Ces sortes d’adversaires dans les attaques du milieu sont devenues de plus en plus courantes. En 2022, par exemple, un seul groupe l’a utilisé dans une série d’attaques qui ont volé plus de 10 000 informations d’identification de 137 organisations, et ont conduit le compromis du réseau du fournisseur d’authentification Twilio, entre autres.
Une entreprise qui a été ciblée dans la campagne d’attaque mais qui n’a pas été violée était le réseau de livraison de contenu CloudFlare. La raison en était son utilisation de la MFA basée sur WebAuthn, la norme qui fait fonctionner PassKeys. Les services qui utilisent WebAuthn sont très résistants aux attaques adverses dans les moyennes, sinon absolument immunisées. Il y a deux raisons à cela.
Premièrement, les informations d’identification WebAuthn sont liées cryptographiquement à l’URL qu’ils authentifient. Dans l’exemple ci-dessus, les informations d’identification fonctionneraient seulement sur si une victime a tenté d’utiliser les informations d’identification pour se connecter à EvilProxy[.]com, la connexion échouerait à chaque fois.
De plus, l’authentification basée sur le WebAuthn doit se produire sur ou à proximité de l’appareil que la victime utilise pour se connecter au compte. Cela se produit parce que les informations d’identification sont également cryptographiquement liées à un dispositif de victime. Parce que l’authentification ne peut se produire que sur le dispositif de victime, il est impossible pour un adversaire au milieu de l’utiliser réellement dans une attaque de phishing sur son propre appareil.
Le phishing est devenu l’un des problèmes de sécurité les plus épineux auxquels sont confrontés les organisations, leurs employés et leurs utilisateurs. Le MFA sous la forme d’un mot de passe ponctuel ou de notifications push traditionnels ajoute définitivement la friction au processus de phishing, mais avec les attaques proxy dans le milieu devenant plus faciles et plus courantes, l’efficacité de ces formes de MFA est de plus en plus facile à vaincre.
Le MFA basé sur WebAuthn se présente sous plusieurs formes; Une clé, connue sous le nom de clé passante, stockée sur un téléphone, un ordinateur, un yubikey ou un dongle similaire est l’exemple le plus courant. Des milliers de sites prennent désormais en charge WebAuthn, et il est facile pour la plupart des utilisateurs finaux de s’inscrire. En tant que note secondaire, le MFA basé sur U2F, la norme prédécesseur de WebAuthn, empêche également les attaques adverses du milieu de réussir, bien que ce dernier offre une flexibilité et une sécurité supplémentaire.
Publiez à jour pour ajouter des détails sur PassKeys.
