La bourse ferme dans 3 h 55 min
  • CAC 40

    6 511,06
    -12,38 (-0,19 %)
     
  • Euro Stoxx 50

    3 746,43
    -2,92 (-0,08 %)
     
  • Dow Jones

    33 309,51
    +535,11 (+1,63 %)
     
  • EUR/USD

    1,0338
    +0,0036 (+0,35 %)
     
  • Gold future

    1 806,30
    -7,40 (-0,41 %)
     
  • BTC-EUR

    23 739,49
    +1 160,73 (+5,14 %)
     
  • CMC Crypto 200

    577,87
    +46,65 (+8,78 %)
     
  • Pétrole WTI

    92,69
    +0,76 (+0,83 %)
     
  • DAX

    13 694,92
    -6,01 (-0,04 %)
     
  • FTSE 100

    7 480,02
    -27,09 (-0,36 %)
     
  • Nasdaq

    12 854,80
    +360,88 (+2,89 %)
     
  • S&P 500

    4 210,24
    +87,77 (+2,13 %)
     
  • Nikkei 225

    27 819,33
    -180,63 (-0,65 %)
     
  • HANG SENG

    20 082,43
    +471,59 (+2,40 %)
     
  • GBP/USD

    1,2214
    -0,0004 (-0,03 %)
     

Phishing : une attaque contourne l’authentification à deux facteurs

Microsoft vient de découvrir une campagne de phishing (ou hameçonnage) massive qui vise les entreprises et aurait déjà ciblé plus de 10.000 organisations depuis septembre 2021. Grâce à une technique sophistiquée, les auteurs peuvent s’introduire dans les comptes des victimes, même si celles-ci ont activé l’authentification à deux facteurs. La campagne a été détectée par Microsoft, qui a publié un rapport sur son site.

Habituellement, les attaques de type phishing s’appuient sur un faux site, qui ressemble le plus possible au vrai, avec une fausse page de connexion qui envoie les identifiants à l’auteur. Cette nouvelle attaque est bien plus sophistiquée car elle affiche le vrai site à travers un proxy. Elle vise plus spécifiquement les utilisateurs d’Office 365 en imitant la page d’identification d’Office.

Exemple d’e-mail reçu par une victime, assez grossier, avec en pièce jointe une page HTML qui tente de se faire passer pour un fichier audio MP3. © Microsoft
Exemple d’e-mail reçu par une victime, assez grossier, avec en pièce jointe une page HTML qui tente de se faire passer pour un fichier audio MP3. © Microsoft

Un vol de cookie pour éviter l’authentification multifacteur

Les victimes reçoivent un e-mail contenant un fichier HTML en pièce jointe. Il s’agit, par exemple, d’un message leur indiquant qu’ils ont reçu un message vocal. La victime clique pour ouvrir la pièce jointe dans le navigateur, qui redirige vers le faux site qui leur demande de se connecter. Le fichier HTML transmet aussi au faux site l’adresse e-mail, qui est alors préremplie, afin de rassurer et mieux tromper la victime. Jusqu’ici, rien de très surprenant. Ce qui change des attaques classiques, c'est l’utilisation d’un proxy. Le faux site crée deux sessions, une avec la victime, et une avec le site copié, et relaie les pages. Ainsi, la seule différence entre le vrai site et le site de phishing est l’adresse.

La victime s’identifie, et ses informations sont relayées au site original. Si elle a activé l’authentification multifacteur, cela fonctionnera comme d’habitude. Le site renvoie ensuite un cookie de session, copié par le faux site et transmis à...

> Lire la suite sur Futura

À lire aussi sur Futura

Notre objectif est de créer un endroit sûr et engageant pour que les utilisateurs communiquent entre eux en fonction de leurs centres d’intérêt et de leurs passions. Afin d'améliorer l’expérience dans notre communauté, nous suspendons temporairement les commentaires d'articles