Actualités

“Ils permettent de contourner la plupart des solutions d’authentification multi-facteurs” : l’ANSSI se penche sur l’évolution du vol de cookies !

Une jarre de cookies ouverte et, à priori, à personne : pourquoi pas ?…

 

Hors cas d’exploits ou PoCs où il faut parfois prendre pour démontrer, tout comme dans la vie et parce-que parfois cela s’avère (sans doute ?) séduisant ou facile (pas vu, pas pris) sans évoquer le fait que prendre quelque chose sans en payer le prix c’est vraisemblablement toujours ça de pris pour les plus opportunistes ou les moins regardants sur les questions de civisme en passant par le caractère (non-facultatif) légal auquel personne n’échappe, le vol de données peut être un type d’information assez rentable tout en ayant un côté utilitaire pour les cyber-attaquants. Un constat qui émerge du rapport de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) relatif aux vols de cookies.

 

 

Les cookies sont régulièrement collectés par des acteurs cybercriminels avec l’aide des stealer 1 déposés sur les systèmes de leurs victimes ou lors d’opération d’hameçonnage. Ces informations d’authentification peuvent être directement réutilisées pour accéder aux comptes utilisateur des victimes, ou revendues sur des places de marchés spécialisées telles que Genesis, Russian Market, ou encore Black Hat Forum [4]. L’achat d’identifiants et de cookies de session permet d’accéder à des systèmes et applications en ligne, tels que les VPN (virtual private network), les VDI (virtual desktop infrastructure) ou des gestionnaires d’identités comme AZURE ACTIVE DIRECTORY ou OKTA. Ces cookies sont également convoités par les attaquants, car ils permettent de contourner la plupart des solutions d’authentification multi-facteurs, puisque les sessions dérobées sont déjà authentifiées. Enfin, ils peuvent être visés dans le cadre de compromissions ciblées, lorsqu’un attaquant est présent sur le système d’informations de sa victime, et qu’il souhaite se latéraliser vers un environnement cloud, ou simplement lorsque l’organisation utilise un système d’authentification unique dans le navigateur web pour accéder à ses ressources (comme OFFICE365)”, est-il, notamment, expliqué.

Le cas de la divulgation-données d’Electronic Arts (code-source de FIFA 2021 entre-autres ou encore du moteur de jeu Frostbite) est avancé par l’ANSSI qui indique qu’un simple cookie acquis pour 10 dollars USD aurait permis aux cyber-attaquants de se connecter au Slack EA… de là, le jeton demandé au support, il ne restait plus qu’à se connecter au réseau de l’entreprise, sans avoir à se connecter via l’authentification multi-facteur, ainsi contournée. Au total, pas moins de 780 Go de données ont été subtilisées.

Il est recommandé de réduire la durée de la session d’authentification (au maximum, quelques minutes) tout en appliquant des actions durablement intégrées sur les sites présentant des données ou statut (privilèges, permissions) sensibles comme la re-authentification (comme Paypal, par exemple, qui le re-demande environ toute les cinq à dix minutes ce qui s’avère peu pratique, pour l’utilisateur légitime, notamment lors d’une rétrospective financière type clôture exercice…), la mise en place d’une journalisation-site, le pointage cohérent en la requête-identifiant et le certificat-client, en passant par des vérifications “d’usurpation de session” (IP à comparer avec les horaires-utilisateur : difficilement applicable sauf si l’on éconduit strictement les utilisateurs sous VPNs, notamment…).

Enfin, il est rappelé que les administrateurs-système, en plus de tout cela doivent cloisonner leur environnement-architecture selon les “objectifs de sécurités fixés” : un poste d’administration “dédié“, un autre “multi-niveaux” et un troisième pour l’accès distant au système d’information… A veiller !

 

 

 

 

Source : ANSSI (CERT-FR) – 25 Mai 2022 – Vols de cookies : tendance croissante + recommandations (rapport).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6