Google a récemment annoncé le simplification du processus d’habilitation de laauthentification à deux facteurs (2FA) pour les utilisateurs avec comptes personnels et espace de travail.
Également connue sous le nom de vérification en deux étapes (2SV), elle vise à introduire un nouveau niveau de sécurité, à ajouter aux comptes utilisateurs pour prévenir les attaques par OPA en cas de vol de mot de passe.
“Le récent Google a amélioré la configuration de l’authentification à deux facteurs», commente-t-il Fabrizio Vaccadirecteur des opérations MSS, Tinexta Cyber, « pour les comptes personnels et d’entreprise, l’introduction de méthodes d’authentification supplémentaires telles que des applications d’authentification et des clés de sécurité matérielles représente un une étape importante vers la simplification et le renforcement sécurité des utilisateurs”.
Mais voici ceux des questions critiques restent ouvertesen cas de Attaques de l’adversaire au milieu. Et comment se défendre.
Google facilite la mise en place de l’authentification à deux facteurs : comment ça marche
Le nouvel amendement prévoit en effet une deuxième méthode, telle queapplication d’authentification ou clé de sécurité matérielleavant d’activer 2FA, éliminant ainsi le besoin d’utiliser l’authentification SMS, qui est notoirement la moins sécurisée.
« Ceci est particulièrement utile pour les organisations utilisant Authentificateur Google (ou d’autres applications équivalentes de mots de passe à usage unique temporisés – TOTP) », a déclaré la société. “Auparavant, les utilisateurs devaient activer 2SV avec un numéro de téléphone avant de pouvoir ajouter Authenticator.”
Les utilisateurs disposant de clés de sécurité matérielles ont deux options pour les ajouter à leurs comptes: enregistrer un Identifiant FIDO1 sur la clé matérielle ou l’affectation d’une mot de passe (c’est-à-dire un Identifiant FIDO2) à l’un d’eux.
Le moteur de recherche note que les comptes Espace de travail Vous pouvez toujours être invité à saisir votre mot de passe ainsi que votre clé d’accès si la politique d’administration « Autoriser les utilisateurs à ignorer les mots de passe lors de la connexion à l’aide des clés d’accès » est désactivée.
Mais dans une autre mise à jour notable, les utilisateurs qui choisissent de désactiver 2FA à partir des paramètres de leur compte ne verront plus automatiquement leurs secondes étapes enregistrées supprimées.
“Lorsqu’un administrateur désactive 2SV pour un utilisateur à partir de la console d’administration ou via le SDK Admin, la suppression des seconds facteurs se produira comme auparavant, pour garantir que les flux de travail de désintégration des utilisateurs ne soient pas affectés”, a-t-il déclaré.
Nouvelle criticité en cas d’attaque de l’homme du milieu
Plus de 400 millions de comptes Google ont commencé à utiliser des mots de passe au cours de la dernière année pour s’enregistrer.authentification sans mot de passe.
De nouvelles méthodes et normes d’authentification, telles que FIDO2, sont créé pour résister, dès la conception, aux attaques de phishing et de détournement de session, profitant des clés cryptographiques générées et connectées aux smartphones et ordinateurs pour la vérification des utilisateurs. Contrairement à un mot de passe qui peut facilement être volé via un logiciel malveillant de collecte d’informations d’identification ou volé directement.
« Cette décision stratégique réduit non seulement les risques associés à une authentification par SMS moins sécurisée, mais s’aligne également sur les tendances plus larges du secteur vers des options sans mot de passe plus résilientes », explique-t-il. Fabrizio Vacca.
“Néanmoins”, prévient-il Fabrizio Vacca»,Malgré ces progrès, des recherches récentes sur les menaces de l’adversité au milieu souligner les défis permanents liés à la protection des identités numériques ccontre les cybermenaces sophistiquées ».
En fait, de nouvelles recherches menées à Silverfort montrent que un acteur de cybermenace pourrait contourner FIDO2 et mener une attaque d’adversaire au milieu (AitM) capable de détourner les sessions des utilisateurs dans les applications qui utilisent des solutions d’authentification unique (SSO) tels que l’ID de connexion Microsoft, PingFederate et Yubico.
“Une attaque MitM réussie expose l’intégralité du contenu des requêtes et des réponses du processus d’authentification”, a déclaré le chercheur en sécurité Dor Segal : “Une fois terminé, l’adversaire peut capturer le cookie d’état généré et détourner la session de la victime. En termes simples, il n’y a aucune validation par l’application une fois l’authentification terminée.
Les détails
L’attaque est rendue possible par le fait que La plupart des applications ne protègent pas les jetons de session créés après une authentification réussiepermettant ainsi à un attaquant de obtenir un accès non autorisé.
De plus, aucune validation n’est effectuée sur l’appareil qui a demandé la session, ce qui signifie que n’importe quel appareil peut utiliser le cookie jusqu’à son expiration. Cela permet de contourner la phase d’authentification en acquérant le cookie via une attaque AitM.
Comment se protéger
Pour garantir que la session authentifiée est utilisée exclusivement par le clientnous vous recommandons d’en adopter un technique connue sous le nom de liaison de jetons, qui permet aux applications et aux services de lier cryptographiquement leurs jetons de sécurité à la couche de protocole Transport Layer Security (TLS).
Pendant la liaison de jeton est actuellement limitée à Microsoft Edgele mois dernier, Google a annoncé une nouvelle fonctionnalité dans Chrome appelée Informations d’identification de session liées au périphérique (DBSC) aider protéger les utilisateurs contre le vol de cookies de session et les attaques de piratage.
