Quelqu'un n'a pas besoin de connaître vos mots de passe s'il réussit à voler les cookies de votre navigateur.
L'authentification multifacteur ajoute des couches de sécurité supplémentaires aux services cloud, mais elle n'est pas toujours infaillible. Les gens effectuent désormais des attaques de type pass-the-cookie pour contourner la MFA et accéder à vos services cloud. Une fois qu'ils y sont, ils peuvent voler, exfiltrer ou crypter vos données sensibles.
Mais qu'est-ce qu'une attaque par pass-the-cookie, comment ça marche et que pouvez-vous faire pour vous en protéger? Découvrons-le.
Qu'est-ce qu'une attaque Pass-the-Cookie?
L'utilisation d'un cookie de session pour contourner l'authentification est appelée une attaque pass-the-cookie.
Lorsqu'un utilisateur essaie de se connecter à une application Web, l'application demandera à l'utilisateur d'entrer son nom d'utilisateur et son mot de passe. Si l'utilisateur a activé l'authentification multifacteur, il devra soumettre un facteur d'authentification supplémentaire, comme un code envoyé à son adresse e-mail ou à son numéro de téléphone.
Une fois que l'utilisateur a réussi l'authentification multifacteur, un cookie de session est créé et stocké dans le navigateur Web de l'utilisateur. Ce cookie de session permet à l'utilisateur de rester connecté au lieu de passer par le processus d'authentification encore et encore chaque fois qu'il navigue vers une nouvelle page de l'application Web.
Les cookies de session simplifient l'expérience utilisateur car l'utilisateur n'a pas à s'authentifier à nouveau chaque fois qu'il passe à la page suivante de l'application Web. Mais les cookies de session constituent également une grave menace pour la sécurité.
Si quelqu'un est capable de voler des cookies de session et d'injecter ces cookies dans son navigateur, les applications Web feront confiance aux cookies de session et accorderont au voleur un accès complet.
Si un attaquant parvient à accéder à votre compte Microsoft Azure, Amazon Web Services ou Google Cloud, il peut causer des dommages irréparables.
Comment fonctionne une attaque Pass-the-Cookie
Voici comment quelqu'un effectue une attaque pass-the-cookie.
Extraction du cookie de session
La première étape de la réalisation d'une attaque par pass-the-cookie consiste à extraire le cookie de session d'un utilisateur. Les pirates utilisent diverses méthodes pour voler les cookies de session, notamment script intersite, Hameçonnage, Attaques de l'homme du milieu (MITM), ou attaques de chevaux de Troie.
De nos jours, des acteurs malveillants vendent des cookies de session volés sur le dark web. Cela signifie que les cybercriminels n'ont pas à faire d'efforts pour extraire les cookies de session des utilisateurs. En achetant des cookies volés, les cybercriminels peuvent facilement planifier une attaque pass-the-cookie pour accéder aux données confidentielles et aux informations sensibles d'une victime.
Passer le cookie
Une fois que l'infiltré a le cookie de session de l'utilisateur, il injectera le cookie volé dans son navigateur Web pour démarrer une nouvelle session. L'application Web pensera qu'un utilisateur légitime démarre une session et accordera l'accès.
Chaque navigateur Web gère les cookies de session différemment. Les cookies de session stockés dans Mozilla Firefox ne sont pas visibles par Google Chrome. Et lorsqu'un utilisateur se déconnecte, le cookie de session expire automatiquement.
Si un utilisateur ferme le navigateur sans se déconnecter, les cookies de session peuvent être supprimés en fonction des paramètres de votre navigateur. Un navigateur Web peut ne pas supprimer les cookies de session si l'utilisateur a configuré le navigateur pour qu'il continue là où il s'était arrêté. Cela signifie que la déconnexion est un moyen plus fiable d'effacer les cookies de session que de fermer le navigateur sans se déconnecter de l'application Web.
Comment atténuer les attaques Pass-the-Cookie
Voici quelques façons d'empêcher les attaques par pass-the-cookie.
