L'authentification à deux facteurs (également appelée 2FA) sert de sécurité supplémentaire lors de la connexion, qui n'est généralement sécurisée que par un mot de passe et un nom d'utilisateur. L'authentification multi-facteurs (MFA) est également utilisée en partie à cet effet. Certains de ces systèmes présentent désormais des failles de sécurité que le groupe de ransomware Lapsus$ a exploitées. Les victimes de ces attaques ont été, entre autres, Microsoft, Okta, Nvidia et Samsung.

Vous découvrirez ici ce qui se cache derrière ce terme.

Comment fonctionne l'authentification à deux ou plusieurs facteurs ?

En cas d'authentification par un autre facteur que le mot de passe et le nom d'utilisateur, de nombreux fournisseurs misent sur l'acceptation d'une notification push d'une application correspondante sur le smartphone. D'autres permettent également au client de recevoir un appel, au cours duquel le client doit appuyer sur une touche spécifique comme facteur supplémentaire.

Comme il n'y a pas de limite aux tentatives d'authentification, le groupe Lapsus$ intervient précisément à ce niveau.

Piratage via "MFA-Bombing".

Le "MFA bombing" désigne un processus par lequel le pirate envoie autant de requêtes MFA à l'appareil correspondant de l'utilisateur jusqu'à ce que celui-ci accepte l'authentification. Ainsi, une personne non autorisée obtient à peu de frais l'accès au compte via un appareil qu'elle vient d'enregistrer.

"Appelez l'employé 100 fois à 1 heure du matin pendant qu'il essaie de dormir et il est fort probable qu'il finisse par répondre. Dès que l'employé répond à un appel, il est possible d'accéder au portail d'enregistrement MFA et d'enregistrer un autre appareil", aurait écrit un membre du groupe Lapsus$ dans un chat.

Le procédé de base du "MFA bombing" est bien connu. Il est d'autant plus effrayant de constater qu'il a si souvent fonctionné et qu'il semble même être passé inaperçu. C'est le cas, entre autres, de Microsoft.

Dommages chez Microsoft, Okta, Nvidia et Samsung

Ce n'est que récemment que Microsoft et Okta ont contrôlé les accès non autorisés aux serveurs.

Microsoft n'a tout d'abord pas confirmé d'accès non autorisé. On a d'abord supposé que les pirates avaient visé un référentiel contenant le code source d'Azure DevOps. Récemment, Microsoft a annoncé des attaques au cours desquelles les auteurs ont notamment publié une grande partie du code source de Bing, Bing Maps et Cortana. Il s'agirait au total de 37 Go provenant de 250 projets logiciels différents.

Okta est utilisé comme fournisseur de services de gestion des identités et des accès, notamment par Cloudflare. Bien que Cloudflare ait signalé l'incident, il a assuré qu'il n'y avait pas d'indice de compromission.

Les chercheurs en sécurité ont également indiqué que les pirates pourraient avoir pour cible les données des clients d'Okta. Des données internes prétendument divulguées avaient déjà circulé. Okta a confirmé par la suite que des tentatives d'accès avaient déjà eu lieu fin janvier. L'identité de l'auteur de l'attaque n'a pas pu être établie, mais il n'y aurait pas eu d'autres tentatives depuis.

Nvidia et Samsung ont déjà reconnu des codes malveillants signés avec un certificat de Nvidia, de sorte que les systèmes d'exploitation lui font confiance. Les pirates auraient récupéré 1 TByte de données de Nvidia. Nvidia a réagi en lançant une contre-attaque. Lapsus$ avait toutefois déjà créé une sauvegarde des données que le groupe a décidé de publier une à une après avoir échoué dans ses tentatives de chantage contre Nvidia. Le groupe a publié les 190 Go de données récupérées auprès de Samsung par le biais de torrents.

L'avenir nous dira quelle sera l'ampleur des dommages potentiels pour les clients de ces grands groupes. En cas d'attaques via des comptes légitimes de collaborateurs, il est toujours difficile de savoir si les pirates ne sévissent plus vraiment dans les réseaux et les systèmes complexes des grands groupes ou s'ils y ont déjà déposé des portes dérobées en vue d'attaques futures.

Vous voulez que votre sécurité de l'information soit entre de bonnes mains ? N'hésitez pas à faire appel à notre équipe d'experts !

DSB buchen
fr_FRFrançais