Des chercheurs d’Oasis Security ont réussi à contourner la sécurité MFA dans Microsoft Azure. Des millions de comptes étaient susceptibles d’être intrusés sans le savoir.
L’activation de l’AMF est (à juste titre) considérée comme une bonne pratique en matière de sécurité informatique. Pourtant, l’AMF n’est pas non plus infaillible à 100 %, en particulier lorsque le fournisseur du logiciel ne l’offre pas dans les règles de l’art. C’est la conclusion à laquelle sont parvenus les chercheurs d’Oasis Security en examinant la sécurité MFA de Microsoft Azure.
Les chercheurs ont découvert une vulnérabilité critique dans la mise en œuvre du MFA. Cette vulnérabilité permettait aux attaquants de contourner la sécurité MFA et d’obtenir un accès non autorisé aux comptes, y compris les courriels dans Outlook, les fichiers dans OneDrive, les conversations dans Teams et Azure Cloud. Microsoft a depuis mis en place une solution permanente. Depuis plusieurs mois, le MFA est obligatoire pour tous les clients Azure.
lire aussi
Les chercheurs n’ont besoin que d’une heure pour déjouer la sécurité MFA de Microsoft Azure
Deux erreurs
Selon Oasis Security, Microsoft a commis deux erreurs cruciales. Tout d’abord, elle n’a pas limité le nombre de tentatives incorrectes par session. Un processus de connexion MFA exige que l’utilisateur saisisse un code de vérification à six chiffres après avoir saisi son adresse électronique et son mot de passe. Les chercheurs ont constaté que plusieurs sessions pouvaient être créées en succession rapide, ce qui permettait de tester un grand nombre de codes. Cela augmentait les chances de réussite sans que le propriétaire du compte en soit averti.
Autre problème : les codes d’authentification, qui ne sont normalement valables que 30 secondes, étaient encore acceptés par Microsoft jusqu’à trois minutes après avoir été générés. Les attaquants disposaient ainsi d’un délai supplémentaire pour deviner le bon code. En moins de 70 minutes, il y avait plus de 50 % de chances que l’attaque réussisse.
Oasis Security a signalé la vulnérabilité en juin 2024. Microsoft a rapidement réagi en proposant un correctif temporaire en juillet et a mis en œuvre un correctif permanent en octobre. La mise à jour ajoute une limite stricte au nombre de tentatives autorisées, ce qui empêche les attaques par force brute.
Ce n’est pas la première fois que Microsoft est pris à partie pour une sécurité MFA inadéquate. Il y a deux ans, Mandiant, une filiale de Google, avait déjà révélé une vulnérabilité malveillante. Microsoft n’intervient apparemment que lorsqu’elle est alertée d’une faille.
Recommandations
Bien que l’étude identifie une vulnérabilité dans le MFA, les chercheurs d’Oasis Security recommandent toujours de l’activer dans la mesure du possible. Quelques mesures supplémentaires rendront vos comptes pratiquement infaillibles :
- Activez le MFA : utilisez des applications d’authentification ou des méthodes plus robustes telles que l’authentification sans mot de passe.
- Surveillez les échecs des tentatives de MFA : Définissez une notification pour les échecs des tentatives de deuxième facteur afin de détecter rapidement toute activité suspecte.
- Vérifiez s’il n’y a pas eu de fuite d’identifiants de connexion : Changez régulièrement de mot de passe pour réduire l’impact du vol des identifiants de connexion.