Kévin Purdy
Les faiblesses humaines constituent une cible privilégiée pour les attaques de phishing. Faire en sorte que les humains cliquent encore et encore sur « Ne pas autoriser » dans une invite téléphonique qui ne peut pas être ignorée est un angle adopté par certains attaquants iCloud et qui connaît probablement un certain succès.
Brian Krebs de Krebs on Security a détaillé les attaques dans un article récent, notant que les « attaques de fatigue MFA » sont une stratégie d’attaque connue. En frappant à plusieurs reprises l’appareil d’une victime potentielle avec des demandes d’authentification multifactorielle, l’attaque remplit l’écran de l’appareil avec des invites comportant généralement des options oui/non, souvent très rapprochées. Les appareils Apple ne sont que la dernière cible riche de cette technique.
Le groupe de menace persistante avancé Fancy Bear, soutenu par le Kremlin, et un groupe hétéroclite d’adolescents connu sous le nom de Lapsus$ sont connus pour utiliser avec succès cette technique, également connue sous le nom de bombardement rapide MFA.
Si le propriétaire de l’appareil est ennuyé par le son soudain ou le déluge de notifications (qui bloquent essentiellement l’accès aux autres fonctionnalités du téléphone) ou considère simplement l’invite trop rapidement et s’est entraîné à cliquer sur « Oui »/« Autoriser » pour la plupart des autres invites, il peut cliquer sur « Autoriser » et donner aux attaquants l’accès dont ils ont besoin. Ou encore, devant ignorer autant de messages, leur pouce ou leur doigt pourrait simplement toucher le mauvais pixel et laisser entrer accidentellement les méchants.
Parth Patel, fondateur d’une startup d’IA, a détaillé une attaque contre lui-même le 22 mars dans un fil de discussion sur X (anciennement Twitter). Parth a déclaré que son téléphone, sa montre et son ordinateur portable Apple avaient tous reçu « plus de 100 notifications » lui demandant d’utiliser ces appareils pour réinitialiser son mot de passe Apple. Compte tenu de la nature de l’invite, elles ne peuvent pas être ignorées ou rejetées jusqu’à ce que l’on agisse, sauf en verrouillant les appareils.
Après avoir rejeté les alertes, Parth a ensuite reçu un appel qui a été usurpé pour apparaître comme s’il provenait de la ligne d’assistance officielle d’Apple. Parth leur a demandé de valider les informations le concernant, et les appelants disposaient de sa date de naissance, de son adresse électronique, de son adresse actuelle et de ses anciennes adresses. Mais Parth, s’étant déjà interrogé sur des sites de recherche de personnes, a surpris l’appelant en train d’utiliser l’un des noms fréquemment liés à ses rapports. L’appelant a également demandé un code d’identification Apple envoyé par SMS, du type qui suit explicitement « Ne le partagez avec personne ».
Une autre cible a déclaré à Krebs qu’il avait reçu des notifications de réinitialisation pendant plusieurs jours, puis qu’il avait également reçu un appel prétendument du support Apple. Après que la cible ait fait ce qu’il fallait – raccroché et rappelé Apple –, sans surprise, Apple n’avait aucune trace d’un problème de support. La cible a déclaré à Krebs qu’il avait échangé son iPhone et ouvert un nouveau compte iCloud, mais qu’il recevait toujours des invites de mot de passe, alors qu’il se trouvait sur l’Apple Store pour son nouvel iPhone.
Ce n’est pas la première fois qu’Apple rencontre une limitation de débit
D’après ces histoires, ainsi que d’autres détaillées sur le site de Krebs, il est clair que le système de réinitialisation de mot de passe d’Apple nécessite une limitation de débit ou une autre forme de contrôle d’accès. Il convient également de noter que le MFA conforme à la FIDO est immunisé contre de telles attaques.
Vous n’avez besoin que d’un numéro de téléphone, d’un e-mail (dont Apple fournit les premières lettres, de chaque côté du « @ ») et de remplir un court CAPTCHA pour envoyer la notification. Et il n’est pas exagéré de dire que vous ne pouvez pas faire grand-chose sur un iPhone lorsque l’invite est présente, après avoir essayé d’accéder à une autre application lorsque j’ai poussé une invite de réinitialisation sur moi-même. J’ai réussi à envoyer trois invites en quelques minutes, même si à un moment donné, une invite m’a bloqué et m’a indiqué qu’il y avait une erreur. Je suis passé à un autre navigateur et j’ai continué à me spammer sans problème.
Comme l’a noté l’une des sources de Krebs et confirmé par Ars, recevoir l’invite sur une Apple Watch (ou au moins certaines tailles d’Apple Watch) signifie ne voir qu’un bouton « Autoriser » sur lequel appuyer et juste un indice d’un bouton en dessous avant. faites défiler vers le bas pour appuyer sur « Ne pas autoriser ».
Ars a contacté Apple pour commenter le problème et mettra à jour cet article avec toute nouvelle information. Apple a publié un article d’assistance concernant les messages de phishing et les faux appels d’assistance, notant que toute personne recevant un appel téléphonique non sollicité ou suspect d’Apple doit « simplement raccrocher » et le signaler à la FTC ou aux forces de l’ordre locales.
Apple a déjà abordé les attaques de type déni de service dans AirDrop. Kishan Bagaria, créateur de texts.com, a détaillé la manière dont le système de partage d’appareil à appareil d’Apple pourrait être submergé par les demandes de partage AirDrop. Apple a ensuite corrigé le bug dans iOS 13.3, remerciant Bagaria pour sa découverte. Désormais, lorsqu’un appareil Apple refuse une demande AirDrop à trois reprises, il bloquera automatiquement les futures demandes de ce type.
Les conseils essentiels du fournisseur de sécurité BeyondTrust pour prévenir les attaques de fatigue MFA consistent à limiter le nombre de tentatives d’authentification dans une fenêtre de temps, à bloquer l’accès après des tentatives infructueuses, à ajouter des exigences de géolocalisation ou biométriques, à augmenter les facteurs d’accès et à signaler les tentatives à volume élevé.
Cet article a été mis à jour pour prendre en compte un article d’assistance d’Apple concernant les appels de phishing.
Image de la liste par Kevin Purdy