Nos mots de passe et codes multifacteur sont-ils obsolètes ?
Les attaquants contournent désormais la double authentification via des techniques qui interceptent le jeton de session en se plaçant entre l’utilisateur et le service légitime.
Depuis plusieurs années, le message des experts en cybersécurité était clair : activez l’authentification à deux facteurs et vous serez protégés. Des millions d’entreprises et de particuliers ont suivi ce conseil. Cependant, cette protection est remise en question face à l’évolution des techniques des attaquants.
Une méthode documentée par les chercheurs d’ESET, nommée EvilTokens, illustre cette adaptation. L’attaquant s’insère entre l’utilisateur et le service d’authentification légitime, en présentant une vraie page de connexion Microsoft ou Google. Il intercepte le jeton de session lors de la connexion et l’utilise pour accéder au compte, sans jamais connaître le mot de passe ni déclencher d’alerte. L’attaque fonctionne même si l’utilisateur a activé la double authentification.
Ce type de technique, connue sous le nom d’Adversary-in-the-Middle (AiTM), n’est pas une curiosité de laboratoire. Depuis mars 2024, des campagnes exploitant une variante, le device code phishing, ont été détectées sur des environnements Microsoft 365 en Europe. Le jeton volé peut rester valide plusieurs jours si personne ne révoque manuellement l’accès.
La conséquence immédiate concerne la messagerie professionnelle et les outils collaboratifs. Lorsqu’un attaquant prend le contrôle d’une boîte email, il accède à des données sensibles telles que des accords commerciaux, des coordonnées bancaires, et des mots de passe envoyés par négligence. Il peut également usurper une identité, déclencher des virements frauduleux ou préparer une attaque à plus grande échelle.
Une question se pose : si votre compte email était compromis ce soir, combien de temps faudrait-il à votre équipe cyber pour s’en apercevoir ? Dans la plupart des PME, la réponse est plusieurs jours, parfois plusieurs semaines, dépassant le temps dont l’attaquant a besoin pour causer un préjudice significatif.
Face à cette évolution, plusieurs mes concrètes existent. Il est recommandé d’opter pour des méthodes d’authentification résistantes au phishing, comme les clés de sécurité physiques (passkeys, FIDO2), plutôt que les SMS ou les applications TOTP classiques. De plus, il est essentiel de surveiller les connexions inhabituelles et de former les collaborateurs à signaler les comportements suspects.
La réglementation européenne, notamment la directive NIS2, impose des exigences renforcées en matière de gestion des identités et de détection des incidents. La transposition française est en cours, mais la conformité réglementaire ne devrait pas être le seul moteur, car les techniques évoluent plus rapidement que les calendriers législatifs.
Il est crucial de comprendre que l’authentification forte ne doit pas être considérée comme une solution unique. Bien qu’elle soit nécessaire, elle n’est plus suffisante. La véritable fragilité réside dans le fait de ne pas être informé d’une attaque à temps.
Source : ESET.
