Source: Proofpoint — Contexte: des chercheurs détaillent une méthode de downgrade de l’authentification FIDO permettant de contourner des comptes protégés par passkeys/FIDO2, en ciblant Microsoft Entra ID au sein d’un scénario Adversary-in-the-Middle (AiTM); aucune exploitation observée à ce jour dans la nature, mais le risque est jugé significatif.

Avant FIDO, les kits AiTM interceptaient identifiants et tokens MFA via des proxys inversés (Evilginx, EvilProxy, Tycoon), massifiés par le PhaaS. Les phishlets classiques, conçus pour voler mots de passe et contourner des MFA non résistants au phishing, échouent généralement face à FIDO, d’où l’intérêt d’un phishlet dédié au downgrade.

Les chercheurs montrent qu’un spoofing d’user agent vers un navigateur non supporté (ex.: FIDO non supporté sur Safari sous Windows avec Entra ID) peut forcer un repli vers une méthode d’authentification moins sécurisée. Ce comportement, observé sur des plateformes Microsoft, constitue une lacune de sécurité. Un phishlet Evilginx spécifique a été conçu pour exploiter ce scénario; l’attaque suppose qu’un second facteur alternatif (MFA) est disponible sur le compte ciblé (souvent le cas à des fins de récupération).

Chaîne d’attaque AiTM décrite :

  • Appât initial via lien de phishing (email, SMS, demande d’accord OAuth, etc.).
  • Erreur d’authentification simulée incitant l’utilisateur à choisir une autre méthode de connexion.
  • Authentification via la MFA de repli; l’attaquant intercepte les identifiants et le cookie de session via le proxy malveillant.
  • Détournement de session en important le cookie volé pour accéder au compte sans ressaisir d’identifiants ni repasser une MFA, suivi d’actions post-compromission (exfiltration de données, mouvements latéraux).

Les auteurs n’ont pas observé cette technique « in the wild ». Ils avancent des raisons possibles: cibles plus faciles (comptes sans MFA ou MFA vulnérables) et barrières techniques (adapter/créer un phishlet pour le downgrade). Ils estiment toutefois qu’il s’agit d’une menace émergente susceptible d’être adoptée par des adversaires sophistiqués à mesure que FIDO se généralise. Il s’agit d’une publication de recherche dont l’objectif est de démontrer la faisabilité du downgrade FIDO et d’éclairer l’évolution des TTPs AiTM.

IOCs: Aucun indicateur fourni.

TTPs mentionnés:

  • AiTM via proxy inverse et phishlet dédié (Evilginx)
  • Spoofing d’user agent pour désactiver FIDO et provoquer un fallback MFA
  • Vol de cookies de session et hijacking de session
  • Utilisation/mention de kits: Evilginx, EvilProxy, Tycoon; modèles PhaaS

🧠 TTPs et IOCs détectés

TTP

Adversary-in-the-Middle (AiTM) via proxy inverse et phishlet dédié (Evilginx); Spoofing d’user agent pour désactiver FIDO et provoquer un fallback MFA; Vol de cookies de session et hijacking de session; Utilisation de kits: Evilginx, EvilProxy, Tycoon; Modèles PhaaS

IOC

Aucun indicateur fourni

🔗 Source originale : https://www.proofpoint.com/us/blog/threat-insight/dont-phish-let-me-down-fido-authentication-downgrade