Implémenter les certificats clients
Si vous souhaitez protéger vos utilisateurs contre les attaques par pass-the-cookie, leur donner un jeton persistant peut être une bonne idée. Et ce jeton sera attaché à chaque demande de connexion au serveur.
Vous pouvez y parvenir en utilisant des certificats clients stockés sur le système pour établir s'ils sont bien ceux qu'ils prétendent être. Lorsqu'un client effectue une demande de connexion au serveur à l'aide de son certificat, votre application Web utilisera le certificat pour identifier la source du certificat et déterminer si le client doit être autorisé à y accéder.
Bien qu'il s'agisse d'une méthode sécurisée pour lutter contre les attaques par pass-the-cookie, elle ne convient qu'aux applications Web ayant un nombre limité d'utilisateurs. Les applications Web avec un nombre énorme d'utilisateurs trouvent qu'il est assez difficile d'implémenter des certificats clients.
Par exemple, un site Web de commerce électronique compte des utilisateurs dans le monde entier. Imaginez à quel point il serait difficile de mettre en œuvre des certificats client pour chaque acheteur.
Ajouter plus de contextes aux demandes de connexion
L'ajout de plus de contextes aux demandes de connexion au serveur pour vérifier la demande peut être un autre moyen d'empêcher les attaques par pass-the-cookie.
Par exemple, certaines entreprises exigent l'adresse IP d'un utilisateur avant d'accorder l'accès à leurs applications Web.
Un inconvénient de cette méthode est qu'un attaquant peut être présent dans le même espace public, tel qu'un aéroport, une bibliothèque, un café ou une organisation. Dans un tel cas, le cybercriminel et l'utilisateur légitime se verront accorder l'accès.
Utiliser les empreintes digitales du navigateur
Bien que vous souhaitiez généralement se défendre contre les empreintes digitales du navigateur, cela peut en fait vous aider à lutter contre les attaques de type pass-the-cookie. L'empreinte digitale du navigateur vous permet d'ajouter plus de contexte aux demandes de connexion. Des informations telles que la version du navigateur, le système d'exploitation, le modèle d'appareil de l'utilisateur, les paramètres de langue préférés et les extensions de navigateur peuvent être utilisées pour identifier le contexte de toute demande afin de s'assurer que l'utilisateur est exactement celui qu'il prétend être.
Les cookies ont acquis une mauvaise réputation car ils sont souvent utilisés pour suivre les utilisateurs, mais il existe des options pour les désactiver. En revanche, lorsque vous implémentez les empreintes digitales du navigateur en tant qu'élément de contexte d'identité pour n'importe quel demande de connexion, vous supprimez l'option de choix, ce qui signifie que les utilisateurs ne peuvent pas désactiver ou bloquer le navigateur empreintes digitales.
L'utilisation d'un outil de détection des menaces est un excellent moyen de détecter les comptes qui sont utilisés à des fins malveillantes.
Un bon outil de cybersécurité analysera de manière proactive votre réseau et vous alertera de toute activité inhabituelle avant qu'elle ne puisse causer des dommages importants.
Renforcez la sécurité pour atténuer l'attaque Pass-the-Cookie
Les attaques par passe-le-cookie constituent une grave menace pour la sécurité. Les attaquants n'ont pas besoin de connaître votre nom d'utilisateur, votre mot de passe ou tout autre facteur d'authentification supplémentaire pour accéder aux données. Ils n'ont qu'à voler vos cookies de session, et ils peuvent entrer dans votre environnement cloud et voler, crypter ou exfiltrer des données sensibles.
Pire encore, dans certains cas, un pirate peut mener une attaque pass-the-cookie même lorsqu'un utilisateur a fermé son navigateur. Il devient donc crucial que vous preniez les mesures de sécurité nécessaires pour empêcher les attaques par pass-the-cookie. Informez également vos utilisateurs des attaques de fatigue MFA dans lesquelles les pirates envoient aux utilisateurs un barrage de notifications push pour les épuiser.
