FIDO2

Selon Intel 471, des acteurs malveillants ont perfectionné des techniques pour contourner la multifactor authentication (MFA), avec des groupes tels que LAPSUS$ et Scattered Spider exploitant ces approches pour la prise de contrôle de comptes et l’accès initial. Principales méthodes décrites: 🎣 Phishing + rejeu d’identifiants/MFA (campagnes type 0ktapus) via de faux portails pour capturer identifiants et codes MFA puis les rejouer immédiatement. 📲 SIM swapping pour détourner les codes SMS vers un appareil contrôlé par l’attaquant. 🔔 MFA fatigue / push bombing en inondant l’utilisateur de notifications push pour obtenir une approbation par lassitude. 🧪 Adversary-in-the-middle (AITM) avec proxy inversé (ex. Evilginx2) afin de voler tokens/cookies de session. 🔑 Vol de tokens OAuth (bearer) permettant un accès non autorisé sans mot de passe. Mesures de défense mises en avant: ...

Source: Proofpoint — Contexte: des chercheurs détaillent une méthode de downgrade de l’authentification FIDO permettant de contourner des comptes protégés par passkeys/FIDO2, en ciblant Microsoft Entra ID au sein d’un scénario Adversary-in-the-Middle (AiTM); aucune exploitation observée à ce jour dans la nature, mais le risque est jugé significatif. Avant FIDO, les kits AiTM interceptaient identifiants et tokens MFA via des proxys inversés (Evilginx, EvilProxy, Tycoon), massifiés par le PhaaS. Les phishlets classiques, conçus pour voler mots de passe et contourner des MFA non résistants au phishing, échouent généralement face à FIDO, d’où l’intérêt d’un phishlet dédié au downgrade. ...

L’article publié par l’Association suisse des banquiers (SwissBanking) discute de la proposition du comité allemand du secteur bancaire (GBIC) visant à étendre la norme FIDO2 pour améliorer la sécurité des transactions bancaires. Actuellement, la norme FIDO2 est principalement utilisée pour l’authentification lors des connexions. Le GBIC recommande d’élargir son utilisation pour inclure la sécurisation des confirmations de transactions. Cette extension permettrait d’afficher de manière sécurisée les données de transaction par l’authentificateur, ce qui est crucial pour les services bancaires en ligne et les paiements par carte. ...