Commentaires : L'authentification multifacteur ne serait pas suffisante face aux hackers parrainés par la Russie

Une entreprise cyber britannique, MyCena, explique que le protocole MFA, censé être d’une redoutable fiabilité, souffre en réalité d’une vulnérabilité exploitée par des pirates russes.

Avec ce genre d’article on va associer le terme pirate informatique à Russes ! un peu comme on le fait avec les terroristes qu’on associe aux islamistes radicaux. Que de raccourcis/simplifications.

Sinon sur le fond, rien de neuf, aucun système n’est invulnérable. Qu’un système MFA ait été piraté n’est pas anormal puisque c’est un système comme un autre, et il sera corrigé. Les fondamentaux restent valables : mettre un mot de passe assez costaud et fragmenter les accès.

1 « J'aime »

@Blap : @B a raison. Vais pas développer sinon ça risque de pas plaire.

« qui prêche évidemment pour sa paroisse. » : non… sans blague. MyCena, security solutions des champignons. Et leur site web… c’est le fils du concierge qui a dû le faire.

2 « J'aime »

evidement que ca suffit pas comme protection avec tous les inconscients qui utilise le meme appareil (smartphone) pour toutes les autentification! chose a ne JAMAIS faire d’un MEME APPAREIL!

Dans l’absolu, je suis d’accord avec toi ; sauf qu’il est compliqué d’avoir plusieurs smartphones avec soi (dans mon cas , j’en ai deux , un perso et un pro ; les authentifications perso se font sur mon perso, les authetifications pro se font avec le pro)
Après, quand je vois le nombre de personnes qui ne prennent même pas la peine d’activer une MFA quand c’est possible et qui en plus utilisent le même couple adresse e-mail / mot de passe sur plein de services (en allant de Amazon jusqu’aux impots…), ça fait peur

1 « J'aime »

Maintenant on peut avoir plusieurs sessions sur nos smartphones. Si c’est bien securise (et que l’utilisateur ne fait pas de la merde) les infos ne passent pas de l’une a l’autre

Précisons tout de même que l’authentification « multi-facteurs » et l’authentification « deux facteurs » sont deux mécanismes différents. L’un peut parfois englober l’autre mais il s’agira le plus souvent d’un abus de langage ou d’un raccourci intellectuel plus qu’autre chose.

Précisons également qu’il n’existe aucun « protocole MFA », le terme décrivant une stratégie et non un protocole. Toute stratégie d’authentification qui repose sur plus d’un facteur devient un protocole d’authentification à deux,trois, etc. facteurs.

Il est bien évidemment question dans cet article de l’authentification à deux facteurs, que les experts en cybersécurité compétents n’hésitent pas à qualifier de risquée et insuffisante pour lutter contre les cyberattaques.

L’authentification multi-facteurs, qui repose sur un ensemble de signaux plus étendu (parfois jusqu’à à près d’une vingtaine de signaux) est effectivement un moyen de compensation destiné à pallier aux manquements de la majorité des protocoles de type 2-facteurs. Ils ne sont pas tous vulnérables aux attaques d’ingénierie sociale, mais la majorité le sont.

1 « J'aime »

La réu de brief chez MyCena
"Alors voilà, on a vu un cas où l’authentification multi-facteurs n’a pas suffit. Maintenant, on va affoler tout le monde en faisait des news grand public pour dire que c’est clairement pas suffisant et déjà dépassé par rapport aux hackers d’aujourd’hui, que tout le monde est en danger imminent.

Pour être crédible, on va généraliser l’analyse et être assez flous pour mettre dans le même panier tous les systèmes (une clé U2F ou un code par email), histoire de faire un peu de bruit pour que les décideurs des entreprises paniquent et nous contactent pour un audit."

3 « J'aime »

@yam103"Après, perso, j’ai un script Gresemonkey/tampermonkey pour faire du remplacement de mots à la volée comme ci-dessous"
Tu as un site avec un tuto parce que perso y’a pas que @briceio qui en à marre surtout quand les sujets prennent partis ou quand les commentaires cherchant à démêler le vrai du faux sont supprimés, traiter de l’actualité du moment c’est une chose, perdre toute neutralité c’en est une autre surtout quand l’autre propagande est prié de s’exprimer librement, limite comme les appels aux meurtre de Facebook ce qui est intolérable, mais les concernant aucune plainte ne sera déposée.

2 « J'aime »

« Cette vulnérabilité MFA prouve que même les méthodes de sécurité les plus sûres en apparence n’arrêteront pas les attaquants, en particulier ceux parrainés par l’État russe »

« en particulier ceux parrainés par l’État russe » :joy::rofl:
Non mais sérieux !

Cela dit si le serveur est piraté, l’AFM aussi …
Rien de nouveau à bobinau …

1 « J'aime »

j’ai l’impression que le hacker va hacker un système, juste par défi. Et seulement ensuite trouver une raison de l’avoir hacké.

C’est bien d’apporter un peu de précision avant de discréditer tout une technologie…
Non, le MFA en général n’a pas une faille qui à été exploitée par des méchants hackeurs… comme c’est expliqué sur le site de CISA ils ont exploité une erreur / défaut de configuration… d’un client VPN utilisant la techno MFA duo, avec le paramètre « fail open », qui permet en gros de désactiver la vérification MFA quand le serveur MFA est pas dispo…

Donc, non, ça ne marchera pas sur un site internet demandant le MFA (mais le piratage du google authenticator légitime de l’utilisateur, oui… bref… )

C’est un peu une Fake News…

PS: coté protocoles, on a quand Même 2 RFC sur le sujet (6560 et 6238) mais oui il manque clairement un standard concernant l’implémentation du MFA coté client ou serveur… c’est le far west… et dans le far west, les hors la loi ont la vie belle !
d’ailleurs « fail open » ça sent la bonne invention du gars qui voulait vraiment privilégier le business à la sécurité…

Consternant on ne peut plus critiquer la Russie aux yeux de certains. La propagande russe fait des ravages. Comment peut encore défendre ce régime.