L’authentification multifacteur est un excellent moyen de tenir les cybercriminels à distance, mais certains parviennent apparemment à contourner ce type de protection en volant les cookies d’application et de session du navigateur.
Les chercheurs en cybersécurité de Sophos affirment observer un appétit croissant pour les cookies, parmi les logiciels malveillants de tous les niveaux de sophistication. Des voleurs d’informations tels que Racoon Stealer ou RedLine Stealer aux chevaux de Troie destructeurs tels qu’Emotet, un nombre croissant de virus et de logiciels malveillants disposent de fonctionnalités de vol de cookies.
En volant les cookies de session, les pirates peuvent contourner l’authentification multifacteur car, avec les cookies, le service considère déjà l’utilisateur authentifié et accorde simplement l’accès immédiatement. Cela en fait également un atout de grande valeur sur le marché noir, Sophos voyant des cookies vendus sur Genesis, où des membres du groupe d’extorsion de dollars Lapsus en ont acheté un qui a entraîné un vol de données majeur du géant des jeux vidéo EA.
Acheter des cookies
Après avoir acheté un cookie de session Slack auprès de Genesis, l’auteur de la menace a réussi à usurper une connexion existante d’un employé d’EA et à inciter l’équipe informatique de l’entreprise à fournir un accès au réseau. Cela leur a permis de voler 780 Go de données, y compris le code source du jeu et du moteur graphique, qui a ensuite été utilisé dans une tentative d’extorsion.
Le plus gros problème avec les cookies est qu’ils durent relativement longtemps, en particulier pour des applications telles que Slack. Un cookie de plus longue durée signifie que les pirates ont plus de temps pour réagir et compromettre un terminal (s’ouvre dans un nouvel onglet). Les équipes informatiques peuvent programmer leurs navigateurs et applications pour raccourcir la durée autorisée pendant laquelle les cookies restent valides, mais cela s’accompagne d’une mise en garde : cela signifie que les utilisateurs devraient se réauthentifier plus souvent, ce qui, à son tour, signifie que les équipes informatiques doivent trouver le parfait équilibre. entre sécurité et confort.
L’abus de cookies peut également être évité grâce à des règles de comportement, indique Sophos, affirmant qu’il est capable d’arrêter les scripts et les programmes non fiables « avec un certain nombre de détections de mémoire et de comportement ».