mails contenant des mots-clés comme « spam », « phishing », « clic », « lien » et « SharePoint » vers un dossier distinct et les marquaient comme lus. Ce comportement a permis de masquer efficacement les notifications et avertissements liés de sécurité destinés à l'utilisateur, permettant ainsi à l'acteur malveillant de conserver son accès tout en réduisant son risque d’être détecté. En mode « code terminal », les victimes sont redirigées vers une page d'accueil obfusquée conçue pour s'afficher uniquement dans une session de navigateur réelle. Une fois la page chargée, le backend Kali365 génère dynamiquement un code OAuth Microsoft légitime pour un terminal. Selon le FBI, l’attaque fonctionne ensuite comme de nombreuses autres tentatives de phishing : un attaquant envoie un e-mail de phishing contenant un lien vers une page de vérification Microsoft légitime, ainsi que des instructions pour saisir le code généré. Ce code autorise l’appareil de l’attaquant à accéder au compte de la victime. Le backend de Kali365 capture ensuite les jetons d'accès et de rafraîchissement OAuth, donnant ainsi à l'acteur malveillant l'accès au compte Microsoft 365 de la personne ou de l'entité ciblée, y compris Outlook, Teams et OneDrive, jusqu'à ce que la compromission soit détectée et que les jetons soient révoqués. Grâce à ces jetons, l'attaquant n'a pas besoin de saisir de mot de passe ni de passer par des étapes d'authentification multi-facteurs (MFA) supplémentaires.

Arctic Wolf a ajouté que dans certains cas, après avoir obtenu le jeton, l'auteur de l'attaque utilisait la session authentifiée pour enregistrer un terminal supplémentaire au sein de l'environnement Microsoft de la victime. Cette étape étendait l'accès au-delà du jeton initial en établissant une association avec un appareil de confiance lié au compte compromis. Dans son alerte, le FBI a exhorté les administrateurs de Microsoft 365 à restreindre l'utilisation des codes d'authentification sur plusieurs appareils, car les limiter ou les bloquer peut contribuer à prévenir ou à minimiser ce type d'attaque. Ils devraient également mettre en place des politiques d'accès conditionnel visant à bloquer l'utilisation de codes d'authentification sur les appareils pour tous les utilisateurs, avec des exceptions limitées pour les processus métier indispensables. Mais aussi analyser l'utilisation actuelle des codes d'authentification pour identifier les dépendances légitimes avant de créer une politique d'accès conditionnel, et bloquer les politiques de transfert d'authentification pour empêcher les utilisateurs de transférer leur authentification d'un ordinateur vers un mobile. Si un administrateur ne peut pas restreindre complètement l'utilisation du flux de codes des appareils, le FBI recommande d'exclure les comptes d'accès d'urgence afin d'éviter les blocages.

Christopher Kayser, CEO de Cybercrime Analytics et auteur de l’ouvrage Cybercrime Through Social Engineering, explique que les services IT devaient trouver des moyens de rappeler à leurs employés qu’ils ne devaient pas cliquer sans réfléchir sur des messages qui semblent inhabituels ou potentiellement frauduleux. Et ce ne sont pas seulement les employés lambda qui peuvent être victimes d’attaques de phishing, a-t-il souligné. Les cadres supérieurs habilités à transférer des fonds sont la cible d’escroqueries de type Business Email Compromise (BEC). En général, a-t-il ajouté, lors de la connexion à M365, les utilisateurs ne sont pas invités à saisir un code. Il convient donc de leur rappeler qu’un e-mail demandant un code doit être considéré comme un signal d’alerte justifiant de contacter son service informatique.

La sécurité centrée sur l'identité comme clé

Fritz Jean-Louis, consultant principal en cybersécurité chez Info-Tech Research Group, a déclaré que les RSSI devraient s'orienter vers une sécurité centrée sur l'identité et considérer le phishing avant tout comme un risque de la compromettre. Cela implique non seulement de mettre en place du MFA résistant au phishing via des clés d'accès ou d'autres mesures de connexion certifiées FIDO2, mais aussi de renforcer les contrôles de session et de surveiller les comportements d'authentification anormaux, notamment l'utilisation abusive de jetons et les activités OAuth suspectes. Les administrateurs devraient également adopter une évaluation continue des accès, allant au-delà de l'authentification ponctuelle en évaluant de manière dynamique les risques liés aux utilisateurs et aux terminaux tout au long des sessions actives, ce qui permet une réponse en temps réel aux menaces en constante évolution.

De plus, les équipes d'intervention doivent tirer parti des indicateurs comportementaux en mesurant l'activité et en encourageant les utilisateurs à signaler tout comportement suspect, tout en intégrant dans leurs stratégies de détection des données de télémétrie humaine, telles que la rapidité de signalement et les schémas d'interaction. Fritz Jean-Louis a ajouté que les administrateurs doivent également réduire le champ d'action des menaces au sein de leur entreprise en mettant en place une surveillance renforcée des communications sortantes, des déclencheurs de confinement automatisés et des contrôles plus stricts sur l'utilisation abusive des comptes, afin de limiter la propagation latérale. Enfin, il a recommandé aux administrateurs de segmenter les utilisateurs et les fonctions à haut risque en appliquant des contrôles de sécurité renforcés et en mettant en place des environnements isolés pour les responsables exécutifs, les services financiers et les fonctions IT avec accès à privilèges.