MFA

Source: SANS Internet Storm Center (Diary du 2025-09-21) par Johannes Ullrich. Contexte: retour sur une campagne de phishing en cours contre des comptes développeurs NPM et sur les méthodes d’authentification résistantes au phishing. — Faits rapportés: des e‑mails de phishing bien rédigés et une page de destination convaincante ont suffi pour piéger des développeurs NPM. Le domaine « npmjs.help » a été utilisé, et « npmjs.cam » (TLD .CAM et non .COM) a été enregistré peu après, même si ce dernier n’est pas joignable au moment évoqué. 🎣 ...

Selon une plainte déposée au US District Court for the District of New Jersey, Ace American Insurance Co. (filiale de Chubb Ltd.) poursuit des sociétés de gestion de données et de cybersécurité, affirmant qu’elles ont échoué à prévenir ou atténuer une attaque par ransomware ayant touché l’assuré CoWorx Staffing Services. 💼⚖️ L’assureur indique avoir versé plus de 500 000 $ au titre de la police cyber en réponse à l’attaque survenue en 2024. 💸 L’action vise à recouvrer ces coûts auprès des prestataires jugés défaillants. ...

Selon BleepingComputer, Microsoft indique faire respecter l’authentification multifacteur (MFA) pour les connexions au portail Azure sur tous les tenants depuis mars 2025. Mesure annoncée : application obligatoire de la MFA pour les connexions au portail Azure. 🔐 Portée : tous les tenants Azure sont concernés. Temporalité : mesure effective depuis mars 2025. Concrètement, la connexion au portail Azure requiert désormais une étape supplémentaire d’authentification (MFA) pour l’ensemble des organisations, au-delà du mot de passe. Après avoir terminé le déploiement pour les connexions au portail Azure, la société commencera à appliquer l’authentification multifacteur sur Azure CLI, PowerShell, SDK et API en octobre 2025 afin de protéger les comptes des utilisateurs contre les attaques. ...

Selon BleepingComputer, Microsoft appliquera à partir d’octobre l’authentification multifacteur (MFA) pour toutes les actions de gestion des ressources Azure afin de protéger les clients contre les tentatives d’accès non autorisées. Mesure: obligation de MFA pour toutes les actions de gestion des ressources Azure. Calendrier: entrée en vigueur à partir d’octobre. Objectif: contrer les accès non autorisés visant les environnements Azure 🔐. Il s’agit d’une mise à jour de produit dont le but principal est de renforcer la protection des clients Azure. ...

Source et contexte: Rapport de PIXM Security (Chris Cleveland) couvrant la fin août, décrivant une hausse record de campagnes de phishing ciblant des utilisateurs et administrateurs aux États‑Unis, avec abus d’infrastructures Cloudflare, Azure et Hostinger et un focus sur l’évasion des détections. • Panorama des attaques 🎣 Plusieurs vagues ont ciblé des services Microsoft, Adobe Cloud et Paperless Post, ainsi que des comptes personnels (Yahoo, Amazon) utilisés sur des appareils professionnels. Des arnaques de support Microsoft et des kits de relais MFA ont été observés, avec des pages adaptées par géolocalisation IP et paramètres d’URL pour router les victimes vers des centres d’appels distincts. ...

Source: Lares (blog) — Dans une étude de cas de test d’intrusion en Identity & Access Management, des chercheurs montrent comment une architecture de connexion faible et l’absence de MFA ont permis un accès non autorisé à des systèmes internes et à des données sensibles. Les testeurs ont exploité un portail MDM externe qui validait les identifiants directement contre l’Active Directory interne, sans multi‑facteur. Après une authentification réussie via Microsoft Online Services, l’utilisateur était redirigé vers des systèmes CRM internes. ...

CBC.ca rapporte que la Ville de Hamilton (Ontario) a subi une vaste attaque par ransomware en février 2024 ayant paralysé la majorité de ses services, et que son assureur a refusé de couvrir environ 5 M$ de réclamations, invoquant l’absence de MFA comme « cause racine » du sinistre. Selon un rapport présenté au comité des enjeux généraux, l’absence de multi‑facteur (MFA) dans de nombreux services municipaux a été identifiée par l’assureur comme une cause racine de la compromission, entraînant un refus total d’indemnisation (~5 M$) conformément à une clause de police stipulant qu’aucune couverture n’est offerte lorsque l’absence de MFA est en cause. 🛡️ ...

Selon un rapport publié par Pixm Security, les attaques de phishing visant les utilisateurs sur leurs appareils professionnels ne ralentissent pas, même pendant l’été, période durant laquelle de nombreux employés emportent leurs ordinateurs portables chez eux pour les vacances. La seconde moitié de juillet a vu une augmentation marquée des attaques de spearphishing ciblant Microsoft et Outlook, utilisant des tactiques innovantes telles que des kits de phishing pour l’authentification multi-facteurs (MFA) et du contenu de phishing distribué hébergé sur plusieurs serveurs CDN de confiance. ...

L’article publié sur le blog de Google Cloud traite des risques de sécurité critiques dans les environnements VMware vSphere intégrés avec Microsoft Active Directory. L’analyse met en lumière comment des pratiques de configuration courantes peuvent créer des chemins d’attaque pour des ransomwares et compromettre l’infrastructure. Elle souligne que l’agent Likewise, utilisé pour l’intégration AD, manque de support MFA et de méthodes d’authentification modernes, transformant ainsi un compromis de crédentiel en scénario de prise de contrôle de l’hyperviseur. ...

L’article publié par Ben Nahorney et Brandon Overstreet le 17 juillet 2025, met en lumière une nouvelle technique d’attaque exploitée par le groupe PoisonSeed pour contourner les clés FIDO, un outil de MFA (authentification multifactorielle) réputé pour sa sécurité. PoisonSeed utilise une méthode d’ingénierie sociale pour exploiter la fonctionnalité de connexion multi-appareils des clés FIDO. Cette attaque commence par un phishing où les victimes sont incitées à entrer leurs identifiants sur une fausse page de connexion. Une fois les informations volées, les attaquants demandent une connexion multi-appareils, générant un QR code que l’utilisateur scanne avec son application d’authentification MFA, permettant ainsi aux attaquants d’accéder au compte compromis. ...