AuthQuake : une faille critique découverte dans le MFA de Microsoft !
Une équipe de chercheurs en sécurité est parvenue à identifier une faille de sécurité critique dans l'authentification multifacteurs (MFA) de Microsoft ! Grâce à cette vulnérabilité surnommée AuthQuake, un attaquant peut forcer le code TOTP ! Faisons le point !
Elad Luz et Tal Hason, deux chercheurs en sécurité de chez Oasis Security ont mis en ligne un rapport pour évoquer leur trouvaille : une faille de sécurité critique présente dans l'implémentation de l'authentification MFA de Microsoft.
Surnommée AuthQuake, cette vulnérabilité permet de contourner l'authentification MFA, et ainsi accéder au compte de l'utilisateur. Il s'agit bien entendu d'un accès non autorisé pouvant permettre d'accéder aux courriels Outlook, aux fichiers OneDrive, aux conversations Teams, ou encore au portail d'administration Azure.
La technique des chercheurs en sécurité semble particulièrement efficace : "Le contournement était simple : il a pris environ une heure pour être exécuté, n'a nécessité aucune interaction de la part de l'utilisateur et n'a généré aucune notification ou indication de problème pour le titulaire du compte." - Cette faille de sécurité peut donc être exploitée sans aucune interaction de la part de l'utilisateur.
Un problème de sécurité lié aux codes TOTP
Microsoft propose plusieurs méthodes pour mettre en œuvre l'authentification multifacteur (MFA), dont une qui consiste à utiliser un code à six chiffres généré par une application telle que Microsoft Authenticator.
La vulnérabilité découverte par Oasis Security met en lumière un problème de sécurité lié à la gestion de ces codes. En effet, cette faille provient de l'absence de limitation stricte du nombre de tentatives et d'une période de validation prolongée pour ces codes à usage unique. Cela permet à des attaquants de tirer parti du système en testant systématiquement toutes les combinaisons possibles des codes à six chiffres - soit jusqu'à un million de possibilités - au cours d'une seule session.
Ce qui est encore plus préoccupant, c'est que ces tentatives répétées ne déclenchent aucune alerte sur le compte de l'utilisateur, alors qu'il y a forcément un grand nombre de tentatives infructueuses.
Ces codes, appelés "mots de passe à usage unique basés sur le temps" ou tout simplement TOTP, sont valides pendant environ 30 secondes avant d’être remplacés par un nouveau code. "Cependant, en raison des différences de temps et des retards potentiels entre le validateur et l'utilisateur, le validateur est encouragé à accepter une fenêtre de temps plus large pour le code.", précise les chercheurs. Cela signifie qu'un code TOTP peut être accepté pendant une fenêtre de temps un plus large.
"Les tests effectués par l'équipe de recherche en sécurité d'Oasis avec l'ouverture de session Microsoft ont montré une tolérance d'environ 3 minutes pour un code unique, qui se prolonge 2,5 minutes après son expiration, ce qui permet d'envoyer 6 fois plus de tentatives.", peut-on lire. Une fenêtre de validité de 3 minutes au lieu de 30 secondes, c'est beaucoup. Dans le cas présent, cette marge augmente la surface d'attaque et ouvre la porte à une attaque brute force.
Comment se protéger ?
Rassurez-vous : cette vulnérabilité a été corrigée par Microsoft en octobre 2024. L'entreprise américaine a été mise au courant de ce problème de sécurité en juin 2024, puis il a tout d'abord mis en place un correct temporaire, avant de corriger le problème définitivement le 9 octobre 2024.
L'occasion de rappeler qu'au-delà de mettre en place le MFA, il est essentiel de surveiller l'activité associée à son utilisation (logs d'échecs) et de bien le configurer (choix des facteurs d'authentification autorisés).
