L’authentification multifacteur (AMF) est une défense importante que les professionnels de la sécurité informatique devraient utiliser dans le cadre d’une stratégie de cybersécurité, déclare l’expert en AMF Roger Grimes – à une condition importante.
Cette condition est que la solution soit résistante au hameçonnage.
« La plupart des gens utilisent des solutions d’AMF facilement hameçonnables », a-t-il observé lors d’une présentation mercredi à la conférence Black Hat à Las Vegas. « Malheureusement, environ 90 à 95 % des AMF peuvent être piratées et contournées. »
« J’aime bien l’AMF », a déclaré Grimes, un évangéliste de la défense axée sur les données pour la société de formation à la sensibilisation à la sécurité KnowBe4. « Mais, a-t-il ajouté, l’informatique devrait utiliser une AMF résistante au hameçonnage quand et où elle le peut pour protéger des données et des systèmes sensibles. »
Incidemment, plus tôt dans la journée, Cisco Systems a admis une brèche qui a prouvé son point de vue : la compromission du compte Google personnel d’un employé de Cisco a permi à un cybercriminel de pénétrer dans le VPN de l’entreprise en mai. Comment ? L’employé est tombé dans le piège d’une escroquerie par hameçonnage.
Tout d’abord, l’attaquant a obtenu les informations d’identification Cisco de la victime qui étaient stockées dans son navigateur. Ensuite, pour contourner la protection AMF de l’employé, le pirate a envoyé à plusieurs reprises de faux messages d‘AMF à l’employé, combinés à des appels vocaux prétendument d’une organisation en laquelle l’employé avait confiance, lui demandant d’accepter une notification AMF sur son appareil mobile. Finalement, l’employé a cédé.
Après cela, l’attaquant a inscrit une série de nouveaux appareils pour l’AMF sur le compte de l’employé et s’est authentifié avec succès sur le VPN Cisco. L’attaquant a ensuite augmenté les privilèges administratifs, lui permettant de se connecter à plusieurs systèmes. Cela a alerté l’équipe de réponse aux incidents de sécurité de Cisco.
Bien que l’attaquant ait pu se déplacer dans l’environnement Cisco, la société affirme que les seules données qu’il a obtenues provenaient d’un dossier sur la plate-forme de stockage infonuagique du compte d’un employé compromis. Cisco affirme que ces données n’étaient pas sensibles.
Adaptation et traduction française par Renaud Larue-Langlois.
