Le grimoire du magicien
🌘 La facilité, ben oui !
Les réseaux sociaux et les GAFAM (Google, Amazon, Facebook, Apple et Microsoft) offrent souvent des boutons d’authentification sur les différents services sur le web. Ça peut être tentant de les utiliser, car ils diminuent le besoin de créer de nouveaux comptes et identifiants.
Il y a cependant plusieurs risques avec cette pratique. Je t’en présente quelques-uns.
Tes accès sont centralisés auprès d’applications qui sont des cibles très prisées.
- Un accès par un pirate devient alors un gros buffet dans tes différents services en ligne. C’est particulièrement le cas avec les attaques EvilProxy que je te présente à la fin de l’article.
- En sécurité, plus on crée de silos et de séparations entre nos services, mieux c’est.
- Ça contribue à réduire les mouvements latéraux, c’est-à-dire utiliser un accès pour en obtenir d’autres.
Les services que tu utilises vont recevoir des données confidentielles additionnelles de la part de ces services GAFAM.
- C’est assez rare que le partage d’information se limite aux identifiants.
- Il n’est pas rare que les applications en profitent pour demander ta liste de contacts, ton profil et des informations personnelles telles que ta date de naissance ou ton numéro de téléphone.
Tu deviens dépendant de ces services à travers une forme d’enfermement technologique (Vendor lock-in).
- Tu veux fermer ton Instagram, mais tu as 20 sites web où tu utilises leur système d’identifiants ? Tu as une bonne demi-journée de travail juste pour démêler ça !
Je ne te dis pas de tout casser immédiatement. Mais, plus tu réalises que tu utilises ce genre d’accès, plus je te conseille de les déconnecter et d’utiliser des identifiants uniques à la place.
Tu peux utiliser un compte courriel unique (avec un alias utilisant le signe + ou une adresse de redirection tel que celles fournies par Proton Mail ou FastMail)
Ajoute à ça un mot de passe long généré aléatoirement avec le générateur de ton gestionnaire de mots de passe.
Active aussi l’authentification multiple si c’est disponible. Si tu souhaites utiliser une application qui génère des codes, je te conseille Ente Auth.
🌘 Les attaques EvilProxy
Je te conseille aussi fortement d’utiliser des liens enregistrés dans ton gestionnaire de mots de passe pour te connecter à tes comptes qui demandent de t’identifier.
Il y a de plus en plus de sites pirates qui imitent à la perfection les vrais sites, souvent avec une différence minime dans l’URL.
Ils sont de plus en plus utilisés dans des attaques de type EvilProxy qui réussissent même à contourner la double authentification, en se connectant à ta place au vrai site en direct et en capturant le cookie de session.
C’est une attaque très subtile, parce que tu aboutis sur le vrai site, identifié avec ton compte, comme si de rien était. Mais, les pirates ont un cookie de session validé entre les mains et peuvent se faire passer pour toi et utiliser le site tant que tu ne te déconnectes pas ! Le seul moyen de savoir est via les alertes de connexion depuis un nouvel appareil.
Ça leur permet de récupérer les cookies de session, ce qui va leur permettre de se connecter sur le site, suivre tes activités et voler tes données sans que tu t’en rendes compte.
Un bon conseil, assures-toi d etre sur le bon site avant de te connecter ! Pour ça, tu peux utiliser un DNS qui bloque les sites malveillants comme le Bouclier Canadien de CIRA
Voici, en résumé, le déroulement d’une attaque EvilProxy
- Tu arrives sur le faux site web
- Tu te connectes avec tes identifiants
- En arrière-plan, le faux site web se connecte à ta place sur le vrai site web
- Il te demande même la double authentification
- Ensuite, le faux site web capture le cookie de connexion, qui souvent est valide pour 30 jours
- Tu te fais rediriger sur le vrai site web sans te rendre compte de rien
- Les pirates ont accès à ton compte pour la durée de vie du cookie.
sequenceDiagram
participant Utilisateur
participant FauxSite
participant VraiSite
participant Attaquant
Utilisateur->>FauxSite: Navigue vers le site factice
Utilisateur->>FauxSite: Entre ses identifiants
FauxSite->>VraiSite: S'authentifie en arrière-plan
VraiSite->>FauxSite: Demande un code 2FA
FauxSite->>Utilisateur: Demande le code 2FA
Utilisateur->>FauxSite: Entre le code 2FA
FauxSite->>VraiSite: Termine l'authentification et récupère le cookie de session
VraiSite->>Utilisateur: Redirige vers le site réel
FauxSite->>Attaquant: Envoie le cookie de session capturé
Consultation Express