Pirater les tokens ou jetons d’authentification, ces petits dispositifs matériels qui attribuent un code unique à chaque session ? C’est le verrou que sont parvenus à forcer deux chercheurs en sécurité. Lors d’une présentation sur la Def Con, une conférence annuelle sur le hacking se tenant en ce moment à Las Vegas, Joe Fitzpatrick et Michael Leibowitz ont présenté plusieurs démos d’attaques contre des systèmes de token, comme ceux de YubiKey ou de RSA.
Sur GitHub, les deux chercheurs ont placé un code permettant d’émuler une clef YubiKey sur un Arduino, un pico-ordinateur s’apparentant au Raspberry Pi. Plus amusant, Fitzpatrick et Leibowitz ont aussi tenté de s’approcher de l’apparence de la YubiKey pour créer ce qu’ils appellent une DoobieKey. Lors d’une démo au Def Con, les deux chercheurs ont montré que cette dernière était reconnue comme une clef légitime par les serveurs YubiKey.
En pratique, pour être menée à bien, l’attaque nécessiterait de fabriquer des dispositifs bien plus convaincants, capables de tromper des utilisateurs. Pour réussir, le détournement doit en effet amener ces derniers à penser qu’ils ont bien affaire à des clefs légitimes. L’objectif étant de les amener à se logger à leur compte avec les DoobieKey, l’assaillant ayant alors une copie du code fourni par le token. « Il s’agit d’une attaque par supply chain, explique Joe Fitzpatrick à nos confrères de Motherboard. Vous modifiez les dispositifs avant de les fournir aux utilisateurs. »
Les deux chercheurs se sont également attaqués aux tokens RSA, des dispositifs similaires qui affichent un code que les utilisateurs doivent entrer sur leur poste pour s’authentifier. Les faux jetons RSA communiquent avec les assaillants via Bluetooth, soit pour indiquer au dispositif contrefait quel code fournir à l’utilisateur, soit pour récupérer les sésames que le faux jeton RSA diffuse en permanence. Joe Fitzpatrick prévoit de mettre le design de cette copie des dispositifs RSA sur GitHub dans un futur proche.
Si les deux chercheurs montrent, via leur démo, que les tokens peuvent être contrefaits, leurs attaques restent complexes à mettre en œuvre. Et ces systèmes permettant une authentification à deux facteurs n’en demeurent pas moins une sécurité supplémentaire pour les entreprises. « Continuez d’utiliser les YubiKey, continuez d’utiliser vos tokens », a d’ailleurs martelé Joe Fitzpatrick lors de sa présentation.
A lire aussi :
Black Hat : des données personnelles expurgeables des serveurs cache
Microsoft ajoute une bague pour se connecter à Windows 10
Une mise à jour de l'EDR Crowdstrike Falcon a planté une multitude de serveurs et…
Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…