Source: SANS Internet Storm Center (Diary du 2025-09-21) par Johannes Ullrich. Contexte: retour sur une campagne de phishing en cours contre des comptes développeurs NPM et sur les méthodes d’authentification résistantes au phishing.
— Faits rapportés: des e‑mails de phishing bien rédigés et une page de destination convaincante ont suffi pour piéger des développeurs NPM. Le domaine « npmjs.help » a été utilisé, et « npmjs.cam » (TLD .CAM et non .COM) a été enregistré peu après, même si ce dernier n’est pas joignable au moment évoqué. 🎣
— Enseignements: la formation à la sensibilisation seule est jugée inefficace et les injonctions à « ne pas cliquer » peu réalistes. Le problème central est l’authentification: la MFA traite la compromission partielle de secrets, mais des attaques sophistiquées peuvent contourner la MFA via pass-through en demandant tous les facteurs à l’utilisateur (ex. outils comme evilginx).
— Mécanismes d’authentification: les gestionnaires de mots de passe aident à sélectionner le bon site, mais l’utilisateur peut contourner leurs choix. Les passkeys offrent mieux: des clés liées à l’origin du site sélectionnées automatiquement, empêchant l’utilisateur d’utiliser de « mauvaises » identités. Les certificats clients TLS pourraient aussi convenir mais restent complexes pour des sites publics. 🔐
— Référentiel NIST: selon NIST SP 800‑63B, la résistance au phishing exige une authentification cryptographique (mono ou multi‑facteur). Les OTP et méthodes out‑of‑band ne sont pas considérées comme résistantes au phishing, ce qui inclut des méthodes populaires comme la MFA basée sur Microsoft Authenticator au regard de cette définition.
— Conclusion: le billet appelle à cesser d’incriminer les utilisateurs et à déployer des passkeys sur les sites nécessitant un niveau de sécurité accru. Il s’agit d’un article d’analyse visant à expliquer pourquoi l’authentification liée à l’origin est clé face au phishing.
IOCs:
- Domaines: npmjs.help; npmjs.cam (TLD .CAM)
TTPs:
- Phishing ciblé avec pages d’atterrissage crédibles et domaines look‑alike (TLD swap .CAM/.COM)
- Contournement de la MFA via pass-through (outil cité: evilginx)
- Exploitation de l’incapacité des utilisateurs à distinguer correctement les sites par l’URL/certificat
🧠 TTPs et IOCs détectés
TTPs
Phishing ciblé avec pages d’atterrissage crédibles et domaines look-alike (TLD swap .CAM/.COM); Contournement de la MFA via pass-through (outil cité: evilginx); Exploitation de l’incapacité des utilisateurs à distinguer correctement les sites par l’URL/certificat
IOCs
Domaines: npmjs.help; npmjs.cam (TLD .CAM)
🔗 Source originale : https://isc.sans.edu/diary/Why+You+Need+Phishing+Resistant+Authentication+NOW/