Les pirates utilisent des cookies pour contourner l’authentification à deux facteurs

Hibou Gourou

Le « vol de cookies » fait partie des dernières tendances en matière de cybercriminalité que les pirates utilisent pour contourner les informations d'identification et accéder aux bases de données privées, selon Sophos .

Les conseils de sécurité typiques pour les organisations ont été de déplacer leurs informations les plus sensibles vers des services cloud ou d'utiliser l'authentification multifacteur (MFA) comme moyen de sécurité. Cependant, les acteurs malveillants ont découvert comment balayer les cookies connectés aux informations de connexion et les répliquer pour pirater les sessions Web actives ou récentes de programmes qui ne sont généralement pas actualisés.

Un grand écran affichant un avertissement de violation de sécurité.
Dépôt de stocks/Getty Images

Ces pirates sont capables d'exploiter plusieurs outils et services en ligne différents, notamment des navigateurs, des applications Web, des services Web, des e-mails infectés par des logiciels malveillants et des fichiers ZIP.

L'aspect le plus insidieux de ce style de piratage est que les cookies sont si largement utilisés qu'ils peuvent aider les utilisateurs malveillants à accéder aux systèmes même si des protocoles de sécurité sont en place. Sophos a noté que le botnet Emotet est l'un de ces logiciels malveillants voleurs de cookies qui ciblent les données dans le navigateur Google Chrome, telles que les connexions stockées et les données de carte de paiement, malgré l'affinité du navigateur pour le cryptage et l'authentification multifacteur.

À plus grande échelle, les cybercriminels peuvent acheter des données de cookies volées, telles que des informations d'identification sur des marchés souterrains, selon la publication. Les informations de connexion d'un développeur de jeux Electronic Arts se sont retrouvées sur un marché appelé Genesis, qui aurait été acheté par le groupe d'extorsion Lapsus$. Le groupe a pu répliquer les identifiants de connexion des employés d'EA et finalement accéder aux réseaux de l'entreprise, en volant 780 gigaoctets de données. Le groupe a collecté les détails du code source du jeu et du moteur graphique qu'ils ont utilisés pour essayer d'extorquer EA.

De même, Lapsus$ a piraté les bases de données de Nvidia en mars. Les rapports ont affirmé que la violation aurait pu révéler les informations de connexion de plus de 70 000 employés, en plus de 1 To de données de l'entreprise, y compris des schémas, des pilotes et des détails sur le micrologiciel. Cependant, on ne sait pas si le piratage était dû au vol de cookies.

D'autres opportunités de vol de cookies peuvent être faciles à déchiffrer s'il s'agit de produits logiciels en tant que service, tels qu'Amazon Web Services (AWS), Azure ou Slack. Ceux-ci peuvent commencer par des pirates ayant un accès de base mais incitant les utilisateurs à télécharger des logiciels malveillants ou à partager des informations sensibles. Ces services ont tendance à rester ouverts et à fonctionner de manière persistante, ce qui signifie que leurs cookies n'expirent pas assez souvent pour que leurs protocoles soient solides en termes de sécurité.

Sophos note que les utilisateurs peuvent régulièrement effacer leurs cookies pour maintenir un meilleur protocole ; cependant, cela signifie devoir se réauthentifier à chaque fois.