fbpx
ActualitésHackingHigh TechSécurité

Les pirates chinois auraient contourné l’authentification à 2 facteurs

Les chercheurs en sécurité ont découvert qu’un groupe de pirates contournait 2FA, plus communément appelé authentification à deux facteurs. Le groupe, connu sous le nom d’APT20, a des liens avec le gouvernement chinois et cible des entités gouvernementales. Une firme de sécurité néerlandaise appelée Fox-IT a été la seule à découvrir les attaques et à publier un rapport à ce sujet.

Les activités du groupe de hackers remontent à 2011, cependant, le rapport indique que les chercheurs en sécurité ont perdu la trace d’APT20 une fois qu’ils ont changé leur mode de fonctionnement. Ce n’est qu’au cours des deux dernières années que Fox-IT a pu comprendre ce que le groupe faisait. Le groupe aurait infiltré des ordinateurs ciblés en utilisant une méthode sophistiquée pour isoler d’abord une machine vulnérable sur le réseau cible. Ensuite, le groupe installerait des shells Web et commencerait à rechercher des mots de passe administrateur sur la machine. Ce qui a retenu l’attention des chercheurs, c’est que APT20 a pu se connecter à des VPN protégés par 2FA.

Fox-IT note qu’ils ne savent pas comment APT20 a réussi à contourner 2FA sur ces comptes VPN, mais propose une hypothétique. «Le jeton logiciel est généré pour un système spécifique, mais bien sûr, cette valeur spécifique au système pourrait facilement être récupérée par l’acteur lorsqu’il a accès au système de la victime.

Il s’avère que l’acteur n’a pas réellement besoin de passer par la difficulté d’obtenir la valeur spécifique du système de la victime, car cette valeur spécifique n’est vérifiée que lors de l’importation de la graine de jeton SecurID, et n’a aucun lien avec la graine utilisée pour générer 2 -des jetons facteurs. Cela signifie que l’acteur peut simplement patcher la vérification qui vérifie si le jeton logiciel importé a été généré pour ce système, et n’a pas du tout besoin de voler la valeur spécifique du système.

En bref, tout ce que l’acteur doit faire pour utiliser les codes d’authentification à 2 facteurs est de voler un jeton de logiciel RSA SecurID et de patcher 1 instruction, ce qui entraîne la génération de jetons valides. »

Alors que le groupe de hackers se concentrait uniquement sur l’infiltration d’institutions gouvernementales, ce qui est plutôt effrayant, c’est qu’il a été en mesure de trouver un moyen de contourner l’authentification à 2 facteurs, actuellement l’un des moyens les plus sûrs de protéger votre compte. Le rapport n’indique pas si la nature fondamentale de 2FA a été violée, ou si ce n’est qu’un maillon faible de toute la chaîne d’authentification qui a permis aux pirates de s’en sortir.

Afficher plus

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page