Le rapport de Cisco sur le piratage de l’AMF appuie une présentation de la conférence Black Hat

L’authentification multifacteur (AMF) est une défense importante que les professionnels de la sécurité informatique devraient utiliser dans le cadre d’une stratégie de cybersécurité, déclare l’expert en AMF Roger Grimes – à une condition importante.

Cette condition est que la solution soit résistante au hameçonnage.

« La plupart des gens utilisent des solutions d’AMF facilement hameçonnables », a-t-il observé lors d’une présentation mercredi à la conférence Black Hat à Las Vegas. « Malheureusement, environ 90 à 95 % des AMF peuvent être piratées et contournées. »

« J’aime bien l’AMF », a déclaré Grimes, un évangéliste de la défense axée sur les données pour la société de formation à la sensibilisation à la sécurité KnowBe4. « Mais, a-t-il ajouté, l’informatique devrait utiliser une AMF résistante au hameçonnage quand et où elle le peut pour protéger des données et des systèmes sensibles. »

Incidemment, plus tôt dans la journée, Cisco Systems a admis une brèche qui a prouvé son point de vue : la compromission du compte Google personnel d’un employé de Cisco a permi à un cybercriminel de pénétrer dans le VPN de l’entreprise en mai. Comment ? L’employé est tombé dans le piège d’une escroquerie par hameçonnage.

Tout d’abord, l’attaquant a obtenu les informations d’identification Cisco de la victime qui étaient stockées dans son navigateur. Ensuite, pour contourner la protection AMF de l’employé, le pirate a envoyé à plusieurs reprises de faux messages d‘AMF à l’employé, combinés à des appels vocaux prétendument d’une organisation en laquelle l’employé avait confiance, lui demandant d’accepter une notification AMF sur son appareil mobile. Finalement, l’employé a cédé.

Après cela, l’attaquant a inscrit une série de nouveaux appareils pour l’AMF sur le compte de l’employé et s’est authentifié avec succès sur le VPN Cisco. L’attaquant a ensuite augmenté les privilèges administratifs, lui permettant de se connecter à plusieurs systèmes. Cela a alerté l’équipe de réponse aux incidents de sécurité de Cisco.

Bien que l’attaquant ait pu se déplacer dans l’environnement Cisco, la société affirme que les seules données qu’il a obtenues provenaient d’un dossier sur la plate-forme de stockage infonuagique du compte d’un employé compromis. Cisco affirme que ces données n’étaient pas sensibles.

Pour plus de détails, l’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Un sondage de Cisco Canada révèle que l’innovation n’est pas une priorité pour la plupart des organisations canadiennes

Cisco Canada et Angus Reid ont publié un sondage qui révèle que les organisations canadiennes ont du mal à augmenter leurs investissements dans l'innovation.

Les pros de la sécurité des TI se concentrent sur la prévention des attaques mais des alertes importantes leur échappe

Selon un responsable de Cisco Systems, la plus grande erreur que commettent les dirigeants de la sécurité des TI est de consacrer trop de ressources à la conformité réglementaire et à la prévention des cyberattaques.

Cisco admet que les données publiées par un gang de rançongiciels proviennent de ses systèmes

Cisco Systems a admis que les données publiées dimanche par le gang de rançongiciels Yanluowang avaient été volées au géant des réseaux lors d'une cyberattaque plus tôt cette année.

L’attaque conte Twilio révèle les faiblesses des systèmes d’authentification multifacteur

La dernière révélation sur la campagne de hameçonnage visant à compromettre les comptes de connexion des employés de Twilio est un rappel que l'authentification multifacteur pour protéger les connexions peut être contournée si les systèmes qui la sous-tendent ne sont pas sécurisés.

Un gang de cybercriminels de Russie cible Microsoft 365, affirme Mandiant

Microsoft 365 continue d'être une cible pour le gang de cybercriminels basé en Russie connu sous le nom de Cozy Bear, selon les chercheurs de Mandiant.